Papierkorb im Active Directory einrichten und nutzen

    , 06.09.2012, zuletzt aktualisiert am 04.09.2019
    Tags: ,

    Den AD-Papierkorb kann man im Verwaltungscenter mit dem entsprechenden Befehl aus dem Kontextmenü einer Domäne aktivieren.Windows Server 2008 R2 führte 2 neue Features für das Active Direc­tory ein, denen es an gra­fischen Management-Tools mangelte. Dabei han­delte es sich die um Fine-Grained Password Policy sowie um den Papier­korb (Recycle Bin). Für beide lieferte Microsoft die GUI-Tools mit Windows 8 und Server 2012 nach. Damit ist der Restore gelöschter AD-Objekte auch ohne PowerShell-Kenntnisse möglich.

    Der wesentliche Vorteil des AD-Papierkorbs besteht darin, dass gelöschte Objekte vollständig wiederhergestellt werden können. Im Gegensatz dazu erlaubte die mit Server 2003 eingeführte Reanimierung von Thumbstones nur die Restaurierung der wichtigsten Identitätsinformationen wie objectGUID und objectSid, viele andere Attribute blieben dabei auf der Strecke.

    Markierung von Objekten mit isDeleted und isRecycled

    Wenn User, Computer oder andere Objekte im Active Directory gelöscht werden, dann wird das isDeleted-Attribut auf den Wert true gesetzt. Hat man das Objekt entfernt, nachdem der AD-Papierkorb aktiviert wurde, dann lässt es sich auf diesem Weg wiederherstellen. Andernfalls gelten die Bedingungen wie unter Server 2003 oder 2008, d.h. man kann sie nur durch Reanimation von Thumbstones oder durch die autorisierende Wiederherstellung im Directory Service Restore Mode retten.

    Per Voreinstellung bleiben Objekte für 180 Tage über den AD-Papierkorb wiederherstellbar. Danach wird zusätzlich das mit Server 2008 R2 eingeführte Attribut isRecycled auf true gesetzt. Wenn dann noch die Thumbstone-Lifetime abläuft, werden die betreffenden Objekte gänzlich aus der Datenbank eliminiert.

    Auch wenn der Name des Attributes isRecycled nahelegt, dass damit Objekte gekennzeichnet werden, die sich über den AD-Papierkorb restaurieren lassen, ist das Gegenteil der Fall: Hat es den Wert true, dann ist die in msDS-deltedObjectLifetime definierte Zeitspanne bereits überschritten.

    Funktionsebene von Windows Server 2008 R2 nötig

    Voraussetzung für die Aktivierung und Verwendung des AD-Papierkorbs ist, dass die Funktionsebene der Gesamtstruktur und der Domäne auf mindestens Windows Server 2008 R2 hochgestuft wurde. Daraus folgt, dass die DCs unter Server 2008 R2 oder 2012 laufen können.

    Diese Aufgabe lässt sich mit dem Active Directory-Verwaltungscenter erledigen, das danach auch die Möglichkeit bietet, den Recycle Bin zu aktivieren und gelöschte Objekte wiederherzustellen. Das Anheben der Funktionsebene ist ein Vorgang, der sich nicht rückgängig machen lässt.

    Alle Schritte für lassen sich im AD-Verwaltungscenter erledigen, darunter auch das Hochstufen der Funktionsebene.

    Zu diesem Zweck ist die Version des Active Directory-Verwaltungscenter für Windows 8 und Server 2012 erforderlich. Erstere gehört zum Lieferumfang von RSAT für Windows 8. Um das Tool unter Server 2012 zu installieren, bemüht man im Server Manager den Wizard zum Hinzufügen und Entfernen von Rollen. Dort wählt man unter Features die Remoteserver-Verwaltungstools.

    AD-Papierkorb aktivieren

    Im nächsten Schritt aktiviert man den AD-Papierkorb, indem man den entsprechenden Befehl aus dem Kontextmenü einer Domäne ausführt. Auch dieser Vorgang ist irreversibel, des Active Directory-Verwaltungscenter macht mit einer diesbezüglichen Warnung darauf aufmerksam.

    Anschließend steht ein Container namens Deleted Objects zur Verfügung, in dem alle ab jetzt gelöschten Objekte landen.

    Wiederherstellung gelöschter Objekte

    Gelöschte Objekte lassen sich an ihrem Ursprungsort oder an anderen Positionen im AD wiederherstellen.

    Die Wiederherstellung kann aus dem Kontextmenü der gelöschten Objekte entweder an ihrem Ursprungsort oder an einer beliebig wählbaren anderen Position erfolgen. Dies ist besonders dann interessant, wenn man etwa eine ganze OU entfernt hat und daraus nur einzelne Objekte restaurieren möchte.

    Zu bedenken ist darüber hinaus, dass das Elternobjekt mit ausgewählt werden sollte, wenn dieses ebenfalls gelöscht wurde.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut

    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links