Der Active Directory Papierkorb stellt eine wichtige Sicherheitsfunktion in Microsofts Active Directory (AD) bereit. Im AD-Papierkorb werden Objekte (wie Benutzerkonten, Gruppen oder Computerkonten), die versehentlich oder aufgrund von Fehlern oder bösartigen Aktivitäten gelöscht wurden, für eine bestimmte Zeit gespeichert.
Ohne den Papierkorb müssten Administratoren auf eine aufwendige und eventuell fehleranfällige Wiederherstellungsprozedur zurückgreifen, um gelöschte Objekte wiederherzustellen. Der Active Directory Papierkorb ermöglicht es, gelöschte Objekte einfach und schnell wiederherzustellen.
Der AD-Papierkorb ist auch wichtig, um die Compliance-Anforderungen zu erfüllen. Er speichert auch „legitim gelöschte“ Objekte für eine bestimmte Zeit, bevor sie endgültig entfernt werden. Dadurch wird sichergestellt, dass wichtige Informationen nicht sofort dauerhaft verloren gehen und dass Administratoren Zugriff auf diese Informationen haben, falls sie benötigt werden.
Wie wird der Active Directory Papierkorb eingeschaltet?
Der einfachste Weg, den Active Directory Papierkorb zu aktivieren erfolgt über die Windows Powershell. Das benötigte CMDlet heißt „Enable-ADOptionalFeature„. Diesem Befehl muss noch das zu aktivierende Feature (AD-Papierkorb) sowie der AD-Forest mitgeteilt werden. So lautet der Befehl letztlich:
Enable-ADOptionalFeature 'Recycle Bin Feature' -Scope ForestOrConfigurationSet -Target <Name des AD-Forest>
Den Namen Deines AD-Forest bekommst Du über den Befehl „Get-ADForest | fl Name“ angezeigt.
Aktivierung über das Active Directory Verwaltungscenter
Ohne die Powershell lässt sich der AD-Papierkorb über das AD-Verwaltungscenter (Server-Manager -> Tools) aktivieren.
Klicke hier auf der linken Seite auf den Namen Deiner Domain und wähle dann ganz rechts die Option „Papierkorb aktivieren…„. Ist der Text ausgegraut (deaktiviert), so ist der Papierkorb bereits aktiv.
Wichtig: Der Papierkorb kann nur aktiviert werden. Ist er einmal aktiviert, lässt er sich nicht mehr ausschalten. Auf diesen Umstand macht auch die Bestätigungsabfrage aufmerksam.
Wie lange werden gelöschte Objekte gespeichert?
Standardmäßig werden alle gelöschten AD Objekte für 180 Tage im Papierkorb gespeichert, ehe sie endgültig entfernt werden. Die Aufbewahrungszeit der gelöschten Objekte im Active Directory Papierkorb kann aber per Powershell angepasst werden. Folgende Zeile ändert die Dauer auf 360 Tage (Für <domain> muss die eigene Domain eingetragen werden).
Set-ADObject -Identity "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<domain>" -Replace @{ "msDS-DeletedObjectLifetime" = 360 }Gelöschte Objekte aus dem Papierkorb wiederherstellen
Über das Active Directory Verwaltungscenter ist es nun möglich, gelöschte Elemente wieder herzustellen. Unterhalb Deiner Domain findest Du dort nach der Aktivierung des Active Directory Papierkorbs den Unterordner „Deleted Objects„. In diesem Unterordner tauchen alle Objekte auf, die innerhalb der letzten 180 Tage gelöscht wurden.
Klicke ein Objekt mit der rechten Maustaste an und Du kannst es direkt an dem zuletzt bekannten Ort wiederherstellen. Alternativ kannst Du auch „Wiederherstellen in…“ auswählen und das Objekt in einer Organisationseinheit (OU) Deiner Wahl speichern.
Wiederherstellung mit der Powershell
Selbstverständlich funktioniert die Wiederherstellung von AD-Objekten auf mit der Windows Powershell. Um beispielsweise einen Benutzer mit dem Namen „Monika Kinolta“ wiederherzustellen kann der folgende Befehl eingegeben werden:
Get-ADObject -Filter { displayName -eq "Kinolta Monika" } -IncludeDeletedObjects |
Restore-ADObjectWeiterführende Informationen bei Microsoft: https://learn.microsoft.com/de-de/windows-server/identity/ad-ds/get-started/adac/advanced-ad-ds-management-using-active-directory-administrative-center–level-200-
Ebenfalls interessant:
Dieser Artikel ist wie alle anderen auf dieser Seite kostenlos für Dich und ich hoffe, ich konnte Dir weiterhelfen. Wer möchte, kann diesem Blog eine kleine Aufmerksamkeit in Form einer kleinen Spende (PayPal) oder über die Amazon Wunschliste zukommen lassen.
