Active-Directory-Papierkorb: Gelöschte Objekte Wiederherstellen

Home » Active Directory Papierkorb Powershell » Active-Directory-Papierkorb: Gelöschte Objekte Wiederherstellen

Maybe your like

AD Recycle BinSeit Windows Server 2008 R2 gibt es einen Papier­korb für AD-Objekte. Er erlaubt es, ver­sehent­lich gelöschte Objekte im laufenden Betrieb wieder­her­zustellen, das heißt ohne einen Domain Controller für eine autori­sierende Wieder­her­stellung von Objekten aus dem AD-Backup offline nehmen oder eine Tombstone-Reani­mation durch­führen zu müssen. Letztere erfordert zwar keine Downtime, ist aber nicht zuver­lässig, da Attribute verloren­gehen können.

Der AD-Papierkorb ist in der Voreinstellung nicht eingeschaltet. Die folgende Anleitung zeigt, wie man ihn aktiviert und gelöschte Objekte wiederherstellt, wobei wichtig ist, dass ein einmal aktivierter AD-Papierkorb nicht wieder abgeschaltet werden kann.

Gesamtstrukturfunktionsebene heraufstufen

Zunächst ruft man Active Directory-Domänen und -Vertrauensstellungen auf, …… um die Gesamtstrukturfunktionsebene auf Windows Server 2008 R2 heraufzustufenDer AD-Papierkorb steht nur zur Verfügung, wenn man die Funktions­ebene der Gesamt­struktur auf Windows Server 2008 R2 heraufstuft. Das bedeutet, dass man alle DCs auf Windows Server 2008 R2 aktualisieren oder sie außer Dienst stellen muss. Die Funktionsebene stuft man unter "Active Directory-Domänen und -Vertrauensstellungen" herauf.

Achtung: Dieser Vorgang ist nicht reversibel.

AD-Papierkorb einschalten

Für AD-Aufgaben halt Windows spezielle Powershell-Module bereitDer AD-Papierkorb wird per PowerShell-Befehl eingeschaltet – der Vorgang ist irreversibelUm den AD-Papierkorb einzuschalten, benötigt man PowerShell mit geladenen Active-Directory-Modulen. Der PowerShell-Befehl zum Einschalten des Papierkorbs lautet:

Enable-ADOptionalFeature –Identity 'CN=Recycle Bin Feature, `CN=Optional Features,CN=Directory Service,CN=Windows NT, `CN=Services,CN=Configuration, DC=contoso,DC=com' `–Scope ForestOrConfigurationSet –Target 'contoso.com'

Hinter "DC" und "Target" gehören jeweils die Daten für die eigene Organisation.

Gelöschtes Objekt wiederherstellen

Auch die Wiederherstellung eines gelöschten AD-Objekts geschieht per PowerShellAuch die Wiederherstellung eines gelöschten AD-Objekts funktioniert per PowerShell. Eine GUI gibt es nicht, es sei denn, man zählte den steinigen Weg per ldp.exe als solche. Das Cmdlet, um ein Objekt zu ermittelt, heißt Get-ADObject, wiederhergestellt wird mit Restore-ADObject. Beispielsweise würde man einen gelöschten Benutzer "John Doe" mit dem Befehl

Get-ADObject -Filter {displayName -eq "John Doe"} –IncludeDeletedObjects

ermitteln und mit

Get-ADObject -Filter {displayName -eq "John Doe"} –IncludeDeletedObjects |Restore-ADObject

wiederherstellen. Auch diese beiden Befehle gehören jeweils auf eine Zeile.

Wichtig ist, dass jedes Objekt in eine nicht gelöschte Eltern-Struktur restauriert wird. Will man also einen ganzen Baum wiederherstellen, muss man mit dessen Wurzel anfangen. Ein Beispiel-Script für ein solches Szenario sowie eine ausführliche Dokumentation des AD-Papierkorbs bietet Microsoft im TechNet.

Tag » Active Directory Papierkorb Powershell