Papierkorb für Active Directory
Neu ist die Einführung eines Papierkorbs im Active Directory, über den sich gelöschte Objekte ohne Zusatzwerkzeuge wiederherstellen lassen. Windows Server 2008 R2 bietet eine neue Funktionsebene für Active Directory an. Diese Funktionsebene benötigen Unternehmen, um die neuen Active-Directory-Verbesserungen nutzen zu können, zum Beispiel auch den Papierkorb. Der Papierkorb steht erst dann zur Verfügung, wenn ein Benutzer mit Enterprise-Administrator-Rechten ihn aktiviert.
Da der Papierkorb ein optionales Feature ist, sollten Sie dieses erst dann aktivieren, wenn Sie diese Funktion produktiv nutzen wollen. Die Aktivierung erfolgt über das Active-Directory-Modul der PowerShell. Dieses starten Sie in der Programmgruppe Verwaltung über den Link Active Directory Module for Windows PowerShell. Geben Sie in der PowerShell nach dem Start den Befehl Get-ADOptionalFeature ein. Anschließend fragt Sie die Befehlszeile nach dem Filter. Hier verwenden Sie am besten den Platzhalter *. Als Nächstes zeigt die PowerShell Informationen zu den optionalen Features an – beispielsweise im Bereich EnabledScopes zeigt den Wert { }, was bedeutet, dass das Feature noch deaktiviert ist. Wichtig ist, dass der Wert bei RequiredForestMode auf WindowsServer2008R2Forest steht und dieser Wert aktiviert ist.
Um den Papierkorb zu aktivieren, geben Sie den Befehl Enable-ADOptionalFeature "Recycle Bin Feature" ein. Anschließend fragt die PowerShell nach dem Scope. Hier verwenden Sie ForestOrConfigurationSet. Als Nächstes benötigen Sie das Target. Geben Sie hier als Wert die Bezeichnung Ihrer Gesamtstruktur ein, also den FQDN, zum Beispiel contoso.com. Danach müssen Sie die Aktivierung noch bestätigen. Wenn Sie anschließend nochmals mit dem Befehl Get-ADOptionalFeature den Status abrufen, wird das Feature als aktiv gekennzeichnet. Die Aktivierung ist übrigens einmalig, sie lässt sich nicht mehr rückgängig machen. Das bedeutet, dass Sie die entsprechende Domäne oder die Gesamtstruktur löschen und neu erstellen müssen, um die Funktion wieder zu deaktivieren. Um die Funktion zu testen, legen Sie eine neue Organisationseinheit ein, zum Beispiel mit dem Active Directory Administrative Center. Klicken Sie dazu mit der rechten Maustaste auf die Domäne, wählen Sie Neu und dann Organisationseinheit. Sie können diese durch Drücken der Entf-Taste auf der Tastatur löschen oder durch das Kontextmenü und Auswählen von Löschen. Wollen Sie den Inhalt des Papierkorbs anzeigen, verwenden Sie im Active-Directory-Modul der PowerShell, das Sie über die Programmgruppe Verwaltung starten, den Befehl Get-ADObject –SearchBase “CN=Deleted Objects,DC=<Domänenname>,DC=<Top-Level-Domänenname>" –ldapFilter “(objectClass=*)” -includeDeletedObjects.
Die Option -includeDeletedObjects stellt sicher, dass nicht nur alle herkömmlichen Objekte angezeigt werden, sondern dass die PowerShell gelöschte Objekte berücksichtigt. Die Anzeige erfolgt allerdings nicht nur in Klartext, vielmehr zeigt die PowerShell die GUID des entsprechenden Objektes an. Diese GUID benötigen Sie für die Wiederherstellung. Über das Menü und dann Auswahl von Bearbeiten/Markieren können Sie die GUID in die Zwischenablage kopieren und mit dem Befehl Restore-ADObject –Identity <GUID> wiederherstellen. Um Benutzerkonten oder Domänen wiederherzustellen, benötigen Sie das ehemalige übergeordnete Objekt des gelöschten Objekts. Diese Info erhalten Sie über die Option -properties
lastknownparent des Befehls Get-ADObject.