Wiederherstellen von Benutzerkonten und Gruppen in AD - Windows Server (2023)

  • Artikel
  • 51Minuten Lesedauer

Dieser Artikel enthält Informationen zum Wiederherstellen gelöschter Benutzerkonten und Gruppenmitgliedschaften in Active Directory.

Gilt für: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Ursprüngliche KB-Nummer: 840001

Einführung

Sie können mehrere Methoden verwenden, um gelöschte Benutzerkonten, Computerkonten und Sicherheitsgruppen wiederherzustellen. Diese Objekte werden gemeinsam als Sicherheitsprinzipale bezeichnet.

Die am häufigsten verwendete Methode besteht darin, das AD-Papierkorbfeature zu aktivieren, das auf Domänencontrollern basierend auf Windows Server 2008 R2 und höher unterstützt wird. Weitere Informationen zu diesem Feature, einschließlich der Aktivierung und Wiederherstellung von Objekten, finden Sie im Schritt-für-Schritt-Handbuch für den Active Directory-Papierkorb.

Wenn diese Methode für Sie nicht verfügbar ist, können die folgenden drei Methoden verwendet werden. In allen drei Methoden stellen Sie die gelöschten Objekte autoritativ wieder her und stellen dann Gruppenmitgliedschaftsinformationen für die gelöschten Sicherheitsprinzipale wieder her. Wenn Sie ein gelöschtes Objekt wiederherstellen, müssen Sie die ehemaligen Werte der member und memberOf Attribute im betroffenen Sicherheitsprinzipal wiederherstellen.

Hinweis

Das Wiederherstellen gelöschter Objekte in Active Directory kann vereinfacht werden, indem das AD-Papierkorbfeature aktiviert wird, das auf Domänencontrollern basierend auf Windows Server 2008 R2 und höher unterstützt wird. Weitere Informationen zu diesem Feature, einschließlich der Aktivierung und Wiederherstellung von Objekten, finden Sie im Schritt-für-Schritt-Handbuch für den Active Directory-Papierkorb.

Weitere Informationen

Die Methoden 1 und 2 bieten Domänenbenutzern und Administratoren eine bessere Erfahrung. Diese Methoden behalten die Ergänzungen zu Sicherheitsgruppen bei, die zwischen dem Zeitpunkt der letzten Systemstatussicherung und dem Zeitpunkt des Löschvorgangs vorgenommen wurden. In Methode 3 nehmen Sie keine individuellen Anpassungen an Sicherheitsprinzipalen vor. Stattdessen führen Sie zum Zeitpunkt der letzten Sicherung ein Rollback von Sicherheitsgruppenmitgliedschaften in ihren Status durch.

Die meisten großen Löschungen sind versehentlich. Microsoft empfiehlt, dass Sie mehrere Schritte ausführen, um zu verhindern, dass andere Objekte massenhaft löschen.

Hinweis

Um das versehentliche Löschen oder Verschieben von Objekten (insbesondere Organisationseinheiten) zu verhindern, können der Sicherheitsbeschreibung jedes Objekts zwei Zugriffssteuerungseinträge (Deny Access Control Entries, ACEs) hinzugefügt werden (DENY DELETE&DELETE TREE), und dem Sicherheitsdeskriptor des ÜBERGEORDNETEn Objekts (DENY DELETE CHILD) kann ein Zugriffssteuerungseintrag (Deny Access Control Entrie, ACEs) hinzugefügt werden. Verwenden Sie dazu Active Directory-Benutzer und -Computer, ADSIEdit, LDP oder das DSACLS-Befehlszeilentool. Sie können auch die Standardberechtigungen im AD-Schema für Organisationseinheiten ändern, sodass diese ACEs standardmäßig enthalten sind.

Zum Beispiel, um die organisationseinheit zu schützen, die aufgerufen wird. Benutzer in der AD-Domäne, die aus versehentlichem Verschieben oder Löschen aus der übergeordneten Organisationseinheit namens "MyCompany" aufgerufen CONTOSO.COM wird, führen die folgende Konfiguration aus:

Fügen Sie für die Organisationseinheit "MyCompany " DENY ACE für "Jeder " hinzu, um "CHILD" mit dem Bereich "Nur dieses Objekt" zu löschen:

DSACLS "OU=MyCompany,DC=CONTOSO,DC=COM" /D "EVERYONE:DC"/

Fügen Sie für die Organisationseinheit "Benutzer" den DENY ACE für alle Benutzer hinzu, um DIE STRUKTUR ZU LÖSCHEN und zu LÖSCHEN , wobei nur dieser Objektbereich gilt:

DSACLS "OU=Users,OU=MyCompany,DC=CONTOSO,DC=COM" /D "EVERYONE:SDDT"

Das Active Directory-Benutzer und -Computer-Snap-In in Windows Server 2008 enthält ein Kontrollkästchen "Objekt vor versehentlichem Löschen schützen" auf der Registerkarte "Objekt".

Hinweis

Das Kontrollkästchen "Erweiterte Features " muss aktiviert sein, um diese Registerkarte anzuzeigen.

Wenn Sie eine Organisationseinheit mithilfe von Active Directory-Benutzer und -Computer in Windows Server 2008 erstellen, wird das Kontrollkästchen "Container vor versehentlichem Löschen schützen" angezeigt. Standardmäßig ist das Kontrollkästchen aktiviert und kann deaktiviert werden.

Obwohl Sie jedes Objekt in Active Directory mithilfe dieser ACEs konfigurieren können, eignet es sich am besten für Organisationseinheiten. Löschen oder Bewegungen aller Blattobjekte können einen großen Effekt haben. Diese Konfiguration verhindert solche Löschungen oder Bewegungen. Um ein Objekt wirklich mithilfe einer solchen Konfiguration zu löschen oder zu verschieben, müssen die Verweigerungs-ACEs zuerst entfernt werden.

