Wiederherstellen gelöschter Benutzerkonten in Microsoft 365, Azure und Intune

• Gilt für::

  Microsoft 365, Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft 365 User and Domain Management

Ursprüngliche KB-Nummer: 2619308

Problembeschreibung

Ein Benutzerkonto, das versehentlich aus Microsoft 365, Microsoft Azure oder Microsoft Intune gelöscht wurde, muss wiederhergestellt werden.

Fehlerbehebung

Vorbereitende Schritte

Wenn Benutzer aus Microsoft Entra ID gelöscht werden, werden sie in den Zustand "gelöscht" verschoben und werden nicht mehr in der Benutzerliste angezeigt. Sie werden jedoch nicht vollständig entfernt und können innerhalb von 30 Tagen wiederhergestellt werden.

Verwenden Sie Microsoft 365 und das Azure Active Directory-Modul für PowerShell wie folgt, um zu bestimmen, ob ein Benutzer aus "gelöschten" status wiederhergestellt werden kann:

1. Suchen Sie im Microsoft 365-Portal nach Benutzerkonten, die über das Portal gelöscht wurden. Gehen Sie dazu wie folgt vor:
   1. Melden Sie sich beim Microsoft 365-Portal (https://portal.office.com) mit Administratoranmeldeinformationen an.
   2. Wählen Sie Benutzer und dann Gelöschte Benutzer aus.
   3. Suchen Sie den Benutzer, den Sie wiederherstellen möchten.
2. Führen Sie im Azure Active Directory-Modul für Windows PowerShell die folgenden Schritte aus:
   1. Wählen SieAlle Programme>starten>Windows Azure Active Directory>Windows Azure Active Directory-Modul für Windows PowerShell aus.
   2. Geben Sie die folgenden Befehle in der Reihenfolge ein, in der sie angezeigt werden, und drücken Sie nach jedem Befehl die EINGABETASTE:

      • $cred = get-credential

        Hinweis

        Wenn Sie dazu aufgefordert werden, geben Sie Ihre Microsoft 365-Anmeldeinformationen ein.

      • Connect-MSOLService -credential:$cred

      • Get-MsolUser -ReturnDeletedUsers

Hinweis

Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Veralteten Update. Nach diesem Datum ist die Unterstützung für diese Module auf Migrationsunterstützung zum Microsoft Graph PowerShell SDK und Sicherheitskorrekturen beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.

Es wird empfohlen, zu Microsoft Graph PowerShell zu migrieren, um mit Microsoft Entra ID (früher Azure AD) zu interagieren. Häufig gestellte Fragen zur Migration finden Sie in den häufig gestellten Fragen zur Migration. Hinweis: Version 1.0.x von MSOnline kann nach dem 30. Juni 2024 unterbrochen werden.

Lösung 1: Wiederherstellen manuell gelöschter Konten mithilfe des Microsoft 365-Portals oder des Azure Active Directory-Moduls

Verwenden Sie eine der folgenden Methoden, um ein manuell gelöschtes Benutzerkonto wiederherzustellen:

• Verwenden Sie das Microsoft 365-Portal, um das Benutzerkonto wiederherzustellen. Weitere Informationen dazu finden Sie unter Wiederherstellen eines Benutzers.

• Verwenden Sie das Azure Active Directory-Modul für Windows PowerShell, um das Benutzerkonto wiederherzustellen. Geben Sie dazu den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

  Restore-MsolUser -ObjectId <Guid> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

  Wenn dieser Befehl nicht funktioniert, probieren Sie den folgenden Befehl aus:

  Restore-MsolUser -UserPrincipalName <string> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

  Hinweis

  In diesen Befehlen werden die folgenden Konventionen verwendet:

  • Die UserPrincipalName Parameter und ObjectID identifizieren das wiederherzustellende Benutzerobjekt eindeutig.
  • Der AutoReconcileProxyConflicts Parameter ist optional und wird in Szenarien verwendet, in denen einem anderen Benutzerobjekt die Proxyadresse des Zielbenutzerobjekts gewährt wird, nachdem diese Adresse gelöscht wurde.
  • Der NewUserPrincipalName Parameter wird optional in Szenarien verwendet, in denen ein anderes Benutzerobjekt mithilfe des Benutzerprinzipalnamens (UPN) des Zielbenutzerobjekts gewährt wird, nachdem dieser UPN gelöscht wurde.

Lösung 2: Wiederherstellen gelöschter Konten, da Bereichsänderungen das lokales Active Directory Benutzerobjekt ausschließen

Um gelöschte Benutzerkonten wiederherzustellen, stellen Sie sicher, dass die Filterung der Verzeichnissynchronisierung (Bereich) so festgelegt ist, dass der Bereich die Objekte enthält, die Sie wiederherstellen möchten.

