In der aktuellen Windows 2008 R2 Server Version gibt es die Möglichkeit das gelöschte AD Objekte in einem Papierkorb aufbewahrt werden. Das gab es zwar schon früher, allerdings werden bei dem AD Papierkorb alle Werte erhalten incl. Passwort. Dies war bei der vorhergehenden Lösung nicht der Fall. Der AD Papierkorb setzt voraus das der Forrest Funcional Level „Windows 2008 R2“ ist. Ist die Domäne auf Windows 2003 aufgebaut und wurde zu 2008 R2 migriert werden die Objekte im Papierkorb für 60 Tage gespeichert. Ist die Domäne direkt mit Windows 2008 / 2008 R2 aufgebaut werden die Objekte für 180 Tage gespeichert. Der Wert lässt sich auch ändern.

Wichtig! Die AD Papierkorbfunktion gibt es nur unter Windows 2008 R2 Server.

Um den AD Papierkorb zu aktivieren muss auf dem Schema-Master in einer administrativen Power Shell folgender Befehl ausgeführt werden.

Wer ist der Schema-Master? Dies lässt sich mit netdom ermitteln:

C:\>netdom query fsmo

Falls keine Remote Powershell aktiviert ist muss man sich via RDP verbinden oder sich direkt an die Maschine begeben.

In der PowerShell muss das Modul ActiveDirectory nachgeladen werden. Der DN muss angepasst werden auf die entsprechende Domäne genauso wie das Target.

PS C:\>import-module activedirectory
PS C:\>enable-adoptionalfeature -identity "cn=recycle bin feature,cn=optional features,cn=directory service,cn=windows nt,cn=services,cn=configuration,dc=thoma,dc=local" -scope forestorconfigurationset -target "thoma.local"

ACHTUNG! Das Feature lässt sich nicht mehr abschalten. Anschließend mit „Y“ bestätigen.

 Wie kann man den AD Papierkorb verwenden ?

Ich habe zum Test den User dummy1 gelöscht. Der User befindet sich jetzt in diesem Papierkorb.

Mit einer administrativen PowerShell können wir den User suchen.

PS C:\>import-module activedirectory
PS C:\>get-adobject -filter {name -like "*dummy1*"} -includedeletedobject

Will man diesen User jetzt wiederherstellen so muss man folgenden Befehl verwenden:

PS C:\>get-adobject -filter {name -like "*dummy1*"} -includedeletedobject | restore-adobject

Ruft man jetzt erneut den „get-adobject -filter {name -like „*dummy1*“} -includedeletedobject“ Befehl auf sieht man das der User nichtmehr das Flag „Deleted“ besitzt und wieder seinen orginalen DN hat.

One thought on “Windows 2008 R2 Server Active Directory Papierkorb aktivieren und verwenden”

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*