In diesem Artikel wird erläutert, wie Sie Benutzerkonten, Computerkonten und deren Gruppenmitgliedschaften wiederherstellen, nachdem sie aus Active Directory gelöscht wurden. In Variationen dieses Szenarios wurden Benutzerkonten, Computerkonten oder Sicherheitsgruppen möglicherweise einzeln oder in einer Kombination gelöscht. In all diesen Fällen gelten die gleichen ersten Schritte. Sie können die Objekte, die versehentlich gelöscht wurden, autoritativ wiederherstellen oder authentifizieren. Einige gelöschte Objekte erfordern mehr Arbeit, um wiederhergestellt zu werden. Diese Objekte umfassen Objekte wie Benutzerkonten, die Attribute enthalten, die Zurück-Links der Attribute anderer Objekte sind. Zwei dieser Attribute sind managedBy und memberOf.

Wenn Sie einer Sicherheitsgruppe Sicherheitsprinzipale hinzufügen, z. B. ein Benutzerkonto, eine Sicherheitsgruppe oder ein Computerkonto, nehmen Sie die folgenden Änderungen in Active Directory vor:

  1. Der Name des Sicherheitsprinzipals wird dem Memberattribut jeder Sicherheitsgruppe hinzugefügt.
  2. Für jede Sicherheitsgruppe, in der der Benutzer, der Computer oder die Sicherheitsgruppe Mitglied ist, wird dem Attribut des Sicherheitsprinzipals memberOf ein Zurück-Link hinzugefügt.

Wenn ein Benutzer, ein Computer oder eine Gruppe aus Active Directory gelöscht wird, werden die folgenden Aktionen ausgeführt:

  1. Der gelöschte Sicherheitsprinzipal wird in den Container für gelöschte Objekte verschoben.
  2. Einige Attributwerte, einschließlich des memberOf Attributs, werden aus dem gelöschten Sicherheitsprinzipal entfernt.
  3. Gelöschte Sicherheitsprinzipale werden aus allen Sicherheitsgruppen entfernt, in denen sie Mitglied waren. Mit anderen Worten, die gelöschten Sicherheitsprinzipale werden aus dem Mitgliederattribut jeder Sicherheitsgruppe entfernt.

Wenn Sie gelöschte Sicherheitsprinzipale wiederherstellen und ihre Gruppenmitgliedschaften wiederherstellen, muss jeder Sicherheitsprinzipal in Active Directory vorhanden sein, bevor Sie seine Gruppenmitgliedschaft wiederherstellen. Das Mitglied kann ein Benutzer, ein Computer oder eine andere Sicherheitsgruppe sein. Um diese Regel weiter zu erweitern, muss ein Objekt, das Attribute enthält, deren Werte Zurück-Links sind, in Active Directory vorhanden sein, bevor das Objekt, das diese Vorwärtsverknüpfung enthält, wiederhergestellt oder geändert werden kann.

Dieser Artikel befasst sich mit dem Wiederherstellen gelöschter Benutzerkonten und deren Mitgliedschaften in Sicherheitsgruppen. Ihre Konzepte gelten gleichermaßen für andere Objektlöschungen. Die Konzepte dieses Artikels gelten gleichermaßen für gelöschte Objekte, deren Attributwerte Vorwärts- und Rückwärtslinks zu anderen Objekten in Active Directory verwenden.

Sie können eine der drei Methoden verwenden, um Sicherheitsprinzipale wiederherzustellen. Wenn Sie Methode 1 verwenden, lassen Sie alle Sicherheitsprinzipale, die zu einer beliebigen Sicherheitsgruppe in der Gesamtstruktur hinzugefügt wurden, an Ort und Stelle. Und Sie fügen nur Sicherheitsprinzipale, die aus ihren jeweiligen Domänen gelöscht wurden, wieder zu ihren Sicherheitsgruppen hinzu. Sie erstellen z. B. eine Systemstatussicherung, fügen einen Benutzer zu einer Sicherheitsgruppe hinzu und stellen dann die Sicherung des Systemstatus wieder her. Wenn Sie die Methoden 1 oder 2 verwenden, behalten Sie alle Benutzer bei, die Sicherheitsgruppen hinzugefügt wurden, die gelöschte Benutzer enthalten, zwischen den Datumsangaben, an denen die Systemstatussicherung erstellt wurde, und dem Datum, an dem die Sicherung wiederhergestellt wurde. Wenn Sie Methode 3 verwenden, führen Sie ein Rollback von Sicherheitsgruppenmitgliedschaften für alle Sicherheitsgruppen durch, die gelöschte Benutzer zum Zeitpunkt der Systemstatussicherung in ihren Zustand enthalten.

Mit dem Befehlszeilentool Ntdsutil.exe können Sie die Backlinks gelöschter Objekte wiederherstellen. Für jeden autoritativen Wiederherstellungsvorgang werden zwei Dateien generiert. Eine Datei enthält eine Liste autoritativ wiederhergestellter Objekte. Die andere Datei ist eine LDF-Datei, die mit dem Dienstprogramm Ldifde.exe verwendet wird. Diese Datei wird verwendet, um die Backlinks für die Objekte wiederherzustellen, die autoritativ wiederhergestellt werden. Eine autoritative Wiederherstellung eines Benutzerobjekts generiert auch LDIF-Dateien (LDAP Data Interchange Format) mit der Gruppenmitgliedschaft. Diese Methode vermeidet eine doppelte Wiederherstellung.

Wenn Sie diese Methode verwenden, führen Sie die folgenden allgemeinen Schritte aus:

  1. Überprüfen Sie, ob ein globaler Katalog in der Domäne des Benutzers beim Löschen nicht repliziert wurde. Und verhindern Sie dann, dass dieser globale Katalog replizieren kann. Wenn kein latenter globaler Katalog vorhanden ist, suchen Sie die aktuellste Systemstatussicherung eines globalen Katalogdomänencontrollers in der Startdomäne des gelöschten Benutzers.
  2. Auth stellt alle gelöschten Benutzerkonten wieder her und lässt dann die End-to-End-Replikation dieser Benutzerkonten zu.
  3. Fügen Sie alle wiederhergestellten Benutzer wieder zu allen Gruppen in allen Domänen hinzu, in denen die Benutzerkonten mitglied waren, bevor sie gelöscht wurden.

Gehen Sie folgendermaßen vor, um Methode 1 zu verwenden:

  1. Überprüfen Sie, ob ein globaler Katalogdomänencontroller in der Startdomäne des gelöschten Benutzers vorhanden ist, der keinen Teil des Löschvorgangs repliziert hat.

