Gelöschte AD-Objekte von Hand wiederherstellen

Erstellt am August 28, 2012 von Ralf Wigand

Neben all den Tools, die es mittlerweile gibt (Lazarus, RecycleBin), mag es manchmal nötig sein, eben schnell von Hand mit (fast) Bordmitteln ein Objekt wieder zum Leben zu erwecken. Here we go…

  • LDP.EXE starten (ist bei den Support Tools von Microsoft dabei und sollte meiner Meinung nach sowieso auf jedem DC installiert sein).
  • „Connection“ Menü, „Connect“ und ein „Bind“ als Mitglied der Domänen-Admin-Gruppe.
  • „Options“-Menü, „Controls“
  • „Load Predefined“ Liste, „Return Deleted Objects“ anklicken (der Eintrag 1.2.840.113556.1.4.417 wandert in das „Active Controls“ Menü)
  • Bei „Control Type“ dann „Server“ anklicken, und „OK“
  • „View“ Menü, „Tree“, und dann den distinguishedName des Containers mit den gelöschten Objekten angeben. Der liegt zum Beispiel für contoso.com bei
    CN=deleted objects,dc=contoso,dc=com
  • ein Doppelklick im linken Fenster auf den Container „Deleted Objects“ bringt eine Liste der vorhandenen gelöschten Objekte (zumindest die ersten 1000 bei Standard-Einstellungen, falls mehr gewünscht, dann mittelt ntdsutil die MaxPageSize erhöhen, siehe hier..)
  • ein Doppelklick auf das wiederherzustellende Objekt
  • Rechtsklick, „Modify“, und dann im Modify-Dialog:
  • in der „Edit Entry Attribute“ Box, „isDeleted“ eintippen, den „Delete“ Button klicken und „Enter“, damit erscheint der erste von zwei Einträgen in der „Entry list“ Box
  • NICHT auf Run klicken!
  • wieder in die Attribute-Box und „distinguishedName“ eintippen
  • in der „Value“-Box den gewünschten DN eintippen, also CN=name,CN=Users,dc=contoso,dc=com oder so (kleiner Hinweis: Im Attribut „lastKnownParent“ steht der Container, in dem das Objekt zum Zeitpunkt des Löschens war, das kann man natürlich kopieren und wiederverwenden)
  • in der „Operation“-Box auf „Replace“ klicken
  • und nochmal „Enter“, und beide Schritte stehen in der „Entry List“ Box
  • jetzt noch „Synchronous“ und „Extended“ auswählen und
  • auf „Run“ klicken.
  • Für spätere Einsätze sollte man nochmal im „Options“-Menü auf „Controls“ und das 1.2.usw mittels „CheckOut“ wieder aus der „Active Controls“ Box rausnehmen.

Beim Löschen des Objektes wurden alle Attribute gelöscht ausser sID, objectGUID, lastKnownParent und sAMAccountName. Alle anderen Attribute, insbesondere die Gruppenmitgliedschaften, das Passwort, Profile- und Home-Verzeichnis müssen erneut eingegeben werden.

Bis vor Windows Server 2003 SP1 wurde auch das Attribut sIDHistory beim Löschen des Objektes entfernt, inzwischen bleibt es erhalten. Generell sollte das Wiederherstellen eines Objektes auf einem nativen Windows Server 2003 SP1 oder höher erfolgen (nativ heißt, er wurde als solcher aufgesetzt und nicht per Update dazu gemacht).

Übrigens wird das lastKnownParent-Attribut nicht gesetzt, wenn der Löschvorgang auf einem Windows 2000 DC erfolgt ist, aber wer hat heutzutage noch DCs mit Windows 2000… 🙂

Über Ralf Wigand

...arbeitet für Microsoft und war von 2008-2015 MVP für Directory Services.
Dieser Beitrag wurde unter Uncategorized veröffentlicht. Setze ein Lesezeichen auf den Permalink.

Hinterlasse einen Kommentar