Sysinternals ADRestore - Wiederherstellung von Objekten im Active Directory

Funktionalität: Mit dem Tool ADRestore können Administratoren sehr einfach gelöschte Objekte in Active Directory-Domänen ohne die Verwendung der Active Directory-Sicherung oder das Booten von Domänencontroller wiederherstellen. Das Tool macht sich dazu eine automatische Sicherungsfunktion im Active Directory zu Nutze: Ein gelöschtes Objekt lässt sich im Active Directory innerhalb eines gewissen Zeitraums wiederherstellen. Es befindet sich sozusagen im Papierkorb der Active Directory-Datenbank, aus dem Sie es wiederherstellen können.

Wenn dieser Zeitraum allerdings einmal abgelaufen ist, können Sie das Objekt nicht mehr ohne weiteres wiederherstellen. Dieser Zeitraum wird im Active Directory als "Tombstone Lifetime" bezeichnet. Haben Sie mit Windows Server 2003 eine Gesamtstruktur erstellt, beträgt die Tombstone Lifetime 60 Tage. Haben Sie die Gesamtstruktur mit einem Datenträger erstellt, der das Service Pack 1 oder das Service Pack 2 für Windows Server 2003 bereits enthält, beträgt die Tombstone Lifetime 180 Tage, das gilt auch für Windows Server 2008 und Windows Server 2008 R2. Der Tombstone von Objekten enthält einige Rumpfdaten wie den Objektnamen und die Sicherheitskennung (Security ID, SID). Das Tool reanimiert den Tombstone, stellt aber keine weiteren Daten wieder her. Dadurch fehlen die erweiterten Namensfelder, die Adressinformationen und Organisationsdaten, und die Gruppenmitgliedschaften. Es ist also Handarbeit angesagt, die fehlenden Einträge wiederherzustellen. Die wichtigsten Daten und vor allem die SID sind nach der Wiederherstellung aber wieder verfügbar, also auch der Zugriff auf Freigaben und Exchange-Postfächer.

Installation: Sie können das ADRestore sehr einfach über die Downloadseite herunterladen und nach dem Entpacken direkt starten. Eine Installation ist nicht notwendig, das gilt für alle Sysinternals-Tools.

Bedienung: Die Wiederherstellung der Objekte durch ADRestore erfolgt über die Befehlszeile. Rufen Sie das Tool ohne weitere Optionen auf, zeigt es die gelöschten Objekte an, die das Tool wiederherstellen kann. Anschließend stellen Sie mit der Option -r Objekte wieder her. Dabei ist die Syntax recht einfach: adrestore -r <Name oder Teil des Namens>. Findet das Tool das, lässt sich dieses nach einer Bestätigung wiederherstellen. Das Objekt befindet sich anschließend wieder auf dem Domänencontroller auf dem Sie die Wiederherstellung durchgeführt haben. Damit das Objekt auch im kompletten Active Directory wieder verfügbar ist, müssen Sie eine Replikation starten.

Fazit: Wer ein Objekt in Active Directory wiederherstellen will, findet mit ADRestore eine wertvolle, einfache und kostenlose Hilfe. Zwar gibt es in Windows Server 2008 R2 einen integrierten Papierkorb für das Active Directory. Allerdings ist dieser wesentlich umständlicher zu bedienen.(mje)