logo ntadmins

Komplette Wiederherstellung von gelöschten Objekten im AD

2. Mai 2011
AD RecycleBin Bild
Bild 1. So sieht der Lebenszyklus eines Objekts im AD aus, wenn die Funktionalität des AD Papierkorbs aktiviert ist (ab Windows Server 2008 Release 2). Quelle: Microsoft

Mit dem Zusammenspiel des „Active Directory Papierkorb“ (AD Recycle Bin) und Tools wie ADRestore bekommt der Administrator eine kostenlose und zudem elegante Möglichkeit, gelöschte Objekte aus dem Active Directory komplett – also mit allen Attributen – wiederherzustellen. Dazu muss aber die Gesamtstruktur auf dem Level „Windows Server 2008 Release 2“ betrieben werden und der „AD Recycle Bin“ muss zuerst aktiviert werden – ein unumkehrbarer Vorgang.

Wer einzelne, gelöschte Objekte im Active Directory (AD) wiederherstellen musste, der hatte vor Windows Server 2008 Release 2 (R2) schlechte Karten: Der Administrator musste einen Domänencontroller (DC) offline nehmen und dann das System in den Directory Services Recovery Mode

bringen. Dann galt es einen authoritativen Restore der verloren gegangenen Objekte im AD auszuführen und anschließend den DC wieder online zu bringen. Über die standardmäßige Replikation wurden dann die Änderungen im gesamten Verzeichnis wieder synchronisiert.

Für die Wiederherstellung eines einzelnen Objekts ist das ein aufwändiger Weg – vor allem wenn sich hinter dem Begriff „Wiederherstellung eines einzelnen Objekts“ auch der komplette Vorgang verbirgt: Es geht dabei um die Wiederherstellung des betreffenden Objekts inklusive all seiner Attribute.

Damit zeigt sich auch gleich, dass es mit einem Reaktivieren eines Tombstones (also eines zuvor gelöschten AD-Objekts) nicht getan ist. Denn wer ein AD-Objekt löscht und es somit in den Tombstone-Zustand überführt, der entfernt unwiederbringlich die Attribute zu dem AD-Objekt. Denn über das Reanimieren eines Tombstone-Objekts werden die Attribute des Objekts nicht wiederbelebt.

Ab Windows Server 2008 Release 2 (R2) hat Microsoft die Funktionalität des Active Directory Recycle Bin eingeführt (siehe auch den Microsoft-Beitrag „How to restore deleted user accounts and their group memberships in Active Directory“.

Diese Bezeichnung ist ein wenig irreführend, denn es sind zwei Bedingungen für den Einsatz zu erfüllen:

  • Zum einen muss die komplette Gesamtstruktur auf der funktionalen Ebene von Windows Server 2008 R2 laufen,
  • und zum anderen muss man die Funktionalität des AD Recycle Bin auch explizit einschalten. Bei dieser Aktivierung handelt es sich auch um einen Vorgang, der nicht mehr zurück genommen werden kann.

Den AD Papierkorb aktivieren

Das Aktivieren des Ad Recycle Bin ist auch über die Powershell machbar, hier ein Beispiel für die Domäne „oberland.net“ (der Befehl muss auf einer Zeile eingegeben werden, die Zeilenumbrüche hier sind aus Darstellungsgründen nötig):

Enable-ADOptionalFeature
  -Identity ‚CN=Recycle Bin Feature,
  CN=Optional Features,
  CN=Directory Service,
  CN=Windows NT,CN=Services,
  CN=Configuration,
  DC=oberland,DC=net‘
  -Scope ForestOrConfigurationSet
  -Target ‚oberland.net‘

Sind diese Aktionen für die Aktivierung der Funktion ausgeführt, werden AD-Objekte beim Löschen mit allen aktuellen Attributen kopiert und in den Container „Recycle Bin“ im Verzeichnisdienst abgelegt.

Allerdings wird man kein Icon für den Recycle Bin sehen und es gibt auch kein Copy&Paste von Objekten aus dem AD Recycle Bin zurück in den aktiven Bereich des Verzeichnisdienstes – daher passt die Bezeichnung auch nicht so recht.

Es besteht allerdings für den Administrator die Möglichkeit, sich über die grafische Schnittstelle – genauer mit Hilfe von GUI-Tools – den neuen Container „Deleted Objects“ und seine Inhalte anzeigen zu lassen.