    Hinweis

    Konzentrieren Sie sich auf die globalen Kataloge mit den am wenigsten häufigen Replikationszeitplänen.

    Wenn mindestens einer dieser globalen Kataloge vorhanden ist, verwenden Sie das Befehlszeilentool Repadmin.exe, um die eingehende Replikation sofort zu deaktivieren, indem Sie die folgenden Schritte ausführen:

    1. Wählen Sie Start und dann Ausführen aus.

    2. Geben Sie cmd in das Feld "Öffnen " ein, und wählen Sie dann "OK" aus.

    3. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

      repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL

      Hinweis

      Wenn Sie den Repadmin Befehl nicht sofort ausgeben können, entfernen Sie die gesamte Netzwerkkonnektivität aus dem latenten globalen Katalog, bis Sie die eingehende Replikation deaktivieren können Repadmin , und geben Sie dann sofort die Netzwerkkonnektivität zurück.

    Dieser Domänencontroller wird als Wiederherstellungsdomänencontroller bezeichnet. Wenn kein solcher globaler Katalog vorhanden ist, fahren Sie mit Schritt 2 fort.

  2. Es empfiehlt sich, die Änderungen an Sicherheitsgruppen in der Gesamtstruktur zu beenden, wenn alle folgenden Anweisungen zutreffen:

    • Sie verwenden Methode 1, um gelöschte Benutzer oder Computerkonten anhand ihres DN-Pfads (Distinguished Name) autoritativ wiederherzustellen.
    • Der Löschvorgang wurde auf alle Domänencontroller in der Gesamtstruktur mit Ausnahme des latenten Wiederherstellungsdomänencontrollers repliziert.
    • Sie authentifizieren sich nicht beim Wiederherstellen von Sicherheitsgruppen oder deren übergeordneten Containern.

    Wenn Sie die Wiederherstellung von Sicherheitsgruppen oder Organisationseinheitencontainern, die Sicherheitsgruppen oder Benutzerkonten hosten, authentifizieren, beenden Sie vorübergehend alle diese Änderungen.

    Benachrichtigen Sie Administratoren und Helpdeskadministratoren in den entsprechenden Domänen zusätzlich zu Domänenbenutzern in der Domäne, in der der Löschvorgang erfolgte, um diese Änderungen zu beenden.

  3. Erstellen Sie eine neue Systemstatussicherung in der Domäne, in der der Löschvorgang erfolgt ist. Sie können diese Sicherung verwenden, wenn Sie ihre Änderungen zurücksetzen müssen.

    Hinweis

    Wenn Systemstatussicherungen bis zum Löschvorgang aktuell sind, überspringen Sie diesen Schritt, und fahren Sie mit Schritt 4 fort.

    Wenn Sie in Schritt 1 einen Wiederherstellungsdomänencontroller identifiziert haben, sichern Sie den Systemstatus jetzt.

    Wenn sich alle globalen Kataloge in der Domäne befinden, in der der Löschvorgang im Löschvorgang repliziert wurde, sichern Sie den Systemstatus eines globalen Katalogs in der Domäne, in der der Löschvorgang erfolgt ist.

    Wenn Sie eine Sicherung erstellen, können Sie den Wiederherstellungsdomänencontroller wieder in den aktuellen Zustand zurücksetzen. Und führen Sie Ihren Wiederherstellungsplan erneut aus, wenn Ihr erster Versuch nicht erfolgreich ist.

  4. Wenn Sie in der Domäne, in der der Benutzer gelöscht wurde, keinen latenten globalen Katalogdomänencontroller finden können, suchen Sie die neueste Systemstatussicherung eines globalen Katalogdomänencontrollers in dieser Domäne. Diese Systemstatussicherung sollte die gelöschten Objekte enthalten. Verwenden Sie diesen Domänencontroller als Wiederherstellungsdomänencontroller.

    Nur Wiederherstellungen der globalen Katalogdomänencontroller in der Domäne des Benutzers enthalten globale und universelle Gruppenmitgliedschaftsinformationen für Sicherheitsgruppen, die sich in externen Domänen befinden. Wenn es keine Systemstatussicherung eines globalen Katalogdomänencontrollers in der Domäne gibt, in der Benutzer gelöscht wurden, können Sie das memberOf Attribut nicht für wiederhergestellte Benutzerkonten verwenden, um die globale oder universelle Gruppenmitgliedschaft zu ermitteln oder die Mitgliedschaft in externen Domänen wiederherzustellen. Darüber hinaus empfiehlt es sich, die neueste Systemstatussicherung eines nicht-globalen Katalogdomänencontrollers zu finden.

  5. Wenn Sie das Kennwort für das Offlineadministratorkonto kennen, starten Sie den Wiederherstellungsdomänencontroller im Disrepair-Modus. Wenn Sie das Kennwort für das Offlineadministratorkonto nicht kennen, setzen Sie das Kennwort mit ntdsutil.exe zurück, während sich der Wiederherstellungsdomänencontroller noch im normalen Active Directory-Modus befindet.

    Sie können das Befehlszeilentool setpwd verwenden, um das Kennwort auf Domänencontrollern zurückzusetzen, während sie sich im Active Directory-Onlinemodus befinden.

    Hinweis

    Microsoft unterstützt Windows 2000 nicht mehr.

    Administratoren von Windows Server 2003 und höheren Domänencontrollern können den set dsrm password Befehl im Befehlszeilentool "Ntdsutil" verwenden, um das Kennwort für das Offlineadministratorkonto zurückzusetzen.

    Weitere Informationen zum Zurücksetzen des Administratorkontos für den Verzeichnisdienstwiederherstellungsmodus finden Sie unter Zurücksetzen des Administratorkontokennworts für den Verzeichnisdienste-Wiederherstellungsmodus in Windows Server.

  6. Drücken Sie während des Startvorgangs F8, um den Wiederherstellungsdomänencontroller im Disrepair-Modus zu starten. Melden Sie sich mit dem Offlineadministratorkonto bei der Konsole des Wiederherstellungsdomänencontrollers an. Wenn Sie das Kennwort in Schritt 5 zurücksetzen, verwenden Sie das neue Kennwort.

