Aktivieren und Verwenden des Active Directory-Papierkorbs

Mit dem Active Directory-Papierkorb können Sie versehentlich gelöschte Active Directory-Objekte bewahren und wiederherstellen. Wenn Sie den Active Directory-Papierkorb aktivieren, werden alle Attribute mit verknüpften oder nicht verknüpften Werten der gelöschten Active Directory-Objekte beibehalten. Dadurch können Objekte vollständig in dem gleichen konsistenten logischen Zustand wiederhergestellt werden, in dem sie sich unmittelbar vor ihrer Löschung befanden. So erhalten beispielsweise wiederhergestellte Benutzerkonten automatisch alle Gruppenmitgliedschaften und entsprechenden Zugriffsrechte zurück, die sie unmittelbar vor dem Löschen sowohl innerhalb als auch zwischen den Domänen innehatten.

Important

Der Active Directory-Papierkorb ist standardmäßig nicht aktiviert. Das Aktivieren des Active Directory-Papierkorbs kann nicht mehr rückgängig gemacht werden. Die Aktivierung des Active Directory-Papierkorbs in Ihrer Umgebung kann nicht rückgängig gemacht werden.

Prerequisites

Vor der Aktivierung des Active Directory-Papierkorbs müssen folgende Voraussetzungen erfüllt sein:

• Die Gesamtstruktur- und Domänenfunktionsebene muss mindestens Windows Server 2008 R2 sein.

• Sie müssen in der Domäne, in der Sie den Active Directory-Papierkorb aktivieren möchten, Mitglied der Gruppe „Domänen-Amins“ sein.

• Eines der folgenden Remoteserver-Verwaltungstools (Remote Server Administration Tools, RSAT) muss installiert sein:

  • Active Directory-Verwaltungscenter (ADAC)
  • Active Directory-Modul für Windows PowerShell

Aktivieren des Active Directory-Papierkorbs

Gehen Sie zum Aktivieren des Active Directory-Papierkorbs wie folgt vor:

Active Directory-Verwaltungscenter

So aktivieren Sie den Active Directory-Papierkorb im Active Directory-Verwaltungscenter (Active Directory Administrative Center, ADAC):

1. Melden Sie sich bei einem Computer an, auf dem das Active Directory-Modul für Windows PowerShell installiert ist.

2. Open Active Directory Administrative Center, either from the Tools menu of the Server Manager console or by running an elevated PowerShell session and typing dsac.exe.

3. If the appropriate target domain isn't selected, choose Manage, choose Add Navigation Nodes, and select the appropriate target domain in the Add Navigation Nodes dialog box and then choose OK.

4. In the Tasks pane, choose Enable Recycle Bin in the Tasks pane, choose OK on the warning message box, and then choose OK to the refresh ADAC message.

5. Zum Aktualisieren von ADAC können Sie entweder F5 drücken oder das Aktualisierungssymbol auswählen.

PowerShell

Here's how to enable Active Directory Recycle Bin using the Enable-ADOptionalFeature cmdlet.

1. Open an elevated PowerShell session, right-click on the Start button, choose Windows PowerShell (Admin).

2. Führen Sie den folgenden Befehl aus, um den Active Directory-Papierkorb in der Domäne contoso.com zu aktivieren:

   Enable-ADOptionalFeature -Identity 'CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com' -Scope ForestOrConfigurationSet -Target 'contoso.com'
   

Wenn ein Fehler auftritt, können Sie versuchen, sowohl den Schemamaster als auch die Domänenbenennungsmasterrollen auf denselben Domänencontroller in der Stammdomäne zu verschieben. Führen Sie dann das Cmdlet von diesem Domänencontroller aus.

Wiederherstellen gelöschter Objekte

Führen Sie die folgenden Schritte aus, um gelöschte Objekte mithilfe des Active Directory-Verwaltungscenters wiederherzustellen.

Tip

Sie können nur AD DS-Elemente wiederherstellen, die gelöscht wurden, nachdem der Active Directory-Papierkorb aktiviert wurde. Sie können den Active Directory-Papierkorb nicht verwenden, um Elemente wiederherzustellen, die gelöscht wurden, bevor diese Funktion aktiviert wurde.

Active Directory-Verwaltungscenter

So stellen Sie gelöschte Objekte mithilfe des Active Directory-Verwaltungscenters wieder her:

1. Open Active Directory Administrative Center, either from the Tools menu of the Server Manager console or by running an elevated PowerShell session and typing dsac.exe.

2. choose Manage, choose Add Navigation Nodes, and select the appropriate target domain in the Add Navigation Nodes dialog box and then choose OK.

3. Navigate to the Deleted Objects container.

4. Select the users you wish to restore and then choose either Restore in the Tasks pane, or Restore To in the Tasks pane and specify the location to which you wish to restore the deleted objects.

5. Wenn Sie sich davon überzeugen möchten, dass die Objekte an ihrem ursprünglichen Speicherort wiederhergestellt wurden, navigieren Sie zu der Zieldomäne und überprüfen Sie, dass die Benutzerkonten dort aufgeführt sind.

PowerShell

Here's how to restore deleted objects using the Restore-ADObject cmdlet.

1. Open an elevated PowerShell session, right-click on the Start button, choose Windows PowerShell (Admin).

2. Mithilfe des folgenden Befehls können Sie alle gelöschten Objekte wiederherstellen, die den Namen „test“ enthalten:

   Get-ADObject -Filter 'Name -Like "*User*"' -IncludeDeletedObjects | Restore-ADObject
   

3. Wenn Sie gelöschte Objekte an einem anderen Speicherort wiederherstellen möchten, verwenden Sie das Cmdlet Restore-ADObject mit dem Parameter -TargetPath. Führen Sie also beispielsweise den folgenden Befehl aus, um alle Objekte, die den Namen „User“ enthalten, in der OE Corp in der Domäne contoso.com wiederherzustellen:

   Get-ADObject -Filter 'Name -Like "*User*"' -IncludeDeletedObjects | Restore-ADObject -TargetPath "OU=Corp,DC=contoso,DC=com"