Die eigentliche Widerherstellung von gelöschten AD-Objekten ist dagegen eine Aufgabe für die Powershell. Allerdings sind die betreffenden Befehle alles andere als intuitiv – sie sind recht umfangreich.

Ist zum Beispiel eine versehentlich gelöschte Organisationseinheit (OU, Organizational Unit) wiederherzustellen, hat der Administrator zwei Schritte zu absolvieren: zuerst gilt es den leeren Container, also die OU, wiederherzustellen und danach – im zweiten Schritt – die Objekte wieder in den Container zurück zu speichern.

Eine weitere Einschränkung ist beim AD Recycle Bin auch noch herauszustellen: Es eignet sich für die Wiederherstellung einzelner Objekte nicht aber für die Wiederherstellung einzelner Attribute eines Objekts. So granular ist der Zugriff nicht.

Datenschützer treten auf den Plan

Aus der Sicht des Datenschutzes wird da dem ein oder anderem Verantwortlichen diese Funktion nicht gefallen: Wenn zum Beispiel zuvor gelöschte  personenbezogene Daten wiederherzustellen sind, muss das von der Datenschutz-Richtlinie oder vom Datenschutzbeauftragten im Unternehmen berücksichtigt werden. Das ist zwar auch bei einem normalen „Komplett-Backup“ ähnlich, doch dort liegen die Daten meistens in einem Archiv und oftmals ausgelagert auf Tapes und nicht in einem Online-System wie dem AD. Das macht dann durchaus einen Unterschied.

Will man die komplette Funktionalität des AD Recycle Bin bewerten, so bedeutet sie sicher einen großen Schritt nach vorne. Das wird vor allem bei kleineren Unternehmen – mit kleineren IT-Budgets – auf Gegenliebe stoßen, die nur ungern Tools von Drittherstellern anschaffen. Allerdings lässt die Funktionalität noch zu wünschen übrig.

Für das einfache und elegante Wiederherstellen des AD gibt es Werkzeuge, die auf eine grafische Art und Weise – also per Copy&Paste – gelöschte AD-Objekte wiederherstellen, die einzelne Attribute eines Objekts wieder aktivieren können und sogar bis zur kompletten Wiederherstellung einer Gesamtstruktur  skalieren – und das möglichst ohne einen DC offline nehmen zu müssen. In vielen Fällen integrieren sich diese Tools sogar in das MMC-Snapin Active Directory Users and Computers.

Zusammenspiel mit ADRestore

Aus der Riege der kostenlosen Tools für Windows-Plattformen genießen die Werkzeuge aus der Softwareschmiede Sysinternals einen exzellenten Ruf. Mit ADRestore  steht ein derartiges Werkzeug zum kostenlosen Download von Microsofts Website bereit (Sysinternals wurde von Microsoft aufgekauft). Es erlaubt das Wiederherstellen von gelöschten Objekten im AD. Dazu verwendet das Programm eine grafische Oberfläche. Allerdings waren bisher bei der Wiederherstellung mit ADRestore zum Beispiel alle wiederhergestellten Konten deaktiviert – sprich alle Properties des Objekts waren nicht gesetzt – sprich leer.

In der Kombination mit dem AD Recycle Bin und ADRestore aber hat man eine interessante Alternative für das Wiederherstellen von AD-Objekten: Dazu muss der Administrator zuerst das AD Recycle Bin aktivieren – wie zuvor beschrieben – mit der Powershell. Danach werden die Attribute eines AD-Objekts nicht mehr gelöscht, sondern für eine gewisse Zeitspanne noch im AD Recycle Bin mitgeführt. Dadurch ist ADRestore in der Lage, alle Properties (sprich Attribute) einen „logisch gelöschten Objekts“ komplett wiederherzustellen. Über die GUI des Tools ist die Wiederherstellung dann wesentlich einfacher als über die ansonsten nötigen, umfangreichen Powershell-Kommandos.

Don Jones/rhh

Lesen Sie auch

AdobeStock NT Gorodenkoff

Versteckte Gefahr durch Schatten-Administratoren

attivo networks adsecure

Domain Controller vor Angriffen über ungesicherte Endpunkte absichern

cyber security Darwin Laganzon auf Pixabay

Erste Erkenntnisse zu HermeticWiper