    Wenn der Wiederherstellungsdomänencontroller ein latenter globaler Katalogdomänencontroller ist, stellen Sie den Systemstatus nicht wieder her. Wechseln Sie zu Schritt 7.

    Wenn Sie den Wiederherstellungsdomänencontroller mithilfe einer Systemstatussicherung erstellen, stellen Sie die aktuelle Systemstatussicherung wieder her, die jetzt auf dem Wiederherstellungsdomänencontroller vorgenommen wurde.

  7. Auth stellt die gelöschten Benutzerkonten, die gelöschten Computerkonten oder die gelöschten Sicherheitsgruppen wieder her.

    Hinweis

    Die Begriffe Authentifizierungswiederherstellung und autoritative Wiederherstellung beziehen sich auf den Prozess der Verwendung des Autorisierungswiederherstellungsbefehls im Befehlszeilentool Ntdsutil, um die Versionsnummern bestimmter Objekte oder bestimmter Container und aller untergeordneten Objekte zu erhöhen. Sobald die End-to-End-Replikation erfolgt, werden die Zielobjekte in der lokalen Kopie des Wiederherstellungsdomänencontrollers von Active Directory auf allen Domänencontrollern autoritativ, die diese Partition gemeinsam nutzen. Eine autoritative Wiederherstellung unterscheidet sich von einer Systemzustandswiederherstellung. Eine Systemstatuswiederherstellung füllt die lokale Kopie von Active Directory des wiederhergestellten Domänencontrollers mit den Versionen der Objekte zum Zeitpunkt der Sicherung des Systemstatus auf.

    Autoritative Wiederherstellungen werden mit dem Ntdsutil-Befehlszeilentool ausgeführt und verweisen auf den Domänennamen (dn) Pfad der gelöschten Benutzer oder der Container, die die gelöschten Benutzer hosten.

    Verwenden Sie bei der Authentifizierungswiederherstellung DN-Pfade (Domain Name), die in der Domänenstruktur so niedrig sind, wie sie sein müssen. Der Zweck besteht darin, das Wiederherstellen von Objekten zu vermeiden, die sich nicht auf das Löschen beziehen. Diese Objekte können Objekte enthalten, die nach der Sicherung des Systemstatus geändert wurden.

    Gelöschte Benutzer in der folgenden Reihenfolge wiederherstellen:

    1. Auth stellt den Domänennamenpfad (dn) für jedes gelöschte Benutzerkonto, Computerkonto oder jede Sicherheitsgruppe wieder her.

      Autoritative Wiederherstellungen bestimmter Objekte dauern länger, sind aber weniger destruktiv als autoritative Wiederherstellungen einer ganzen Unterstruktur. Auth stellt den niedrigsten gemeinsamen übergeordneten Container wieder her, der die gelöschten Objekte enthält.

      (Video) Windows Server 2016: Verwalten von ActiveDirectory Konten (Etwas lauterer Ton)

      Ntdsutil verwendet die folgende Syntax:

      ntdsutil "authoritative restore" "restore object <object DN path>" q q

      Um beispielsweise den gelöschten Benutzer John Doe in der Mayberry OU der Contoso.com Domäne autoritativ wiederherzustellen, verwenden Sie den folgenden Befehl:

      ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q

      Verwenden Sie den folgenden Befehl, um die gelöschte Sicherheitsgruppe ContosoPrintAccess in der Mayberry OU der Contoso.com Domäne autoritativ wiederherzustellen:

      ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q

      Wichtig

      Die Verwendung von Anführungszeichen ist erforderlich.

      Für jeden Benutzer, den Sie wiederherstellen, werden mindestens zwei Dateien generiert. Diese Dateien haben das folgende Format:

      ar_YYYYMMDD-HHMMSS_objects.txt
      Diese Datei enthält eine Liste der autoritativ wiederhergestellten Objekte. Verwenden Sie diese Datei mit dem autorisierenden Ntdsutil-Wiederherstellungsbefehl create ldif file from in jeder anderen Domäne in der Gesamtstruktur, in der der Benutzer Mitglied von lokalen Domänengruppen war.

      ar_YYYMMDD-HHMMSS_links_usn.loc.ldf
      Wenn Sie die Authentifizierungswiederherstellung in einem globalen Katalog durchführen, wird eine dieser Dateien für jede Domäne in der Gesamtstruktur generiert. Diese Datei enthält ein Skript, das Sie mit dem Dienstprogramm Ldifde.exe verwenden können. Das Skript stellt die Backlinks für die wiederhergestellten Objekte wieder her. In der Heimdomäne des Benutzers stellt das Skript alle Gruppenmitgliedschaften für die wiederhergestellten Benutzer wieder her. In allen anderen Domänen in der Gesamtstruktur, in denen der Benutzer über Gruppenmitgliedschaften verfügt, stellt das Skript nur universelle und globale Gruppenmitgliedschaften wieder her. Das Skript stellt keine domänenlokalen Gruppenmitgliedschaften wieder her. Diese Mitgliedschaften werden nicht von einem globalen Katalog nachverfolgt.

    2. Authentifizierung stellt nur die OU- oder Common-Name(CN)-Container wieder her, die die gelöschten Benutzerkonten oder -gruppen hosten.

      Autoritative Wiederherstellungen einer ganzen Unterstruktur sind gültig, wenn die OE, die vom autoritativen Wiederherstellungsbefehl ntdsutil verwendet wird, die meisten Objekte enthält, die Sie autoritativ wiederherstellen möchten. Im Idealfall enthält die zielorientierte OE alle Objekte, die Sie autoritativ wiederherstellen möchten.

      Eine autoritative Wiederherstellung in einer OU-Unterstruktur stellt alle Attribute und Objekte wieder her, die sich im Container befinden. Alle Änderungen, die bis zum Zeitpunkt der Wiederherstellung einer Systemstatussicherung vorgenommen wurden, werden zum Zeitpunkt der Sicherung auf ihre Werte zurückgesetzt. Bei Benutzerkonten, Computerkonten und Sicherheitsgruppen bedeutet dieses Rollback möglicherweise den Verlust der letzten Änderungen an:

      • Kennwörter
      • das Startverzeichnis
      • Der Profilpfad
      • Speicherort
      • Kontaktinformationen
      • Gruppenmitgliedschaft
      • alle Sicherheitsdeskriptoren, die für diese Objekte und Attribute definiert sind.