Weitere Informationen finden Sie unter Microsoft Entra Connect Sync: Konfigurieren der Filterung.

Lösung 3: Wiederherstellen gelöschter Konten, weil das lokale Benutzerobjekt aus dem lokales Active Directory Schema gelöscht wurde

Um ein Element wiederherzustellen, das aus dem lokales Active Directory Schema gelöscht wurde, probieren Sie die folgenden Methoden aus:

• Versuchen Sie, das gelöschte Element aus dem Active Directory-Papierkorb wiederherzustellen. Informationen hierzu finden Sie in der Schritt-für-Schritt-Anleitung für den Active Directory-Papierkorb.

  Hinweis

  • Der Active Directory-Papierkorb ist nur mit der Funktionsebene von Windows 2008 R2 oder höheren Versionen verfügbar.
  • Damit der Active Directory-Papierkorb bei der Wiederherstellung eines Elements nützlich ist, muss er aktiviert sein, bevor das Element gelöscht wird.

• Wenn der Active Directory-Papierkorb nicht verfügbar ist oder sich das betreffende Objekt nicht mehr im Papierkorb befindet, versuchen Sie, das gelöschte Element mithilfe des AdRestore-Tools wiederherzustellen. Gehen Sie dazu wie folgt vor:

  1. Installieren Sie das AdRestore-Tool .

  2. Verwenden Sie AdRestore zusammen mit einem Suchfilter, um das gelöschte lokale Benutzerobjekt zu suchen. In den folgenden Beispielen wird eine UserA-Zeichenfolge verwendet, um nach übereinstimmenden Benutzernamen zu suchen.

     1. Verwenden Sie AdRestore, um alle Benutzerobjekte aufzulisten, deren Name die Zeichenfolge "UserA" enthält:

        C:\>adrestore.exe UserA
        AdRestore v1.1 by Mark Russinovich
        Sysinternals - www.sysinternals.com
        
        Enumerating domain deleted objects:
        cn: MailboxA
        DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
        distinguishedName: CN=UserA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
        lastKnownParent: OU=OnPremises,DC=Domain,DC=com
        
        Found 1 item matching search criteria.
        

     2. Verwenden Sie AdRestore zusammen mit dem Schalter -r , um das Benutzerobjekt wiederherzustellen.

        C:\>adrestore.exe Usera -r
        AdRestore v1.1 by Mark Russinovich
        Sysinternals - www.sysinternals.com
        
        Enumerating domain deleted objects:
        cn: UserA
        DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
        distinguishedName: CN=MailboxA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
        lastKnownParent: OU=OnPremises,DC=Domain,DC=com
        
        Do you want to restore this object (y/n)? y
        Restore succeeded.
        
        Found 1 item matching search criteria.
        

• Aktivieren Sie das Benutzerobjekt in Active Directory. Wenn das Objekt wiederhergestellt wird, wird es zunächst deaktiviert. Daher müssen Sie es aktivieren. Es wird empfohlen, zuerst das Benutzerkennwort zurückzusetzen. Führen Sie die folgenden Schritte aus, um den Benutzer zu aktivieren:

  1. Klicken Sie in Active Directory-Benutzer und -Computer mit der rechten Maustaste auf den Benutzer, und wählen Sie dann Kennwort zurücksetzen aus.

  2. Geben Sie in den Feldern Neues Kennwort und Kennwort bestätigen ein neues Kennwort ein, und wählen Sie dann OK aus.

  3. Klicken Sie mit der rechten Maustaste auf den Benutzer, wählen Sie Konto aktivieren und dann OK aus.

     

     Sie erhalten die folgende Fehlermeldung (erwartet):

     Windows kann das Objekt <MailboxName> nicht aktivieren, weil: Das Kennwort kann nicht aktualisiert werden. Der für das neue Kennwort angegebene Wert erfüllt nicht die Anforderungen an Länge, Komplexität oder Verlauf der Domäne.

     Nachdem Sie diese Fehlermeldung erhalten haben, setzen Sie das Kennwort des Benutzers in Active Directory-Benutzer und -Computer zurück.

• Konfigurieren des Benutzeranmeldungsnamens

  Der Benutzeranmeldungsname (auch als Benutzerprinzipalname oder UPN bezeichnet) wird nicht über das wiederhergestellte Benutzerobjekt festgelegt. Sie müssen den Anmeldenamen des Benutzers aktualisieren, insbesondere, wenn der Benutzer ein Verbundkonto ist.

  Führen Sie die folgenden Schritte aus, um den Benutzeranmeldungsnamen zu konfigurieren:

  1. Klicken Sie Active Directory-Benutzer und -Computer mit der rechten Maustaste auf den Benutzer, und wählen Sie dann Eigenschaften aus.
  2. Wählen Sie Konto aus, geben Sie einen Namen in das Feld Benutzeranmeldungsname ein, und wählen Sie dann OK aus.

