Freigeben über

Wiederherstellen gelöschter Benutzerkonten in Microsoft 365, Azure und Intune

  • Gilt für:: Microsoft 365, Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft 365 User and Domain Management

Ursprüngliche KB-Nummer: 2619308

Symptome

Ein Benutzerkonto, das versehentlich aus Microsoft 365, Microsoft Azure oder Microsoft Intune gelöscht wurde, muss wiederhergestellt werden.

Beschluss

Bevor du anfängst

Wenn Benutzer aus der Microsoft Entra-ID gelöscht werden, werden sie in den Status "Gelöscht" verschoben und nicht mehr in der Benutzerliste angezeigt. Sie werden jedoch nicht vollständig entfernt und können innerhalb von 30 Tagen wiederhergestellt werden.

Verwenden Sie Microsoft 365 und das Azure Active Directory-Modul für PowerShell wie folgt, um zu bestimmen, ob ein Benutzer berechtigt ist, aus dem Status "gelöscht" wiederhergestellt zu werden:

  1. Suchen Sie im Microsoft 365-Portal nach Benutzerkonten, die über das Portal gelöscht wurden. Gehen Sie hierzu folgendermaßen vor:
    1. Melden Sie sich mithilfe von Administratoranmeldeinformationen beim Microsoft 365-Portal (https://portal.office.com) an.
    2. Wählen Sie "Benutzer" und dann " Gelöschte Benutzer" aus.
    3. Suchen Sie den Benutzer, den Sie wiederherstellen möchten.
  2. Führen Sie im Azure Active Directory-Modul für Windows PowerShell die folgenden Schritte aus:
    1. Wählen Sie Start>Alle Programme>Windows Azure Active Directory>Windows Azure Active Directory-Modul für Windows PowerShell.
    2. Geben Sie die folgenden Befehle in der Reihenfolge ein, in der sie angezeigt werden, und drücken Sie nach jedem Befehl die EINGABETASTE:

      • $cred = get-credential

        Hinweis

        Wenn Sie dazu aufgefordert werden, geben Sie Ihre Microsoft 365-Anmeldeinformationen ein.

      • Connect-MSOLService -credential:$cred

      • Get-MsolUser -ReturnDeletedUsers

Hinweis

Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Update zur Einstellung. Nach diesem Datum sind die Unterstützung für diese Module auf die Migrationsunterstützung für das Microsoft Graph PowerShell SDK und Sicherheitsupdates beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.

Es wird empfohlen, zu Microsoft Graph PowerShell zu migrieren, um mit Microsoft Entra ID (vormals Azure AD) zu interagieren. Informationen zu allgemeinen Migrationsfragen finden Sie in den häufig gestellten Fragen zur Migration. Anmerkung: Versionen 1.0.x von MSOnline könnten nach dem 30. Juni 2024 von Unterbrechungen betroffen sein.

Lösung 1: Wiederherstellen manuell gelöschter Konten mithilfe des Microsoft 365-Portals oder des Azure Active Directory-Moduls

Verwenden Sie eine der folgenden Methoden, um ein Benutzerkonto wiederherzustellen, das manuell gelöscht wurde:

  • Verwenden Sie das Microsoft 365-Portal, um das Benutzerkonto wiederherzustellen. Weitere Informationen darüber, wie Sie dies tun können, finden Sie unter Benutzer wiederherstellen.

  • Verwenden Sie das Azure Active Directory-Modul für Windows PowerShell, um das Benutzerkonto wiederherzustellen. Geben Sie dazu den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    Restore-MsolUser -ObjectId <Guid> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

    Wenn dieser Befehl nicht funktioniert, probieren Sie den folgenden Befehl aus:

    Restore-MsolUser -UserPrincipalName <string> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

    Hinweis

    In diesen Befehlen werden die folgenden Konventionen verwendet:

    • Die Parameter UserPrincipalName und die ObjectID Parameter identifizieren das zu wiederherstellende Benutzerobjekt eindeutig.
    • Der AutoReconcileProxyConflicts Parameter ist optional und wird in Szenarien verwendet, in denen einem anderen Benutzerobjekt die Proxyadresse des Zielbenutzerobjekts gewährt wird, nachdem diese Adresse gelöscht wurde.
    • Der NewUserPrincipalName Parameter wird optional in Szenarien verwendet, in denen ein anderes Benutzerobjekt mithilfe des Benutzerprinzipalnamens (User Principal Name, UPN) des Zielbenutzerobjekts gewährt wird, nachdem dieser UPN gelöscht wurde.

Lösung 2: Wiederherstellen von gelöschten Konten, da Bereichsänderungen das lokale Active Directory-Benutzerobjekt ausschließen

Um gelöschte Benutzerkonten wiederherzustellen, stellen Sie sicher, dass die Verzeichnissynchronisierungsfilterung (Bereichsdefinition) so festgelegt ist, dass der Bereich die Objekte enthält, die Sie wiederherstellen möchten.