      Ntdsutil verwendet die folgende Syntax:

      ntdsutil "authoritative restore" "restore subtree <container DN path>" q q

      Verwenden Sie z. B. den folgenden Befehl, um die Mayberry-OU der Contoso.com Domäne autoritativ wiederherzustellen:

      ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q

      Hinweis

      Wiederholen Sie diesen Schritt für jede Peer-OU, die gelöschte Benutzer oder Gruppen hostet.

      Wichtig

      Wenn Sie ein untergeordnetes Objekt einer OE wiederherstellen, müssen alle gelöschten übergeordneten Container der gelöschten untergeordneten Objekte explizit authentifiziert werden.

      Für jede Organisationseinheit, die Sie wiederherstellen, werden mindestens zwei Dateien generiert. Diese Dateien haben das folgende Format:

      ar_YYYYMMDD-HHMMSS_objects.txt
      Diese Datei enthält eine Liste der autoritativ wiederhergestellten Objekte. Verwenden Sie diese Datei mit dem autorisierenden Ntdsutil-Wiederherstellungsbefehl create ldif file from in jeder anderen Domäne in der Gesamtstruktur, in der die wiederhergestellten Benutzer Mitglieder von lokalen Domänengruppen waren.

      ar_YYYMMDD-HHMMSS_links_usn.loc.ldf
      Diese Datei enthält ein Skript, das Sie mit dem Dienstprogramm Ldifde.exe verwenden können. Das Skript stellt die Backlinks für die wiederhergestellten Objekte wieder her. In der Heimdomäne des Benutzers stellt das Skript alle Gruppenmitgliedschaften für die wiederhergestellten Benutzer wieder her.

  8. Wenn gelöschte Objekte auf dem Wiederherstellungsdomänencontroller aufgrund einer Systemstatuswiederherstellung wiederhergestellt wurden, entfernen Sie alle Netzwerkkabel, die eine Netzwerkverbindung mit allen anderen Domänencontrollern in der Gesamtstruktur ermöglichen.

  9. Starten Sie den Wiederherstellungsdomänencontroller im normalen Active Directory-Modus neu.

  10. Geben Sie den folgenden Befehl ein, um die eingehende Replikation auf den Wiederherstellungsdomänencontroller zu deaktivieren:

    repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL

    Aktivieren Sie die Netzwerkkonnektivität zurück zum Wiederherstellungsdomänencontroller, dessen Systemzustand wiederhergestellt wurde.

  11. Ausgehendes Replizieren der authentifizierten Objekte vom Wiederherstellungsdomänencontroller auf die Domänencontroller in der Domäne und in der Gesamtstruktur.

    Während die eingehende Replikation auf den Wiederherstellungsdomänencontroller deaktiviert bleibt, geben Sie den folgenden Befehl ein, um die wiederhergestellten Authentifizierungsobjekte an alle websiteübergreifenden Replikatdomänencontroller in der Domäne und an alle globalen Kataloge in der Gesamtstruktur zu übertragen:

    repadmin /syncall /d /e /P <recovery dc> <Naming Context>

    Wenn alle folgenden Aussagen zutreffen, werden Gruppenmitgliedschaftslinks mit der Wiederherstellung und der Replikation der gelöschten Benutzerkonten neu erstellt. Wechseln Sie zu Schritt 14.

    Hinweis

    Wenn mindestens eine der folgenden Anweisungen nicht zutrifft, fahren Sie mit Schritt 12 fort.

    • Ihre Gesamtstruktur wird auf der Windows Server 2003- und höher-Gesamtstrukturfunktionsebene oder auf der Windows Server 2003- oder höher- oder höher-Gesamtstrukturfunktionsebene ausgeführt.
    • Nur Benutzerkonten oder Computerkonten wurden gelöscht, nicht Sicherheitsgruppen.
    • Die gelöschten Benutzer wurden Sicherheitsgruppen in allen Domänen in der Gesamtstruktur hinzugefügt, nachdem die Gesamtstruktur auf Windows Server 2003 und höher oder später auf Gesamtstrukturfunktionsebene umgestellt wurde.
  12. Verwenden Sie auf der Konsole des Wiederherstellungsdomänencontrollers das Hilfsprogramm Ldifde.exe und die Datei ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf, um die Gruppenmitgliedschaften des Benutzers wiederherzustellen. Gehen Sie dazu wie folgt vor:

    • Wählen Sie "Start" aus, wählen Sie "Ausführen" aus, geben Sie "cmd " in das Feld "Öffnen " ein, und wählen Sie dann "OK" aus.

    • Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie die EINGABETASTE:

      ldifde -i -f ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf
  13. Aktivieren Sie die eingehende Replikation auf den Wiederherstellungsdomänencontroller mithilfe des folgenden Befehls:

    repadmin /options <recovery dc name> -DISABLE_INBOUND_REPL
  14. Wenn gelöschte Benutzer lokalen Gruppen in externen Domänen hinzugefügt wurden, führen Sie eine der folgenden Aktionen aus:

    • Fügen Sie die gelöschten Benutzer manuell wieder zu diesen Gruppen hinzu.
    • Stellen Sie den Systemstatus wieder her, und stellen Sie die einzelnen lokalen Sicherheitsgruppen wieder her, die die gelöschten Benutzer enthalten.
  15. Überprüfen Sie die Gruppenmitgliedschaft in der Domäne des Wiederherstellungsdomänencontrollers und in globalen Katalogen in anderen Domänen.

  16. Erstellen Sie eine neue Systemstatussicherung von Domänencontrollern in der Domäne des Wiederherstellungsdomänencontrollers.

  17. Benachrichtigen Sie alle Gesamtstrukturadministratoren, delegierten Administratoren, Helpdeskadministratoren in der Gesamtstruktur und Benutzer in der Domäne, dass die Benutzerwiederherstellung abgeschlossen ist.

