Windows Server 2012/2012 R2: Papierkorb fürs Active Directory nutzen

Übergeordnete und untergeordnete Objekte

Bei Verwendung im Cmdlet Get-ADObject müssen Sie einen weiteren umgekehrten Schrägstrich im Namen setzen, also beispielsweise erst die Organisationseinheit Einkauf wiederherstellen, bevor das untergeordnete Objekt Thomas Joos an der Reihe ist.

Da alle bisherigen Untersuchungen mit dem lastKnownParent-Attribut durchgeführt wurden, das auf das direkt übergeordnete Objekt verweist, aber nicht angibt, ob das nächste übergeordnete Objekt ebenfalls gelöscht wurde, müssen Sie mit dem Wert lastKnownParent überprüfen, ob Einkauf nicht noch einer weiteren Organisationseinheit untergeordnet ist, die ebenfalls gelöscht wurde:

Get-ADObject -SearchBase "CN=Deleted Objects,DC=contoso,DC=com" -ldapFilter:"(msDs-lastKnownRDN=Einkauf)" -IncludeDeletedObjects -Properties lastKnownParent

Im Beispiel sehen Sie, dass die OU Einkauf direkt in der Domäne contoso.com angelegt ist, also keine weitere Organisationseinheit gelöscht wurde. Es reicht folglich, wenn Sie die OU Einkauf wiederherstellen, um das Objekt Thomas Joos wiederherzustellen:

Get-ADObject -ldapFilter:"(msDS-LastKnownRDN=Einkauf)" -IncludeDeletedObjects | Restore-ADObject

Der Befehl gibt eine Ausgabe an. Öffnen Sie das Snap-In Active Directory-Benutzer und -Computer und aktualisieren die Ansicht mit F5. Die OU muss jetzt wieder vorhanden sein.

Der Befehl stellt allerdings nur die OU, nicht die gelöschten Objekte innerhalb der OU wieder her. Diese müssen Sie manuell herstellen, zum Beispiel mit:

Get-ADObject -SearchBase "CN=Deleted Objects,DC=contoso,DC=com" -Filter {lastKnownParent -eq "OU=Einkauf,DC=contoso,DC=com"} -IncludeDeletedObjects | Restore-ADObject

Die Lebensdauer des gelöschten Objekts wird vom Wert des msDS-deletedObjectLifetime-Attributs bestimmt, die eines veralteten Objekts vom Wert des tombstoneLifetime-Attributs. Standardmäßig sind diese Attribute auf null festgelegt. Das bedeutet: Die Lebensdauer des veralteten Objekts beträgt 180 Tage.

Sie können die Werte von msDS-deletedObjectLifetime und tombstoneLifetime jederzeit ändern. Innerhalb der Lebensdauer des gelöschten Objekts lässt sich ein gelöschtes Objekt wiederherstellen. In der AD-Datenbank wird beim Löschen eines Objektes das Attribut isDeleted auf den Wert True gesetzt. Das gelöschte Objekt wird in den versteckten Container Deleted Objects verschoben, und sein Distinguished Name (DN) erhält dadurch einen neuen Wert.

Die Deleted Object Lifetime wird durch den Wert im Attribut msDS-DeletedObjectLifetime bestimmt. Ist die Zeit des im Attribut msDS-DeletedObjectLifetime definierten Werts abgelaufen, wandelt sich das logisch gelöschte Objekt zum recycled Objekt.