Eine der neuen Funktionen von Windows Server 2012 ist die Integration einer grafischen Oberfläche für den Papierkorb des Active Directory. Mit dieser Funktion können versehentlich oder absichtlich gelöschte Objekte aus dem Active Directory wiederhergestellt werden, unabhängig davon, ob es sich um Benutzer, Gruppen oder Organisationseinheiten handelt.
Der Papierkorb des Active Directory war bereits in Windows Server 2008 R2 verfügbar, es fehlte jedoch eine grafische Oberfläche, wodurch die Wiederherstellung gelöschter Objekte etwas mühsam wurde.
Um diese Funktion nutzen zu können, muss sie aktiviert werden, da sie standardmäßig deaktiviert ist. Bevor Sie es aktivieren, müssen Sie berücksichtigen, dass es nach der Aktivierung nicht mehr deaktiviert werden kann.
Aktivierung
Öffnen Sie auf einem Domänencontroller das Active Directory-Verwaltungscenter und wählen Sie den Namen der Gesamtstruktur aus. Wählen Sie dann “Papierkorb aktivieren” im Aufgabenbereich auf der rechten Seite.
Hinweis: Die Option “Papierkorb aktivieren” ist nicht verfügbar, wenn die Active Directory-Version kleiner als Windows Server 2008 R2 ist oder der Papierkorb zuvor aktiviert wurde. Um die Gesamtstrukturoperation zu erhöhen, muss ” cmdlet Set-ADForestMode ” verwendet werden, oder es kann auch ” Ldp.exe ” verwendet werden. Weitere Informationen zur Verwendung des Cmdlets Set-ADForestMode erhalten Sie mit dem Befehl
Get-Help Enable-ADOptionalFeature im Active Directory-Modul für Windows PowerShell unter Windows Server 2008 R2.
Wir müssen auch die Warnung berücksichtigen, die beim Aktivieren des Papierkorbs angezeigt wird und die uns darüber informiert, dass wir auf die Replikation der Änderung auf allen Domänencontrollern in der Gesamtstruktur warten müssen. Die Replikation dauert je nach Komplexität der Active Directory-Struktur einige Minuten.
Verwendung des Papierkorbs
Nach Ablauf der Replikationszeit wird empfohlen, das “Active Directory Administration Center” zu schließen und erneut zu öffnen. Wählen Sie den Namen der Gesamtstruktur und die Organisationseinheit “Gelöschte Objekte” aus. In dieser Organisationseinheit werden alle gelöschten Objekte gespeichert. Um nur ein Objekt wiederherzustellen, müssen Sie “Gelöschte Objekte” eingeben und die Wiederherstellungsoption verwenden.
Das wiederhergestellte Objekt behält alle ursprünglichen Attribute bei. Das Active Directory-Verwaltungscenter bietet Kriterien und Filteroptionen, mit denen Sie bestimmte Objekte wiederherstellen können.
Grundregeln
Das “Active Directory Management Center” kann einen kompletten Baum nicht in einer einzigen Aktion wiederherstellen, ggf. sind folgende Regeln zu beachten:
- Stellen Sie das höchste gelöschte Objekt zuerst in der Hierarchie des Baums wieder her.
- Stellen Sie die unmittelbaren untergeordneten Objekte des übergeordneten Objekts wieder her.
- Stellen Sie die unmittelbaren untergeordneten Objekte der primären Objekte wieder her.
Wiederholen Sie den Vorgang nach Bedarf, wenn Sie berücksichtigen, dass ein sekundäres Objekt nicht wiederhergestellt werden kann, bevor das übergeordnete Objekt wiederhergestellt wird.
Die aus dem aktiven Verzeichnis gelöschten Objekte haben eine Standardlebensdauer von 180 Tagen im Papierkorb. Nach Ablauf dieser Zeit werden sie vom ‘Garbage Collector’ entfernt, der automatisch alle 12 Stunden im aktiven Verzeichnis ausgeführt wird. Dieser Parameter kann im Attribut ‘garbageCollPeriod’ im Konfigurationsobjekt des gesamten Unternehmens-DS (NTDS) geändert werden.