Active-Directory-Papierkorb aktivieren, AD-Elemente wiederherstellen

In der Artikelserie Aufbau eines AD mit Windows Server 2008R2 aktivieren wir heute den AD Papierkorb. Dieser ist Standardmäßig deaktiviert und muss manuell aktiviert werden. Microsoft sieht nicht vor den Papierkorb wieder zu deaktivieren.

Wer die anderen Artikel gelesen hat, der hat mitbekommen das ich bei dem Low-Budget Project keine teuere Datensicherungssoftware einsetzen kann, die AD Elemente Granular zurücksichern kann (z.B. Symantec BackupExec). Der Praktische nutzen des AD Papierkorb ist, dass ein gelöschtes Objekt Vollständig wiederhergestellt werden kann. Benutzer werden mit ihren Berechtigungen und Gruppenmitgliedschaften wiederhergestellt. Ganze OUs mit deren Inhalten.

Damit der AD Papierkorb eingerichtet werden kann muss unsere Domain mindestens die Version „Server 2008R2“ Neudeutsch Forrest Funcional Level besitzen. Damit werden die gelöschten Objekte Standardmäßig 180 Tage gespeichert.

Der Papierkorb wird auf dem Schemata Master aktiviert. In Meiner AD infrastruktur gibt es nur einen Server und daher ist er automatisch der Schemata -Master. In einer größeren Umgebung müssen wir erst den Schemata Master ermitteln. Dazu einfach die Powershell öffnen und mit dem Befehl netdom query fsmo Anzeigen lassen.

netdom query fsmo
Betriebsmasterrollen per Powershellbefehl abfragen

Nachdem wir nun den Schemata-Master kennen können wir dort in der Powershell den AD-Papierkorb aktivieren. Der Befehl setzt voraus das wir den Distinguished Name unserer Domain Kennen.
Diesen können wir uns im ADSI-Editor Anzeigen lassen. Dazu öffnen wir den ADSI-Editor und fügen „Konfiguration“ hinzu.

Konfiguration des ADSI Editor
ADSI Editor „Verbindung zur Konfiguration“ herstellen
ADSI Editor Verbindungseinstellungen
Im ADSI Editor „Bekannten Namenskontext“ wählen

Danach Navigieren wir zum Eintrag CN=Recycele Bin Feature und können uns den Distinguished Name kopieren.

ADSI Attibut Editor
Im ADSI Editor den Distinguished Name kopieren

Jetzt setzen wir lediglich unseren Befehl zusammen. Die Syntax dazu sieht wie folgt aus

Enable-ADOptionalFeature –Identity ‘Distinguished Name’ –Scope ForestOrConfigurationSet –Target AD-Name

In unserem Fall also

Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=kite,DC=local’ –Scope ForestOrConfigurationSet –Target kite.local

In der Powershell sieht es dann so aus

Powershellbefehl mit Warnhinweis
Aktivierung des AD-Papierkorb per Powershellbefehl

Wie bereits erwähnt kann der Vorgang nicht mehr Rückgängig gemacht werden. Hier werden wir auch noch mal darauf hingewiesen. Wir bestätigen mit Ja. Damit ist der Papierkorb aktiviert.

Wie werden also Elemente aus dem Papierkorb wiederhergestellt?
Das geht zum einen per Powershell zum anderen mit einem Freeware Tool namens LAZARUS. Ich habe bereits mehrfach mit Lazarus gearbeitet. Hier zeige ich euch wie man damit umgeht.

Lazarus Programmoberfläche
Mit Lazarus ein AD Objekt wiederherstellen

Ich habe als Beispiel eine „Test-Dummy OU“ erstellt und einen Benutzer darin angelegt und gelöscht. Wenn wir Lazarus starten öffnen wir den Deleted Objects Container in dem sich unsere Tombstones befinden.

Nun lässt sich über „Recover Selected Objects Now“ das Element wiederherstellen.

Lazarus Programmoberfläche
Erfolgreiche Wiederherstellung eines AD Objekts

 

Anmerkungen:

  • Mit Lazarus kann man auch über den Punkt Konfiguration den AD-Papierkorb aktivieren

    Lazarus Programmoberfläche
    AD Papierkorb mit Lazarus aktivieren

weiterführende Links:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.