    Helpdeskadministratoren müssen möglicherweise die Kennwörter von Authentifizierungs-wiederhergestellten Benutzerkonten und Computerkonten zurücksetzen, deren Domänenkennwort nach der Wiederherstellung des Systems geändert wurde.

    Benutzer, die ihre Kennwörter nach der Sicherung des Systemstatus geändert haben, werden feststellen, dass ihr neuestes Kennwort nicht mehr funktioniert. Lassen Sie solche Benutzer versuchen, sich mit ihren vorherigen Kennwörtern anzumelden, wenn sie sie kennen. Andernfalls müssen Helpdeskadministratoren das Kennwort zurücksetzen und das Kennwort beim nächsten Kontrollkästchen für die Anmeldung ändern. Führen Sie dies vorzugsweise auf einem Domänencontroller auf demselben Active Directory-Standort aus, in dem sich der Benutzer befindet.

Methode 2: Wiederherstellen der gelöschten Benutzerkonten und anschließendes Hinzufügen der wiederhergestellten Benutzer zu ihren Gruppen

Wenn Sie diese Methode verwenden, führen Sie die folgenden allgemeinen Schritte aus:

  1. Überprüfen Sie, ob ein globaler Katalog in der Domäne des Benutzers beim Löschen nicht repliziert wurde. Und verhindern Sie dann, dass dieser globale Katalog replizieren kann. Wenn kein latenter globaler Katalog vorhanden ist, suchen Sie die aktuelle Systemstatussicherung eines globalen Katalogdomänencontrollers in der Startdomäne des gelöschten Benutzers.
  2. Auth stellt alle gelöschten Benutzerkonten wieder her und lässt dann die End-to-End-Replikation dieser Benutzerkonten zu.
  3. Fügen Sie alle wiederhergestellten Benutzer wieder zu allen Gruppen in allen Domänen hinzu, in denen die Benutzerkonten mitglied waren, bevor sie gelöscht wurden.

Gehen Sie folgendermaßen vor, um Methode 2 zu verwenden:

  1. Überprüfen Sie, ob ein globaler Katalogdomänencontroller in der Startdomäne des gelöschten Benutzers vorhanden ist, der keinen Teil des Löschvorgangs repliziert hat.

    Hinweis

    Konzentrieren Sie sich auf die globalen Kataloge mit den am wenigsten häufigen Replikationszeitplänen.

    Wenn mindestens einer dieser globalen Kataloge vorhanden ist, verwenden Sie das Befehlszeilentool Repadmin.exe, um die eingehende Replikation sofort zu deaktivieren. Gehen Sie dazu wie folgt vor:

    1. Wählen Sie Start und dann Ausführen aus.
    2. Geben Sie cmd in das Feld "Öffnen " ein, und wählen Sie dann "OK" aus.
    3. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
    repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL

    Hinweis

    Wenn Sie den Befehl Repadmin nicht sofort ausgeben können, entfernen Sie die gesamte Netzwerkkonnektivität aus dem latenten globalen Katalog, bis Sie Repadmin verwenden können, um die eingehende Replikation zu deaktivieren, und geben Sie dann sofort die Netzwerkkonnektivität zurück.

    Dieser Domänencontroller wird als Wiederherstellungsdomänencontroller bezeichnet. Wenn kein solcher globaler Katalog vorhanden ist, fahren Sie mit Schritt 2 fort.

  2. Entscheiden Sie, ob Ergänzungen, Löschungen und Änderungen an Benutzerkonten, Computerkonten und Sicherheitsgruppen vorübergehend beendet werden müssen, bis alle Wiederherstellungsschritte abgeschlossen sind.

    Um den flexibelsten Wiederherstellungspfad beizubehalten, beenden Sie vorübergehend die Änderungen an den folgenden Elementen. Änderungen umfassen die Kennwortzurücksetzung durch Domänenbenutzer, Helpdeskadministratoren und Administratoren in der Domäne, in der der Löschvorgang erfolgt ist, sowie Gruppenmitgliedschaftsänderungen in den Gruppen der gelöschten Benutzer. Erwägen Sie, Ergänzungen, Löschungen und Änderungen an den folgenden Elementen anzuhalten:

    1. Benutzerkonten und Attribute für Benutzerkonten
    2. Computerkonten und Attribute auf Computerkonten
    3. Dienstkonten
    4. Sicherheitsgruppen

    Es empfiehlt sich, die Änderungen an Sicherheitsgruppen in der Gesamtstruktur zu beenden, wenn alle folgenden Anweisungen zutreffen:

    • Sie verwenden Methode 2, um gelöschte Benutzer oder Computerkonten anhand ihres Domänennamenpfads (dn) autoritativ wiederherzustellen.
    • Der Löschvorgang wurde auf alle Domänencontroller in der Gesamtstruktur mit Ausnahme des latenten Wiederherstellungsdomänencontrollers repliziert.
    • Sie authentifizieren sich nicht beim Wiederherstellen von Sicherheitsgruppen oder deren übergeordneten Containern.

    Wenn Sie die Wiederherstellung von Sicherheitsgruppen oder Organisationseinheitencontainern, die Sicherheitsgruppen oder Benutzerkonten hosten, authentifizieren, beenden Sie vorübergehend alle diese Änderungen.

    Benachrichtigen Sie Administratoren und Helpdeskadministratoren in den entsprechenden Domänen zusätzlich zu Domänenbenutzern in der Domäne, in der der Löschvorgang erfolgte, um diese Änderungen zu beenden.

  3. Erstellen Sie eine neue Systemstatussicherung in der Domäne, in der der Löschvorgang erfolgt ist. Sie können diese Sicherung verwenden, wenn Sie ihre Änderungen zurücksetzen müssen.

    Hinweis

    Wenn Systemstatussicherungen bis zum Löschvorgang aktuell sind, überspringen Sie diesen Schritt, und fahren Sie mit Schritt 4 fort.

    Wenn Sie in Schritt 1 einen Wiederherstellungsdomänencontroller identifiziert haben, sichern Sie den Systemstatus jetzt.

    Wenn sich alle globalen Kataloge in der Domäne befinden, in der der Löschvorgang im Löschvorgang repliziert wurde, sichern Sie den Systemstatus eines globalen Katalogs in der Domäne, in der der Löschvorgang erfolgt ist.

