AD-Objekte wiederherstellen

Windows Server 2012/2012 R2: Papierkorb fürs Active Directory nutzen

Objekte aus Active Directory in Windows Server 2008 R2 wiederherstellen - AdRestore

Die Wiederherstellung mit Bordmitteln kann in Windows Server 2008 R2 aufwendig und zeitintensiv sein. Vor allem ungeübte Administratoren sind mit solchen Vorgängen schnell mehrere Stunden oder einen ganzen Tag beschäftigt. Für derlei Fälle gibt es das Tool AdRestore von Sysinternals; mit ihm lassen sich gelöschte Objekte ohne den Einsatz der Active-Directory-Werkzeuge wiederherstellen. In Windows Server 2012/2012 R2 sollten Sie dieses Tool möglichst nicht verwenden, sondern besser den Active-Directory-Papierkorb.

Hilfreiches Tool: Mittels AdRestore können Sie auch Objekte aus dem Active Directory wiederherstellen.
Hilfreiches Tool: Mittels AdRestore können Sie auch Objekte aus dem Active Directory wiederherstellen.

AdRestore reanimiert nur den Tombstone selbst, stellt aber keine weiteren Daten wieder her. Die Tombstone-Lifetime (Alterungsgültigkeitsdauer) definiert, in welchem Zeitraum ein Active-Directory-Objekt wiederhergestellt werden kann, nachdem es gelöscht wurde. Bei installiertem Service Pack 1 (SP1, unter Windows Server 2003) bewahrt Active Directory gelöschte Objekte für 180 Tage in einer temporären Datenbank auf. Nach Ablauf dieser Zeit ist die Datensicherung nutzlos, da sie ohnehin nicht mehr zurückgespielt werden kann. Das Objekt wird aus Active Directory entfernt. Ist das SP1 für Windows Server 2003 nicht installiert, beträgt die Tombstone-Lifetime nur 60 Tage; 180 Tage sind automatisch vorgesehen, wenn eine Gesamtstruktur mit Windows Server 2003 R2 oder SP2 oder Windows Server 2008 R2 erstellt wird.

Da AdRestore nur die Tombstone-Daten wiederherstellt, fehlen die erweiterten Namensfelder, die Adressinformationen und Organisationsdaten sowie vor allem die Gruppenmitgliedschaften. Die wichtigsten Daten und vor allem die SID sind nach der Wiederherstellung aber wieder verfügbar. Die Wiederherstellung der Objekte durch AdRestore erfolgt über die Eingabeaufforderung. Wenn Sie das Tool ohne weitere Optionen aufrufen, zeigt es die gelöschten Objekte an, die es wiederherstellen kann. Mit der Option -r stellen Sie Objekte wieder her. Dabei ist die Syntax recht einfach:

adrestore -r <Name oder Teil des Namens>

Das Objekt befindet sich anschließend wieder auf dem Domänencontroller. Damit das Objekt auch im kompletten Active Directory wieder verfügbar ist, müssen Sie eine Replikation starten.