Weitere Informationen finden Sie unter Microsoft Entra Connect Sync: Konfigurieren der Filterung.

Lösung 3: Wiederherstellen von Gelöschten Konten, da das lokale Benutzerobjekt aus dem lokalen Active Directory-Schema gelöscht wurde

Um ein Element wiederherzustellen, das aus dem lokalen Active Directory-Schema gelöscht wurde, probieren Sie die folgenden Methoden aus:

  • Versuchen Sie, das gelöschte Element aus dem Active Directory-Papierkorb wiederherzustellen. Eine Schritt-für-Schritt-Anleitung finden Sie im Active Directory-Recycle Bin Handbuch.

    Hinweis

    • Der Active Directory-Papierkorb ist nur verfügbar, wenn die Funktionsebene von Windows 2008 R2 oder höher verfügbar ist.
    • Damit der Active Directory-Papierkorb beim Wiederherstellen eines Elements nützlich ist, muss es aktiviert werden, bevor das Element gelöscht wird.

  • Wenn der Active Directory-Papierkorb nicht verfügbar ist oder sich das betreffende Objekt nicht mehr im Papierkorb befindet, versuchen Sie, das gelöschte Element mithilfe des AdRestore-Tools wiederherzustellen. Gehen Sie dazu wie folgt vor:

    1. Installieren Sie das AdRestore-Tool .

    2. Verwenden Sie AdRestore zusammen mit einem Suchfilter, um das gelöschte lokale Benutzerobjekt zu suchen. In den folgenden Beispielen wird eine "UserA"-Zeichenfolge verwendet, um nach Benutzernamen zu suchen, die übereinstimmen.

      1. Verwenden Sie AdRestore, um alle Benutzerobjekte aufzählen, die eine "UserA"-Zeichenfolge in ihrem Namen haben:

        C:\>adrestore.exe UserA
AdRestore v1.1 by Mark Russinovich
Sysinternals - www.sysinternals.com

Enumerating domain deleted objects:
cn: MailboxA
DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
distinguishedName: CN=UserA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
lastKnownParent: OU=OnPremises,DC=Domain,DC=com

Found 1 item matching search criteria.

      2. Verwenden Sie AdRestore zusammen mit dem Switch -r , um das Benutzerobjekt wiederherzustellen.

        C:\>adrestore.exe Usera -r
AdRestore v1.1 by Mark Russinovich
Sysinternals - www.sysinternals.com

Enumerating domain deleted objects:
cn: UserA
DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
distinguishedName: CN=MailboxA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
lastKnownParent: OU=OnPremises,DC=Domain,DC=com

Do you want to restore this object (y/n)? y
Restore succeeded.

Found 1 item matching search criteria.

  • Aktivieren Sie das Benutzerobjekt in Active Directory. Wenn das Objekt wiederhergestellt wird, wird es zuerst deaktiviert. Daher müssen Sie es aktivieren. Es wird empfohlen, zuerst das Benutzerkennwort zurückzusetzen. Führen Sie die folgenden Schritte aus, um den Benutzer zu aktivieren:

    1. Klicken Sie in Active Directory-Benutzer und -Computern mit der rechten Maustaste auf den Benutzer, und wählen Sie dann "Kennwort zurücksetzen" aus.

    2. Geben Sie in den Feldern "Neues Kennwort" und " Kennwort bestätigen " ein neues Kennwort ein, und wählen Sie dann "OK" aus.

    3. Klicken Sie mit der rechten Maustaste auf den Benutzer, wählen Sie "Konto aktivieren" und dann "OK" aus.

      Screenshot zum Aktivieren des Kontos in Active Directory.

      Sie erhalten die folgende Fehlermeldung (erwartet):

      Windows kann objektpostfachname <> nicht aktivieren, da: Das Kennwort kann nicht aktualisiert werden. Der für das neue Kennwort angegebene Wert erfüllt nicht die Anforderungen an Länge, Komplexität oder Verlauf der Domäne.

      Nachdem Sie diese Fehlermeldung erhalten haben, setzen Sie das Kennwort des Benutzers in Active Directory-Benutzern und -Computern zurück.

  • Konfigurieren des Benutzeranmeldungsnamens

    Der Benutzeranmeldungsname (auch als Benutzerprinzipalname oder UPN bezeichnet) wird nicht aus dem wiederhergestellten Benutzerobjekt festgelegt. Sie müssen den Benutzernamen aktualisieren, insbesondere, wenn der Benutzer ein Verbundkonto ist.

    Führen Sie die folgenden Schritte aus, um den Benutzeranmeldungsnamen zu konfigurieren:

    1. Klicken Sie in Active Directory-Benutzer und -Computern mit der rechten Maustaste auf den Benutzer, und wählen Sie dann "Eigenschaften" aus.
    2. Wählen Sie "Konto" aus, geben Sie im Feld "Benutzeranmeldungsname" einen Namen ein, und wählen Sie dann "OK" aus.

