Tags: Active Directory, Backup, Rechteverwaltung
Mit Server 2008 R2 führte Microsoft den AD-Papierkorb ein, um das Wiederherstellen von gelöschten Objekten zu vereinfachen. Standardmäßig bleibt dieses Feature den Domänen-Admins vorbehalten. Wenn man diese Aufgabe etwa an den Helpdesk delegieren will, muss man die Berechtigungen anpassen.
Wenn sich die Domäne und Gesamtstruktur mindestens auf Funktionsebene 2008 R2 befinden, dann kann man den Papierkorb im Active Directory (unwiderruflich) aktivieren. Er erlaubt die Wiederherstellung von gelöschten Objekten unter Beibehaltung aller Attribute. Das Feature dient quasi als doppelter Boden, wenn man aus Versehen das falsche Objekt gelöscht hat.
Gründe für die Delegierung
Standardmäßig kann nur ein Domänenadministrator ein gelöschtes Objekt aus dem Papierkorb zurückholen. Gerade in größeren Organisationen wird aus Sicherheitsgründen die Rolle des Domänen-Admins restriktiv vergeben. In diesem Fall muss man andere User damit betrauen, Objekte aus dem Recycle Bin zu holen.
Ein anderes Szenario könnte darin bestehen, dass Abteilungen wie der Service Desk gelöschte Objekte aus dem AD-Papierkorb wiederherstellen sollen, um damit andere Abteilungen zu entlasten.
Um dieses Ziel zu erreichen, muss man die betreffenden Benutzer auf den AD-Papierkorb berechtigen. Es empfiehlt sich auch hier, für diesen Zweck keine einzelne Konten, sondern eine AD-Gruppe zu verwenden.
Eine Voraussetzung für die erfolgreiche Delegierung besteht darin, dass die Benutzer, die man berechtigten möchte, Lese-, Schreib- und Listrechte auf die jeweilige Organisationseinheit haben, in welcher sie die Objekte wiederherstellen sollen. Sie ist meistens gegeben, wenn ein Account andere Benutzer im AD anlegen und löschen darf.
Berechtigungen auf den Papierkorb
Um eine Gruppe auf den AD-Papierkorb delegieren zu können, muss dieser mit dem Kommandozeilen-Tool dsacls.exe wie folgt konfiguriert werden. Im ersten Schritt übernimmt der aktuell angemeldete User, falls erforderlich, den Besitz des Recycle Bin, um überhaupt die Berechtigungen für andere Konten vergeben zu können.
dsacls "CN=Deleted Objects,DC=smartsocke,DC=com" /takeownership
Sonstige bereits vorhandene Berechtigungen für den Container Deleted Objects ändern sich dadurch nicht.
Anschließend räumt man der Gruppe, an deren User das Wiederherstellen gelöschter Objekte delegiert werden soll, die benötigten Rechte ein. In unserem Beispiel heißt die Gruppe AD-Papierkorb:
dsacls "CN = Deleted Objects, DC=contoso,DC=com" /g contoso\AD-Papierkorb:LCRPWP
Wiederherstellungsrecht auf Domänenebene
Zum Abschluss weist man dieser Gruppe in Active Directory-Benutzer und -Computer auf der Ebene der Domäne das Recht zum Wiederherstellen ein (dazu muss unter Ansicht die Option Erweiterte Features aktiviert sein). Dazu öffnet man die Eigenschaften aus dem Kontextmenü der Domäne, wechselt zum Reiter Sicherheit und klickt auf Erweitert.
Anschließend öffnet man den Dialog Hinzufügen um wählt dort die vorgesehene Gruppe als Prinzipal aus, in unserem Fall heißt sie AD-Papierkorb. Der Wert für Typ bleibt auf Zulassen und bei Anwenden auf wählt man Dieses und alle untergeordneten Objekte.
Das erforderliche Recht heißt im englischen Original Reanimate Thumbstones, die hanebüchene deutsche Übersetzung lautet Alterungen wiederbeleben.
Täglich Know-how für IT-Pros mit unserem Newsletter
Roland Eich ist gelernter Fachinformatiker für Systemintegration und in der IT seit über 14 Jahren zu Hause. Roland deckt aufgrund seiner Erfahrungen ein breites Spektrum der Microsoft-Produktpalette ab.
Zudem besitzt er verschiedene Zertifizierungen (MCITP, MCSA und MCSE, ITIL, PRINCE2).
// Kontakt: E-Mail //
Verwandte Beiträge
- Besitzer von Computer-Objekten im Active Directory anzeigen und ändern
- Berechtigungen für Domain Join delegieren
- Microsoft Entra ergänzt Azure Active Directory um Berechtigungs-Management und Verified ID
- Gruppen in Azure AD: Security vs. Microsoft 365, dynamische vs. statische
- Active Directory mit nicht-autoritativem Restore wiederherstellen
Weitere Links