AD-Objekte wiederherstellen

Windows Server 2012/2012 R2: Papierkorb fürs Active Directory nutzen

Mit Windows Server 2008 R2 hat Microsoft den Papierkorb fürs Active Directory eingeführt. Der ausschließliche Zugang per PowerShell war nicht jedermanns Sache. Windows Server 2012/2012 R2 bringt eine deutlich verbesserte und überarbeitete Version des Papierkorbs für den Verzeichnisdienst mit.

Im Active Directory gelöschte Objekte sind im Papierkorb eine Zeit lang wiederherstellbar. Unter Windows Server 2008 R2 können Admins den Papierkorb allerdings nur in der PowerShell aktivieren und auch lediglich in der PowerShell verwenden, um Objekte wiederherzustellen. Das kann kompliziert sein und Systemverwaltern schon mal die Lust nehmen, diese Funktion zu nutzen.

In Windows Server 2012/2012 R2 hat Microsoft den Active-Directory-Papierkorb deutlich verbessert. Den Papierkorb für gelöschte Objekte verwalten Sie in Windows Server 2012/2012 R2 nicht mehr nur in der PowerShell oder Befehlszeile, sondern Sie können die Aktivierung und die Wiederherstellung von Objekten vollständig im Active-Directory-Verwaltungscenter vornehmen. Natürlich besteht weiterhin die Möglichkeit, auf die PowerShell zu setzen, doch der Weg über das Active-Directory-Verwaltungscenter ist wesentlich bequemer und schneller. Wir zeigen Ihnen in diesem Beitrag auch zwei Tools, mit denen Sie Benutzerdaten in Active Directory schnell und einfach wiederherstellen können.

Active-Directory-Papierkorb aktivieren

Grundlage für nachfolgende Beschreibungen ist der Papierkorb von Active Directory (AD), den Sie zunächst für die Gesamtstruktur aktivieren müssen.

Initialzündung: Zunächst ist der Papierkorb zu aktivieren.
Initialzündung: Zunächst ist der Papierkorb zu aktivieren.

Wie bei Windows Server 2008 R2 gilt dieser Vorgang für alle Domänen in der Gesamtstruktur. Achtung: Er lässt sich nicht rückgängig machen und hat direkte Auswirkung auf alle Domänen in der Gesamtstruktur. Sie nehmen den Weg über das Kontextmenü der Gesamtstruktur auf der linken Seite der Konsole im Active-Directory-Verwaltungscenter, indem Sie die Funktion Papierkorb aktivieren im Kontextmenü des Papierkorbs auswählen.

Sie können den Papierkorb auch weiterhin in der PowerShell aktivieren. Der Befehl dazu lautet im Beispiel der Domäne contoso.com:

Enable-ADOptionalFeature -Identity 'CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com' -Scope ForestOrConfigurationSet -Target 'contoso.com'

Starten Sie nach der Aktivierung des AD-Papierkorbs das Active-Directory-Verwaltungscenter neu. Erst dann stehen alle Funktionen zur Verfügung, um gelöschte Objekte wiederherzustellen, zum Beispiel der neue Ordner Deleted Objects, in dem das Active Directory alle gelöschten Objekte sammelt.

Active-Directory-Papierkorb und Funktionsebenen

Sie können den Papierkorb nur dann aktivieren, wenn die Funktionsebene der Gesamtstruktur mindestens auf Windows Server 2008 R2 gesetzt ist. Die Funktionsebene für die Domänen im Snap-In Active Directory-Benutzer und -Computer stellen Sie über das Kontextmenü der Domäne ein. Die Funktionsebene für die Gesamtstruktur konfigurieren Sie über das Snap-In Active Directory-Domänen und -Vertrauensstellungen, ebenso über das Kontextmenü. Wird die Funktionsebene abgeändert, lässt sich dies nicht rückgängig machen. Ausnahme ist die mögliche Herabstufung von Windows Server 2012/2012 R2 auf Windows Server 2008 R2. Das geht allerdings nur dann, wenn Sie den Active-Directory-Papierkorb noch nicht aktiviert haben.

Wiederherstellen können Sie Objekte im Active-Directory-Verwaltungscenter von Windows Server 2012/2012 R2, wenn Sie den Papierkorb aktiviert haben. Ist der Vorgang nicht bereits durchgeführt, können Sie das über die PowerShell mit dem Befehl

Set-ADForestMode -Identity contoso.com -ForestMode Windows2008R2Forest -Confirm:$false

erreichen.