    Wenn Sie das gelöschte Benutzerkonto nicht über den Active Directory-Papierkorb oder mithilfe des AdRestore-Tools wiederherstellen können, führen Sie eine autorisierende Wiederherstellung der gelöschten Benutzerobjekte in Active Directory aus.

Warnungen und Vorsichtsmaßnahmen

  • Stellen Sie sicher, dass nur die Benutzerobjekte, die Sie wiederherstellen möchten, als autoritativ gekennzeichnet sind. Active Directory-Objekte, die im Wiederherstellungsvorgang als autoritativ gekennzeichnet sind, können viele Active Directory-Dienstprobleme verursachen.

    Weitere Informationen zum Ausführen einer autorisierenden Wiederherstellung von Active Directory-Objekten finden Sie unter Ausführen einer autorisierenden Wiederherstellung von Active Directory-Objekten.

  • Nachdem Sie das Objekt mithilfe einer Resolution 3-Methode wiederhergestellt haben, weist das Objekt möglicherweise nicht alle Dienstattribute (z. B. Exchange Online und Skype for Business Online) automatisch wiederhergestellt auf.

    Beispielsweise können Sie für einen Benutzer, der früher E-Mail-aktiviert war, in Exchange Online Windows PowerShell-Cmdlets verwenden, um die Exchange Online-Attribute neu zu füllen.

    Im folgenden Beispiel wird das User1-Objekt mithilfe von Exchange Online-Attributen für den contoso.onmicrosoft.com Mandanten neu aufgefüllt:

    Enable-RemoteMailbox -Identity User1 -RemoteRoutingAddress user1@contoso.mail.onmicrosoft.com

  • Wenn die folgenden Bedingungen erfüllt sind, funktioniert Auflösung 3 nicht:

    • Das Wiederherstellen des Objekts mithilfe des Active Directory-Papierkorbs ist keine verfügbare Option.
    • Das Wiederherstellen des Objekts mithilfe des AdRestore-Tools ist keine verfügbare Option.
    • Die autorisierende Active Directory-Wiederherstellung ist keine verfügbare Option.

Wenden Sie sich in diesem Fall an den Microsoft 365-Support, um Hilfe zu bitten.

Mehr Informationen

Nach dem Löschen des Benutzers und vor der Wiederherstellung des Benutzers können die folgenden Ereignisse auftreten und Konflikte verursachen, die die Benutzererfahrung ändern können:

  • Ein neuer Benutzer verfügt über einen eindeutigen Benutzer-ID-Wert, der dem gelöschten Benutzer zuvor zugewiesen wurde.
  • Ein neuer Benutzer verfügt über einen eindeutigen E-Mail-Adresswert, der dem gelöschten Benutzer zuvor zugewiesen wurde.

Wenn diese Konflikte auftreten, müssen konflikteierende Attribute aktualisiert werden, um den Konflikt zu entfernen, bevor die Benutzerwiederherstellung abgeschlossen werden kann. Wenn während der Benutzerwiederherstellung ein Konflikt auftritt, gibt Windows PowerShell eine der folgenden Fehlermeldungen zurück:

Fehler 1

Restore-MsolUser: Das angegebene Benutzerkonto kann aufgrund des folgenden Fehlers nicht wiederhergestellt werden: Fehlertyp UserPrincipalName

Fehler 2

Restore-MsolUser: Das angegebene Benutzerkonto kann aufgrund des folgenden Fehlers nicht wiederhergestellt werden: Fehlertyp proxyAddress

Um Benutzer wiederherzustellen, die sich in diesem Zustand befinden, können Sie den Konflikt beheben, indem Sie die folgenden Parameter verwenden, wenn Sie das Cmdlet Restore-MSOLUser ausführen:

  • AutoReconcileProxyConflicts
  • NewUserPrincipalName

Hinweis

Wenn Sie den AutoReconcileProxyConflicts Parameter verwenden, werden alle in Konflikt stehenden E-Mail-Adressen vom gelöschten Benutzer entfernt, damit Sie den Wiederherstellungsvorgang fortsetzen können.

Das Microsoft 365-Portal zeigt die entsprechenden Fehlermeldungen in Form von Windows PowerShell -Fehlerzuständen an, die zuvor erwähnt wurden. Sie erhalten z. B. die folgende Meldung:

Benutzernamekonflikt Der Benutzer, den Sie wiederherstellen möchten, hat denselben Benutzernamen.

Screenshot, der zeigt, dass der Benutzername im Konflikt steht.

Wenn Sie Benutzer wiederherstellen möchten, die sich in diesem Zustand befinden, füllen Sie die im Formular angeforderten Informationen aus.

Brauchst du noch Hilfe? Wechseln Sie zu Microsoft Community oder zur Microsoft Entra Forums Website.