CertBase Community
Die Lernplattform für Ihren Erfolg
Aktivieren und verwenden des Active Directory-Papierkorbs

Mit Windows Server 2008 R2 wurde eine neue bzw. stark verbesserte Methode zur Wiederherstellung gelöschter Active Directory-Objekte eingeführt. Wenn der Active Directory-Papierkorb in einer Gesamtstruktur aktiviert ist, werden beim Löschen eines Objektes alle Attribute für einen definierten Zeitraum (Deleted Object Lifetime, DOL) beibehalten. Gelöschte Objekte können ohne Downtime des Domänencontrollers und unter Beibehaltung aller Gruppenmitgliedschaften und Zugriffsrechte per PowerShel Cmdlets wiederhergestellt werden. Der Active Directory-Papierkorb kann insofern als Weiterentwicklung der Tombstone Reanimierung betrachtet werden, bei der nur die SID eines Objektes wiederhergestellt wird und die fehlenden Attribute beispielsweise unter Zuhilfenahme eines Active Directory-Snapshots nachgepflegt werden (siehe auch: Directory Service Comparision Tool (DSCT)).

Der Active Directory-Papierkorb kann nicht nur in Active Directory-Domänendienste (AD DS) sondern auch in Active Directory Lightweight Directory Services (AD LDS)-Umgebungen verwendet werden.

Voraussetzungen:
Die Gesamtstrukturfunktionsebene muss auf Windows Server 2008 R2 angehoben werden. Dies setzt voraus, dass alle vorhandenen Domänencontroller der Gesamtstruktur zunächst auf Windows Server 2008 R2 aktualisiert werden.

Wissenswertes:

  • Der Active Directory-Papierkorb ist auch in neuen Windows Server 2008 R2 Gesamtstrukturen standardmäßig deaktiviert.
  • Ist der Active Directory-Papierkorb einmal aktiviert worden, kann dieser Schritt nicht rückgängig gemacht werden. Der AD-Papierkorb kann nicht deaktiviert werden.
  • Beim Aktivieren des AD-Papierkorbs wird der Container Deleted Objects einmal komplett geleert. Objekte die vor dem Aktivieren des AD-Papierkorbs gelöscht worden, können anschließend nicht mehr per Tombstone Reanimierung zurückgeholt werden.

Active Directory-Papierkorb aktivieren
Wenn die Gesamtstrukturfunktionsebene (und implizit auch die Funktionsebenen der enthaltenen Domänen) auf Windows Server 2008 R2 heraufgestuft wurde, können Sie als Mitglied der Gruppe Organisations-Admins das Active Directory-Modul für Windows PowerShell verwenden und das folgende beispielhaft Cmdlet ausführen, um den AD-Papierkorb zu aktivieren:

Enable-ADOptionalFeature -Identity "CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=certbase,DC=de" -Scope ForestOrConfigurationSet -Target certbase.de

Wiederherstellen von Objekten aus dem Active Directory-Papierkorb
Gelöschte Objekte werden in den Container Deleted Objects verschoben. Der Container kann mit Active Directory-Benutzer und -Computer oder dem ADSI-Editor nicht angezeigt werden. Um den Container Deleted Objects einzusehen, können Sie entweder LDP.exe oder den Active Directory Explorer von Sysinternals (http://technet.microsoft.com/de-de/sysinternals/bb963907) verwenden. Mit LDP.exe können die Objekte auch gleich wiederhergestellt werden. In diesem Artikel sollen jedoch die PowerShel Cmdlets zum Einsatz kommen.

Für den Container Deleted Objects ist das Attribut isDeleted auf True gesetzt:

Für die Wiederherstellung von Active Directory-Objekten mit Hilfe der Windows PowerShell kommen die beiden Cmdlet Get-ADObject und Resore-ADObject zum Einsatz. Mit Get-ADObject werden die Objekte unter Einsatz von Filterkriterien ermittelt und über eine Pipe an das Cmdlet Restore-ADObject weitergeleitet. Das Cmdlet Restore-ADObject kann nur bei aktiviertem AD-Papierkorb verwendet werden und ist für die Tombstone Reanimierung nicht geeignet. Der Parameter -IncludeDeletedObjects stellt sicher, dass der Container Deleted Objects einbezogen wird. Standardmäßig ist das nicht der Fall.

Get-ADObject -Filter {String} -IncludeDeletedObjects | Restore-ADObject

Anzeigen eines gelöschten Benutzerkontos mit Get-ADObject

Um beispielsweise ein versehentlich gelöschtes Benutzerkonto mit dem Anmeldenamen SSchuster widerherzustellen, können Sie folgenden Befehl ausführen:

Get-ADObject -Filter {sAMAccountName -eq "SSchuster"} -IncludeDeletedObjects | Restore-ADObject

Alternativ können auch andere eindeutige Attribute verwendet werden. Beispielsweise der Benutzerprinzipalname:

Get-ADObject -Filter {userPrincipalName -eq "SSchuster@certbase.de"} -IncludeDeletedObjects | Restore-ADObject

Um mehrere gelöschte Objekte aus einer gemeinsamen OU wiederherzustellen, kann das Attribut LastKnownParent verwendet werden:

Get-ADObject -Filter {lastKnownParent -eq "OU=Benutzer,OU=Vertrieb,DC=certbase,DC=de"} -IncludeDeletedObjects | Restore-ADObject


Wiederherstellung per GUI
Das Programm ADRestore.Net von Guy Teverovsky ermöglicht einen Einblick in den Container Deleted Objects und die Tombstone Reanimation über eine grafische Benutzeroberfläche. Sofern der AD-Papierkorb aktiviert ist, werden alle Attribute eines Objektes wiederhergestellt.

 

ADRestore.Net kann unter dem folgenden Link heruntergeladen werden.

http://blogs.microsoft.co.il/blogs/guyt/archive/2007/12/15/adrestore-net-rewrite.aspx


Eingetragen Wed, 22. Jun 2011 16:10 von Maik
CertBase - IT-Prüfungsvorbereitung Online