In der Vergangenheit hat sich gezeigt das es nicht immer einfach gewesen ist aus versehen gelöschte Gruppen oder Benutzer wieder herzustellen. Sei es mit einer “autoritativen Wiederherstellung” oder mit, seit Windows 2008 integrierten, über “ntdsutil” Funktion “snapshot” Alles hatte vor und Nachteile. Der Ad-Papierkorb den es seit Windows 2008 gibt war über die Powershell zu aktivieren und auch das zurück holen der Objekte war umständlich.
Die Lücke hat Microsoft jetzt mit den Server 2012 geschlossen. Der AD-Papierkorb wird für die Gesamtstruktur aktiviert, nach der Aktivierung gibt es kein zurück mehr, also gut überlegen ob Sie den AD-Papierkorb wirklich nutzen wollen.
Mein Szenario, ich ahbe ein User “Löschy” und eine Gruppe “Löschy-GRP” angelegt, zu der Gruppe habe ich Löschy zum Mitgleid gemacht.Zusätzlich habe ich noch eine Gruppe angelegt die ich “Lösche auch” genannt habe.
Diese werde ich jetzt in den nächsten Screenshots löschen und wiederherstellen.
Die Ausgangssituation
Mit dem Hochstufen eines Domänencontrollers, wird auch das “AD-Administrations Center installiert, hier werden die nötigen Einstellungen gemacht.
Mit der rechten Maustaste auf die Domäne und im Kontextmenü erscheint “Papierkorb aktivieren…”
Bitte spätestens an dieser Stelle noch einmal darüber Nachdenken ob Sie ihn wirklich nutzen wollen.
Der Hinweis, dass es sein kann das die Aktivierung etwas dauert, also lehnen Sie sich zurück und trinken einen Kaffee.
Nachdem alles aktiviert ist und alles so ganz gut läuft, habe ich aus versehen (uppsss) doch glatt den Benutzer “Löschy” und die Gruppe “Lösche auch” gelöscht !!
Was nun ? Der Benutzer hat zig Gruppenzugehörigkeiten, eine gute Dokumentation gibt es auch nicht darüber, wie kann ich möglichst schnell Schadensbegrenzung machen?
Der Windows Server 2012 wäre hier fehl am Platze wenn es jetzt nicht einfach geht.
Also !!
Im AD-Verwaltungcenter unter der Domäne, suchen Sie “deleted objects” wenn Sie in diesen Container schauen, werden Sie ihre gelöschten Objekte wiederfinden.
Objekt anklicken, auf der linken Seite “Wiederherstellen” und schon ist alles wieder beim alten.
Ins AD geschaut, vieleicht noch einmal mit F5 aktualisieren und der Benutzer ist wieder da, auch mit der Gruppenzugehörigkeit.
Einfacher geht es nicht mehr.
Es versteht sich von alleine das man solche Aktionen natürlich erst einmal in einer virtuellen Umgebung testet und auch übt. Sei es noch so einfach, wir wissen, es kann alles schief gehen.
Viel Spaß beim üben.