AD-Objekte wiederherstellen

Windows Server 2012/2012 R2: Papierkorb fürs Active Directory nutzen

Attribute des Active-Directory-Papierkorbs

Der Papierkorb arbeitet mit dem Wert isDeleted und mit dem neuen Wert isRecycled. Ist der Wert isRecycled für ein AD-Objekt auf True gesetzt, können Sie dieses nicht wiederherstellen; das funktioniert nur bei Objekten, bei denen isDeleted auf True gesetzt ist.

Verbindungsaufnahme: Öffnen Sie ADSI-Edit und verbinden Sie sich mit der Domäne.
Verbindungsaufnahme: Öffnen Sie ADSI-Edit und verbinden Sie sich mit der Domäne.

Objekte lassen sich innerhalb der Tombstone-Lifetime (Alterungsgültigkeitsdauer) wiederherstellen. Diese beträgt bei Windows Server 2012/R2 180 Tage. Sie finden den jeweiligen Wert für Ihr Active Directory am besten in ADSI-Edit über den Container Konfiguration. Dazu öffnen Sie ADSI-Edit über den Startbildschirm und verbinden sich über das Kontextmenü von ADSI-Editor mit der Domäne. Wählen Sie bei Bekannten Namenskontext auswählen die Option Konfiguration aus.

Navigieren Sie zu Konfiguration/Configuration/Services/Windows NT/Directory Service. Rufen Sie die Eigenschaften von Directory Service auf. Den Tombstone-Wert finden Sie auf der Registerkarte Attribut-Editor bei tombstoneLifetime. Sie können den Wert an dieser Stelle auch anpassen, das ist allerdings in den wenigsten Fällen notwendig.

Ablaufdatum: Sie können sich die Tombstone-Lifetime für die Gesamtstruktur anzeigen lassen.
Ablaufdatum: Sie können sich die Tombstone-Lifetime für die Gesamtstruktur anzeigen lassen.

Sobald Sie ein Objekt im Active Directory löschen, erhält dieses den Wert True bei isDeleted und ist im Active Directory nicht mehr verfügbar, lässt sich aber noch wiederherstellen. Den Zeitraum, innerhalb dessen Sie das Objekt durch isDeleted wiederherstellen können, bezeichnet Microsoft als Deleted Object Lifetime (DOL). Diesen Wert, der ebenfalls 180 Tage beträgt, finden Sie über msDS-deletedObjectLifetime. Nach 180 Tagen, festgelegt durch den DOL, erhält das Objekt den Wert True bei isRecycled und ist nicht mehr wiederherstellbar. Ist auch der Tombstone-Lifetime abgelaufen, wird das Objekt komplett aus der Datenbank gelöscht. Da beide Werte identisch sind, verschwindet das Objekt nach 180 Tagen automatisch.

Objekte aus dem AD-Papierkorb mit Bordmitteln wiederherstellen

Um gelöschte Objekte wiederherzustellen, verwenden Sie am besten das Active Directory Administration Center in Windows Server 2012/2012 R2.

Übersichtlich: Objekte aus dem Active-Directory-Papierkorb wiederherzustellen ist unter Windows Server 2012/2012 R2 deutlich leichter geworden.
Übersichtlich: Objekte aus dem Active-Directory-Papierkorb wiederherzustellen ist unter Windows Server 2012/2012 R2 deutlich leichter geworden.

Das hat den Vorteil, dass Ihnen eine grafische Oberfläche zur Verfügung steht. Nachdem Sie den Papierkorb aktiviert und das Active-Directory-Verwaltungscenter neu gestartet haben, gibt es für die entsprechende Gesamtstruktur einen neuen Ordner Deleted Objects. In ihm können Sie nach gelöschten Objekten suchen und diese wiederherstellen. Dazu klicken Sie die Objekte mit der rechten Maustaste an.

Ein gelöschtes Domänencontroller-Konto können Sie ebenfalls mit dem Active-Directory-Verwaltungscenter und dem AD-Papierkorb wiederherstellen. Damit das funktioniert, müssen Sie den AD-Papierkorb aber erst aktivieren.