Logo faq-o-matic.net
Logo faq-o-matic.net

Lazarus erweckt gelöschte AD-Objekte bequem wieder zum Leben

von veröffentlicht am21. Januar 2010, 08:22 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Active Directory, Tools, Wiederherstellung, Windows Server 2008 R2   Translate with Google Translate Translate EN   Die angezeigte Seite drucken
Zuletzt aktualisiert: 23. Januar 2010

Mit Windows Server 2008 R2 hat Microsoft den Active Directory Recycle Bin eingeführt. Dieses Feature verspricht eine vollständige Wiederherstellung von gelöschten AD Objekten mit allen Eigenschaften. Da freut sich der AD Administrator, denn bei der in früheren Versionen zur Verfügung stehenden Tombstone Reanimation geht die referenzielle Integrität der wiederhergestellten Objekte verloren (Gruppenmitgliedschaften und andere Link-Attribute).

So weit, so schön. Nun fragen sich viele beim Blick auf Ihren Windows 2008 Domänen-Controller: „Wo ist denn nun der angekündigte AD-Papierkorb? Man sieht ja gar nichts!“

Tatsache ist:

  • Beim AD Recycle Bin handelt es sich nicht um eine Erweiterung, die man als „Papierkorb“ in den grafischen Admin-Utilties sieht, es ist lediglich ein technische Feature, das die Objekte im altbekannten Container „Deleted Objects“ komplett wiederherstellbar macht. Dieser versteckte Systemorder befindet sich in jeder Active-Directory-Partition in der Root, lässt sich aber in den Standard-Utilities (z.B. Active Directory Users and Computers, ADSI Edit) nicht anzeigen.
  • Das AD Recycle Bin ist standardmäßig deaktiviert, man muss also zuerst Hand anlegen, bevor man gelöschte Objekte ohne großen Aufwand wiederherstellen kann. Die Aktivierung des AD-Recycle-Bin-Features gelingt übrigens nur, wenn der Functional Level des gesamten AD-Forests auf Windows Server 2008 R2 steht, es müssen also alle DCs im Forest mindestens mit Windows Server 2008 R2 laufen. Einmal aktiviert, stehen die Möglichkeiten des AD Recycle Bin im gesamten Forest zur Verfügung.
  • Es gibt für Objekte im Recycle Bin nun zwei verschiedene Zustände: „Deleted“ und „Recycled„. Lediglich im Zustand „Deleted“ können Objekte noch zurückgeholt werden, Sie verbleiben danach als „Recycled„-Objekte nur noch zum Zweck der internen AD Replikation in der Datenbank, bevor sie endgültig verschwinden:

    clip_image002

Es existieren die beiden Werte msDS-deletedObjectLifetime und tombstoneLifetime, die die Aufenthaltsdauer der Objekte im Deleted-Objects-Container steuern. In einer reinrassigen (sprich neu installierten) Windows-2008-R2-Umgbung sind beide Werte standardmäßig auf 180 Tage gesetzt.

In einem AD Recycle Bin Artikel im Technet sind alle entsprechenden Details dargelegt, hier wird auch beschrieben, wie der AD Recycle Bin mit Powershell-Befehlen aktiviert wird und wie man dann mit Get-ADObject und Restore-ADObject die Wiederherstellung in der Power Shell durchführt.

Dieses Verfahren ist jedoch recht umständlich, wenn z.B. aus Versehen ein OU mit Unter-OUs und vielen Objekten darin gelöscht wurde. Dann muss man diese Objekte nämlich umständlich identifizieren (wer schüttelt schon schnell mal einen Get-ADObject-Filter aus dem Ärmel, der alle Objekte umfasst, die innerhalb der letzten Stunde gelöscht wurden?) und dann wiederherstellen, aber bitte die gelöschten OUs zuerst, denn Restore-Object kann zusammen mit Objekten nicht automatisch ihre ebenfalls gelöschten darüber liegenden Container wiederherstellen.

All dies hat mich dazu bewogen, ein kostenloses grafisches Utility zu entwickeln, das den bequemen Zugriff auf den „Deleted Objects“-Container, die Wiederherstellung der gelöschten Objekte und die Aktivierung/Konfiguration des AD-Recycle-Bin-Features erlaubt: LAZARUS.

Die LAZARUS Version 1.0.1 steht hier zum Download zur Verfügung. Ursprünglich war Lazarus ein Ableger meines kommerziellen LDAP Browsers „LEX – The LDAP Explorer“ – in beiden werkelt die gleiche Browser-Engine unter der Motorhaube.

clip_image004

LAZARUS kann nun Folgendes:

  • Den Deleted-Objects-Container und dessen Inhalt anzeigen (falls dieser nicht zu sehen ist: In manchen Umgebungen kann nur der vordefinierte Administrator auf den Deleted-Objects-Container zugreifen, obwohl eigentlich eine Mitgliedschaft in den ‚Administratoren‘ der Domäne ausreichen sollte!)
  • Die gelöschten Objekte können bequem einzeln oder alle in einem Schritt per Mausklick an ihrem ursprünglichen Platz oder an einem anderen Container wiederhergestellt werden.
  • Soll ein Objekt wiederhergestellt werden, dessen beherbergender Container auch gelöscht wurde, so wird dieser automatisch auch wiederhergestellt.
  • Das ganze klappt auch für AD-LDS-Umgebungen – LAZARUS kommt mit einem entsprechenden Dialog zum Aufbau von LDAP Connections zu beliebigen AD-Systemen (auch Domänen- oder Forest-übergreifend).
  • Ist der AD Recycle Bin nicht aktiv, dann kann er mit LAZARUS per Mausklick aktiviert werden (dazu braucht man jedoch Schreibrechte in der AD Configuration Partition, muss also Enterprise-Admin sein)
  • Alle Werte, die bestimmen, wie lange die gelöschten Objekte im Deleted-Objects-Container verharren und wiederherstellbar sind, können bequem überprüft und gesetzt werden.
    clip_image005

Einige wichtige technische Informationen zu LAZARUS:

LAZARUS läuft unter Windows XP, Vista, Windows 7, Windows Sever 2003, Windows Server 2008 (und den jeweiligen R2-Fassungen). Eine explizite Installation von Binaries oder DLLs ist nicht notwendig, kopiert einfach die ausführbare LAZARUS-Datei auf ein lokales Laufwerk und startet die Applikation.

Technische Voraussetzung: .NET Framework 2.0 Runtime Environment. Die Laufzeitumgebung .NET Framework ist auf jedem Windows Vista, Windows 7 oder Windows Server 2008 bereits vorhanden, so dass Ihr hier LAZARUS verwenden können, ohne vorher .NET installieren zu müssen. Beachtet hierbei, dass die Betriebssysteme auf den neuesten Stand mit allen Hotfixes aktualisiert werden müssen, um über die passende .NET-Framework-Version zu verfügen.

Für Fragen und Anregungen bezüglich LAZARUS stehe ich gerne zur Verfügung, einfach das LAZARUS-Forum in der LEX Online Community verwenden.

© 2005-2019 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!