    Wenn Sie eine Sicherung erstellen, können Sie den Wiederherstellungsdomänencontroller wieder in den aktuellen Zustand zurücksetzen. Und führen Sie Ihren Wiederherstellungsplan erneut aus, wenn Ihr erster Versuch nicht erfolgreich ist.

  4. Wenn Sie in der Domäne, in der der Benutzer gelöscht wurde, keinen latenten globalen Katalogdomänencontroller finden können, suchen Sie die neueste Systemstatussicherung eines globalen Katalogdomänencontrollers in dieser Domäne. Diese Systemstatussicherung sollte die gelöschten Objekte enthalten. Verwenden Sie diesen Domänencontroller als Wiederherstellungsdomänencontroller.

    Nur Wiederherstellungen der globalen Katalogdomänencontroller in der Domäne des Benutzers enthalten globale und universelle Gruppenmitgliedschaftsinformationen für Sicherheitsgruppen, die sich in externen Domänen befinden. Wenn es keine Systemstatussicherung eines globalen Katalogdomänencontrollers in der Domäne gibt, in der Benutzer gelöscht wurden, können Sie das memberOf Attribut nicht für wiederhergestellte Benutzerkonten verwenden, um die globale oder universelle Gruppenmitgliedschaft zu ermitteln oder die Mitgliedschaft in externen Domänen wiederherzustellen. Darüber hinaus empfiehlt es sich, die neueste Systemstatussicherung eines nicht-globalen Katalogdomänencontrollers zu finden.

  5. Wenn Sie das Kennwort für das Offlineadministratorkonto kennen, starten Sie den Wiederherstellungsdomänencontroller im Disrepair-Modus. Wenn Sie das Kennwort für das Offlineadministratorkonto nicht kennen, setzen Sie das Kennwort zurück, während sich der Wiederherstellungsdomänencontroller noch im normalen Active Directory-Modus befindet.

    Sie können das Befehlszeilentool setpwd verwenden, um das Kennwort auf Domänencontrollern zurückzusetzen, auf denen Windows 2000 Service Pack 2 (SP2) und höher ausgeführt wird, während sie sich im Active Directory-Onlinemodus befinden.

    Hinweis

    Microsoft unterstützt Windows 2000 nicht mehr.

    Administratoren von Windows Server 2003 und höheren Domänencontrollern können den set dsrm password Befehl im Befehlszeilentool "Ntdsutil" verwenden, um das Kennwort für das Offlineadministratorkonto zurückzusetzen.

    Weitere Informationen zum Zurücksetzen des Administratorkontos für den Verzeichnisdienstwiederherstellungsmodus finden Sie unter Zurücksetzen des Administratorkontokennworts für den Verzeichnisdienste-Wiederherstellungsmodus in Windows Server.

  6. Drücken Sie während des Startvorgangs F8, um den Wiederherstellungsdomänencontroller im Disrepair-Modus zu starten. Melden Sie sich mit dem Offlineadministratorkonto bei der Konsole des Wiederherstellungsdomänencontrollers an. Wenn Sie das Kennwort in Schritt 5 zurücksetzen, verwenden Sie das neue Kennwort.

    Wenn der Wiederherstellungsdomänencontroller ein latenter globaler Katalogdomänencontroller ist, stellen Sie den Systemstatus nicht wieder her. Wechseln Sie zu Schritt 7.

    Wenn Sie den Wiederherstellungsdomänencontroller mithilfe einer Systemstatussicherung erstellen, stellen Sie die aktuelle Systemstatussicherung wieder her, die jetzt auf dem Wiederherstellungsdomänencontroller vorgenommen wurde.

  7. Auth stellt die gelöschten Benutzerkonten, die gelöschten Computerkonten oder die gelöschten Sicherheitsgruppen wieder her.

    Hinweis

    Die Begriffe Authentifizierungswiederherstellung und autoritative Wiederherstellung beziehen sich auf den Prozess der Verwendung des Autorisierungswiederherstellungsbefehls im Befehlszeilentool Ntdsutil, um die Versionsnummern bestimmter Objekte oder bestimmter Container und aller untergeordneten Objekte zu erhöhen. Sobald die End-to-End-Replikation erfolgt, werden die Zielobjekte in der lokalen Kopie des Wiederherstellungsdomänencontrollers von Active Directory auf allen Domänencontrollern autoritativ, die diese Partition gemeinsam nutzen. Eine autoritative Wiederherstellung unterscheidet sich von einer Systemzustandswiederherstellung. Eine Systemstatuswiederherstellung füllt die lokale Kopie von Active Directory des wiederhergestellten Domänencontrollers mit den Versionen der Objekte zum Zeitpunkt der Sicherung des Systemstatus auf.

    Autoritative Wiederherstellungen werden mit dem Ntdsutil-Befehlszeilentool ausgeführt und verweisen auf den Domänennamen (dn) Pfad der gelöschten Benutzer oder der Container, die die gelöschten Benutzer hosten.

    (Video) Benutzerkonten, Benutzergruppen und deren Berechtigungen unter Windows

    Verwenden Sie bei der Authentifizierungswiederherstellung DN-Pfade (Domain Name), die in der Domänenstruktur so niedrig sind, wie sie sein müssen. Der Zweck besteht darin, das Wiederherstellen von Objekten zu vermeiden, die sich nicht auf das Löschen beziehen. Diese Objekte können Objekte enthalten, die nach der Sicherung des Systemstatus geändert wurden.

    Gelöschte Benutzer in der folgenden Reihenfolge wiederherstellen:

    1. Auth stellt den Domänennamenpfad (dn) für jedes gelöschte Benutzerkonto, Computerkonto oder jede Sicherheitsgruppe wieder her.

      Autoritative Wiederherstellungen bestimmter Objekte dauern länger, sind aber weniger destruktiv als autoritative Wiederherstellungen einer ganzen Unterstruktur. Auth stellt den niedrigsten gemeinsamen übergeordneten Container wieder her, der die gelöschten Objekte enthält.

