Mit dem Active Directory-Papierkorb kann ein Domänenadministrator jedes gelöschte Active Directory-Objekt (Benutzer, Computer, AD-Sicherheitsgruppe usw.) wiederherstellen.). Der Active Directory-Papierkorb wurde erstmals in Windows Server 2008 R2 eingeführt. In dieser Version konnten Sie den Papierkorb nur verwalten und AD-Objekte über die PowerShell-CLI wiederherstellen. Windows Server 2012 führte die Funktion zum Verwalten des AD-Papierkorbs und der Remoteobjekte über die Active Directory-Verwaltungscenter-GUI ein. In diesem Artikel zeigen wir Ihnen, wie Sie den AD-Papierkorb unter Windows Server 2016 aktivieren und das gelöschte Benutzerobjekt wiederherstellen.
Standardmäßig ist der AD-Papierkorb in der Domäne nicht in allen Versionen von Windows Server aktiviert. Sie können den Status des Papierkorbs mithilfe des Cmdlets aus dem Modul Active Directory für Windows PowerShell überprüfen.
Get-ADOptionalFeature "Recycle Bin Feature" | select-object name, EnabledScopes
In unserem Fall ist der Wert EnabledScopes leer, was bedeutet, dass der Papierkorb für ANZEIGEN nicht aktiviert ist.
Um den AD-Papierkorb zu aktivieren, müssen auf allen Domänencontrollern Windows Server 2008 R2 (oder neuer) ausgeführt werden, und die Gesamtstrukturfunktionsebene muss auf Windows Server 2008 R2 oder höher festgelegt sein.
Sie können die Funktionsebene der AD-Gesamtstruktur mit dem Befehl überprüfen:
Get-ADForest | select-object ForestMode|fl
Wenn die ForestMode-Ebene niedriger als Windows2008R2Forest ist, müssen Sie die Gesamtstrukturfunktionsebene aktualisieren.
Sie können den Active Directory-Papierkorb in Windows Server 2016 mithilfe des PowerShell-Befehls aktivieren:
Enable-ADOptionalFeature 'Recycle Bin Feature' -Scope ForestOrConfigurationSet -Target theitbros.com
Hinweis. Das Aktivieren des Papierkorbs für ANZEIGEN ist irreversibel! Sie können es nach dem Einschalten nicht deaktivieren.
Sie können den AD-Papierkorb auch über das Active Directory-Verwaltungscenter-Snap-In aktivieren.
Starten Sie ADAC, klicken Sie mit der rechten Maustaste auf den Domainnamen und wählen Sie die Option „Papierkorb aktivieren“.
Bestätigen Sie die Aktivierung des AD-Papierkorbs im Warnfenster: „Bestätigung des Papierkorbs aktivieren. Sind Sie sicher, dass Sie diese Aktion ausführen möchten? Sobald der Papierkorb aktiviert ist, kann er nicht mehr deaktiviert werden.“
Nachdem Sie den Active Directory-Papierkorb im Active Directory-Verwaltungscenter aktiviert haben, wird ein neuer Container für gelöschte Objekte angezeigt. Alle gelöschten Active Directory-Objekte werden automatisch in diesem Container abgelegt.
In diesem Container finden Sie alle gelöschten AD-Objekte; Sie können ihre Eigenschaften anzeigen und sie an ihrem ursprünglichen OU-Ziel oder an einem anderen Ort wiederherstellen.
Lassen Sie uns das Testbenutzerkonto löschen und versuchen, es wiederherzustellen.
Wichtig! Alle verwandten und nicht verwandten Attribute des AD-Objekts werden im AD-Papierkorb gespeichert. Dies bedeutet, dass Sie ein Objekt zusammen mit allen Attributen wiederherstellen können.
Ein als logisch entfernt markiertes AD-Objekt wird für die Lebensdauer des entfernten Objekts gespeichert. Dieser Wert ist im Attribut msDS-DeletedObjectLifetime in CN=Directory Service, CN=Windows NT, CN=Services, CN=Configuration, DC=theitbros definiert und standardmäßig nicht definiert. In diesem Fall wird das Objekt gemäß der in tombstoneLifetime angegebenen Zeit gespeichert (standardmäßig 180 Tage).
Um dieses AD-Benutzerobjekt wiederherzustellen, klicken Sie darauf und wählen Sie Wiederherstellen oder Wiederherstellen in. Von hier aus können Sie auch gelöschte Benutzereigenschaften anzeigen.
Sie können den gelöschten Benutzer auch finden und mithilfe von PowerShell aus dem AD-Papierkorb wiederherstellen:
Get-ADObject -filter {displayname -eq "testuser1"} -Filter 'isDeleted -eq $true' –includedeletedobjects | Restore-ADObject