Wiederherstellung von Objekten aus dem Active Directory-Papierkorb delegieren

Mit Server 2008 R2 führte Microsoft den AD-Papierkorb ein, um das Wieder­herstellen von gelöschten Objekten zu verein­fachen. Standard­mäßig bleibt dieses Feature den Domänen-Admins vorbehalten. Wenn man diese Auf­gabe etwa an den Help­desk delegieren will, muss man die Berech­tigungen anpassen.

Wenn sich die Domäne und Gesamtstruktur mindestens auf Funktions­ebene 2008 R2 befinden, dann kann man den Papierkorb im Active Directory (unwiderruflich) aktivieren. Er erlaubt die Wieder­herstellung von gelöschten Objekten unter Beibehaltung aller Attribute. Das Feature dient quasi als doppelter Boden, wenn man aus Versehen das falsche Objekt gelöscht hat.

Gründe für die Delegierung

Standardmäßig kann nur ein Domänen­administrator ein gelöschtes Objekt aus dem Papierkorb zurückholen. Gerade in größeren Organisationen wird aus Sicherheits­gründen die Rolle des Domänen-Admins restriktiv vergeben. In diesem Fall muss man andere User damit betrauen, Objekte aus dem Recycle Bin zu holen.

Ein anderes Szenario könnte darin bestehen, dass Abteilungen wie der Service Desk gelöschte Objekte aus dem AD-Papierkorb wieder­herstellen sollen, um damit andere Abteilungen zu entlasten.

Um dieses Ziel zu erreichen, muss man die betreffenden Benutzer auf den AD-Papierkorb berechtigen. Es empfiehlt sich auch hier, für diesen Zweck keine einzelne Konten, sondern eine AD-Gruppe zu verwenden.

Eine Voraussetzung für die erfolgreiche Delegierung besteht darin, dass die Benutzer, die man berechtigten möchte, Lese-, Schreib- und Listrechte auf die jeweilige Organisations­einheit haben, in welcher sie die Objekte wiederherstellen sollen. Sie ist meistens gegeben, wenn ein Account andere Benutzer im AD anlegen und löschen darf.

Berechtigungen auf den Papierkorb

Um eine Gruppe auf den AD-Papierkorb delegieren zu können, muss dieser mit dem Kommandozeilen-Tool dsacls.exe wie folgt konfiguriert werden. Im ersten Schritt übernimmt der aktuell angemeldete User, falls erforderlich, den Besitz des Recycle Bin, um überhaupt die Berechtigungen für andere Konten vergeben zu können.

dsacls "CN=Deleted Objects,DC=smartsocke,DC=com" /takeownership

Sonstige bereits vorhandene Berechtigungen für den Container Deleted Objects ändern sich dadurch nicht.

Anschließend räumt man der Gruppe, an deren User das Wieder­herstellen gelöschter Objekte delegiert werden soll, die benötigten Rechte ein. In unserem Beispiel heißt die Gruppe AD-Papierkorb:

dsacls "CN = Deleted Objects, DC=contoso,DC=com" /g contoso\AD-Papierkorb:LCRPWP

Wiederherstellungsrecht auf Domänenebene

Zum Abschluss weist man dieser Gruppe in Active Directory-Benutzer und -Computer auf der Ebene der Domäne das Recht zum Wieder­herstellen ein (dazu muss unter Ansicht die Option Erweiterte Features aktiviert sein). Dazu öffnet man die Eigenschaften aus dem Kontextmenü der Domäne, wechselt zum Reiter Sicherheit und klickt auf Erweitert.

Anschließend öffnet man den Dialog Hinzufügen um wählt dort die vorgesehene Gruppe als Prinzipal aus, in unserem Fall heißt sie AD-Papierkorb. Der Wert für Typ bleibt auf Zulassen und bei Anwenden auf wählt man Dieses und alle untergeordneten Objekte.

Das erforderliche Recht heißt im englischen Original Reanimate Thumbstones, die hanebüchene deutsche Übersetzung lautet Alterungen wiederbeleben.