How to – Restore eines gelöschten AD Objektes – AD 2012

Recycle.bin

Wie schon im AD 2008 gibt es natürlich auch im AD 2012 den “Papierkorb” für gelöschte Objekte im AD. Entgegen der Wiederherstellung eines Objektes in 2008, die hier beschrieben ist, gibt es nun auch die Mausklicker Option in 2012.

Zunächst muss der Recycle.bin in einem AD auf Functional Level 2012 auch wieder aktiviert werden. Dies geschieht einmalig und kann nicht wieder rückgängig gemacht werden. Das geht zum einen über die Powershell:

Enable-ADOptionalFeature ‘Recycle Bin Feature’ -Scope ForestOrConfigurationSet -Target ‘domain.de’ -server servername

Aber auch über die GUI lässt sich das mittlerweile aktivieren. Starten Sie das Active Directory Administration Center und machen Sie einen Rechtsklick auf den Domänennamen:

rec1

Ist der Recycle.bin aktiv, werden gelöschte Objekte per default 60 Tage aufbewahrt. Da jedes gelöschte Objekt somit natürlich noch in der AD Datenbank bestehen bleibt und diese “unnötig” vergrößert, sollten Sie diese “Retention Time” anpassen. Mal abgesehen davon, dass Sie, wenn Sie nach 60 Tagen noch nicht den Verlust eines Objektes festgestellt haben, sicher noch andere Probleme haben 🙂

Sie passen die “Retention Time“über das Attribut msDS-deletedObjectLifetime des Objektes CN=Directory Service,CN=Windows NT, CN=Services, CN=Configuration, DC=domain,DC=dean. Nutzen Sie dazu am besten ADSIEdit. Verbinden Sie sich auf die Configuration Partition Ihres ADs. Unter Path geben Sie einen gültigen DC an. Path: LDAP://servername.domain.de/configuration

rec2

Dann klicken Sie sich zum angegebenen Objekt durch und wählen mit einem Rechtsklick die Eigenschaften, um das Attribut zu ändern. Erfahrungsgemäß empfiehlt sich ein Wert von 30 Tagen:

rec3

Restore

Der Restore eines gelöschten Objektes gestaltet sich sehr einfach. Wählen Sie im Active Directory Administrative Center den Container Deleted Objects aus. Hier erscheinen alle gelöschten Objekte. Auf der rechten Seite können Sie Restore bzw. Restore to auswählen und das war es dann auch schon. Passwörter, Gruppenmitgliedschaften, etc. werden automatisch mit restored.

rec4