How to – Restore eines gelöschten AD Objektes – AD 2008

Gelöschte AD Objekte werden in den Container CN=Deleted Objects,DC=domain,DC=com verschoben und behalten dort per default für 180 Tage alle Attribute. Diese 180 Tage sind über das Attribut msDS-deletedObjectLifetime des Containers “CN=Directory Service,CN=Windows NT, CN=Services, CN=Configuration, DC=Domain,DC=com” frei konfigurierbar.

Der Deleted Objects Container wird im AD standardmäßig nicht angezeigt. Sie können aber über ldp.exe auf diesen Container zugreifen. Sie müssen mindestens Domain Admin sein, um die Funktion durchführen zu können. Und so funktioniert’s:

  • Starten Sie ldp.exe – Ausführen als Administrator(!)
  • Wählen Sie unter Options – Controls
  • Im Fenster Controls unter Load Predefined wählen Sie Return deleted objects
  • Wählen Sie OK
  • Unter Connections wählen Sie Connect (DC angeben) und dann Bind (User angeben oder aktuellen Context wählen).
  • Unter View klicken Sie nun auf Tree und geben den BaseDN ein: Beispiel: DC=domain,DC=com
  • Im linken Fenster doppelklicken Sie auf die Domäne und wählen den Container CN=Deleted Objects,DC=Domain,DC=com
  • Hier werden alle gelöschten Objekte gelistet und sind über den CN zu finden.
    • Beispiel: CN=Marco Langlitz\0ADEL:f5aae318-340b-4cde-904d-2bb434f1a178,CN=Deleted Objects,DC=Domain,DC=com

Sie können nun z.B. mit dem Attribut “Name” das Objekt über das Cmdlet Get-ADObject adressieren.

Beispiel:

Get-ADObject -Filter {name -like “Marco Langlitz*”} -IncludeDeletedObjects

Wird das richtige Objekt zurück geliefert, pipen Sie dies an den Restore Befehl:

Get-ADObject -Filter { name -like “Marco Langlitz*” } -IncludeDeletedObjects | Restore-ADObject

  • Wenn Sie z.B. Gruppen wiederherstellen, sollten auch die Gruppenmitgliedschaften wiederhergestellt werden. In meinen Tests hat das in vielen Kombinationen erfolgreich funktioniert.
  • Wenn Sie wissen welches Objekt gelöscht wurde und wie sie es adressieren können, können Sie sich natürlich den Weg über LDP sparen.
  • Sie können gelöschte Objekte beispielsweise auch über den SAMAccountName finden.
  • Wenn Sie eine OU wiederherstellen, werden die Inhalte der OU nicht automatisch auch wiederhergestellt. Dies muss separat geschehen.

Wie dieser Restore ab AD 2012 funktioniert erfahren Sie hier.