  Wenn Sie das gelöschte Benutzerkonto nicht über den Active Directory-Papierkorb oder mithilfe des AdRestore-Tools wiederherstellen können, führen Sie schließlich eine autoritative Wiederherstellung der gelöschten Benutzerobjekte in Active Directory aus.

Warnungen und Warnungen

• Stellen Sie sicher, dass nur die Benutzerobjekte, die Sie wiederherstellen möchten, als autoritativ gekennzeichnet sind. Active Directory-Objekte, die im Wiederherstellungsprozess als autoritativ gekennzeichnet sind, können viele Active Directory-Dienstprobleme verursachen.

  Weitere Informationen zum Ausführen einer autoritativen Wiederherstellung von Active Directory-Objekten finden Sie unter Ausführen einer autorisierenden Wiederherstellung von Active Directory-Objekten.

• Nachdem Sie das Objekt mithilfe einer Beliebigen Methode der Auflösung 3 wiederhergestellt haben, werden für das Objekt möglicherweise nicht alle Dienstattribute (z. B. Exchange Online und Skype for Business Online) automatisch wiederhergestellt.

  Für einen Benutzer, der zuvor in Exchange Online E-Mail aktiviert war, können Sie beispielsweise Windows PowerShell Cmdlets verwenden, um die Exchange Online Attribute erneut aufzufüllen.

  Im folgenden Beispiel wird das User1-Objekt mit Exchange Online Attributen für den contoso.onmicrosoft.com Mandanten neu aufgefüllt:

  Enable-RemoteMailbox -Identity User1 -RemoteRoutingAddress user1@contoso.mail.onmicrosoft.com

• Wenn die folgenden Bedingungen erfüllt sind, funktioniert Auflösung 3 nicht:

  • Das Wiederherstellen des Objekts mithilfe des Active Directory-Papierkorbs ist keine verfügbare Option.
  • Das Wiederherstellen des Objekts mit dem AdRestore-Tool ist keine verfügbare Option.
  • Die autorisierende Active Directory-Wiederherstellung ist keine verfügbare Option.

Wenden Sie sich in diesem Fall an den Microsoft 365-Support, um Hilfe zu benötigen.

Weitere Informationen

Nach dem Löschen des Benutzers und vor der Wiederherstellung des Benutzers können die folgenden Ereignisse auftreten und Konflikte verursachen, die die Benutzererfahrung ändern können:

• Ein neuer Benutzer verfügt über einen eindeutigen Benutzer-ID-Wert, der dem gelöschten Benutzer zuvor zugewiesen wurde.
• Ein neuer Benutzer verfügt über einen eindeutigen E-Mail-Adresswert, der dem gelöschten Benutzer zuvor zugewiesen wurde.

Wenn diese Konflikte auftreten, müssen die in Konflikt stehenden Attribute aktualisiert werden, um den Konflikt zu entfernen, bevor die Benutzerwiederherstellung abgeschlossen werden kann. Wenn während der Benutzerwiederherstellung ein Konflikt auftritt, gibt Windows PowerShell eine der folgenden Fehlermeldungen zurück:

Fehler 1

Restore-MsolUser: Das angegebene Benutzerkonto kann aufgrund des folgenden Fehlers nicht wiederhergestellt werden: Fehlertyp UserPrincipalName

Fehler 2

Restore-MsolUser: Das angegebene Benutzerkonto kann aufgrund des folgenden Fehlers nicht wiederhergestellt werden: Fehlertyp proxyAddress

Um Benutzer in diesem Zustand wiederherzustellen, können Sie den Konflikt mithilfe der folgenden Parameter beheben, wenn Sie das Cmdlet Restore-MSOLUser ausführen:

• AutoReconcileProxyConflicts
• NewUserPrincipalName

Hinweis

Wenn Sie den AutoReconcileProxyConflicts Parameter verwenden, werden alle in Konflikt stehenden E-Mail-Adressen vom gelöschten Benutzer entfernt, damit Sie den Wiederherstellungsvorgang fortsetzen können.

Im Microsoft 365-Portal werden die entsprechenden Fehlermeldungen in Form der zuvor erwähnten Windows PowerShell "Fehlerzustände" angezeigt. Sie erhalten beispielsweise die folgende Meldung:

Benutzernamenkonflikt Der Benutzer, den Sie wiederherstellen möchten, hat denselben Benutzernamen.

Um Benutzer in diesem Zustand wiederherzustellen, füllen Sie die im Formular angeforderten Informationen aus.

Benötigen Sie weitere Hilfe? Besuchen Sie die Microsoft Community oder die Microsoft Entra Foren-Website.