      Ntdsutil verwendet die folgende Syntax:

      ntdsutil "authoritative restore" "restore object <object DN path>" q q

      Um beispielsweise den gelöschten Benutzer John Doe in der Mayberry OU der Contoso.com Domäne autoritativ wiederherzustellen, verwenden Sie den folgenden Befehl:

      ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q

      Verwenden Sie den folgenden Befehl, um die gelöschte Sicherheitsgruppe ContosoPrintAccess in der Mayberry OU der Contoso.com Domäne autoritativ wiederherzustellen:

      ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q

      Wichtig

      Die Verwendung von Anführungszeichen ist erforderlich.

      Hinweis

      Diese Syntax ist nur in Windows Server 2003 und höher verfügbar. Die einzige Syntax in Windows 2000 besteht darin, Folgendes zu verwenden:

      ntdsutil "authoritative restore" "restore subtree object DN path"

      Hinweis

      Der autorisierende Ntdsutil-Wiederherstellungsvorgang ist nicht erfolgreich, wenn der Distinguished Name Path (DN) erweiterte Zeichen oder Leerzeichen enthält. Damit die skriptgesteuerte Wiederherstellung erfolgreich ist, muss der restore object <DN path> Befehl als eine vollständige Zeichenfolge übergeben werden.

      Um dieses Problem zu umgehen, umschließen Sie den DN, der erweiterte Zeichen und Leerzeichen enthält, mit Escapesequenzen für umgekehrtes Schrägstrich-doppeltes Anführungszeichen. Hier ein Beispiel:

      ntdsutil "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry NC,DC=contoso,DC=com\"" q q

      Hinweis

      Der Befehl muss weiter geändert werden, wenn der DN der wiederhergestellten Objekte Kommas enthält. Sehen Sie sich das folgende Beispiel an:

      ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry NC,DC=contoso,DC=com\"" q q

      Hinweis

      Wenn die Objekte vom Band wiederhergestellt wurden, als autoritativ gekennzeichnet wurden und die Wiederherstellung nicht wie erwartet funktioniert hat und dann das gleiche Band zum erneuten Wiederherstellen der NTDS-Datenbank verwendet wird, muss die USN-Version von Objekten, die autoritativ wiederhergestellt werden sollen, höher als der Standardwert von 100000 erhöht werden, oder die Objekte werden nach der zweiten Wiederherstellung nicht repliziert. Die folgende Syntax ist erforderlich, um eine höhere Versionsnummer als 100000 (Standard) zu erstellen:

      ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry NC,DC=contoso,DC=com\" verinc 150000\"" q q

      Hinweis

      Wenn das Skript zur Bestätigung jedes wiederhergestellten Objekts auffordert, können Sie die Eingabeaufforderungen deaktivieren. Die Syntax zum Deaktivieren der Aufforderung lautet:

      ntdsutil "popups off" "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry NC,DC=contoso,DC=com\" verinc 150000\"" q q
    2. Authentifizierung stellt nur die OU- oder Common-Name(CN)-Container wieder her, die die gelöschten Benutzerkonten oder -gruppen hosten.

      Autoritative Wiederherstellungen einer ganzen Unterstruktur sind gültig, wenn die OE, die vom autoritativen Wiederherstellungsbefehl ntdsutil verwendet wird, die meisten Objekte enthält, die Sie autoritativ wiederherstellen möchten. Im Idealfall enthält die zielorientierte OE alle Objekte, die Sie autoritativ wiederherstellen möchten.

      Eine autoritative Wiederherstellung in einer OU-Unterstruktur stellt alle Attribute und Objekte wieder her, die sich im Container befinden. Alle Änderungen, die bis zum Zeitpunkt der Wiederherstellung einer Systemstatussicherung vorgenommen wurden, werden zum Zeitpunkt der Sicherung auf ihre Werte zurückgesetzt. Bei Benutzerkonten, Computerkonten und Sicherheitsgruppen bedeutet dieses Rollback möglicherweise den Verlust der letzten Änderungen an Kennwörtern, am Startverzeichnis, am Profilpfad, am Standort und an Kontaktinformationen, an der Gruppenmitgliedschaft und an allen Sicherheitsdeskriptoren, die für diese Objekte und Attribute definiert sind.

      Ntdsutil verwendet die folgende Syntax:

      ntdsutil "authoritative restore" "restore subtree <container DN path>" q q

      Verwenden Sie z. B. den folgenden Befehl, um die Mayberry-OU der Contoso.com Domäne autoritativ wiederherzustellen:

      ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q

      Hinweis

      Wiederholen Sie diesen Schritt für jede Peer-OU, die gelöschte Benutzer oder Gruppen hostet.

      Wichtig

      Wenn Sie ein untergeordnetes Objekt einer OE wiederherstellen, müssen alle gelöschten übergeordneten Container der gelöschten untergeordneten Objekte explizit authentifiziert werden.

  8. Wenn gelöschte Objekte auf dem Wiederherstellungsdomänencontroller aufgrund einer Systemstatuswiederherstellung wiederhergestellt wurden, entfernen Sie alle Netzwerkkabel, die eine Netzwerkverbindung mit allen anderen Domänencontrollern in der Gesamtstruktur ermöglichen.

  9. Starten Sie den Wiederherstellungsdomänencontroller im normalen Active Directory-Modus neu.

  10. Geben Sie den folgenden Befehl ein, um die eingehende Replikation auf den Wiederherstellungsdomänencontroller zu deaktivieren:

    repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL

    Aktivieren Sie die Netzwerkkonnektivität zurück zum Wiederherstellungsdomänencontroller, dessen Systemzustand wiederhergestellt wurde.

  11. Ausgehendes Replizieren der authentifizierten Objekte vom Wiederherstellungsdomänencontroller auf die Domänencontroller in der Domäne und in der Gesamtstruktur.

    Während die eingehende Replikation auf den Wiederherstellungsdomänencontroller deaktiviert bleibt, geben Sie den folgenden Befehl ein, um die wiederhergestellten Authentifizierungsobjekte an alle websiteübergreifenden Replikatdomänencontroller in der Domäne und an alle globalen Kataloge in der Gesamtstruktur zu übertragen:

    repadmin /syncall /d /e /P <recovery dc> <Naming Context>

    Wenn alle folgenden Aussagen zutreffen, werden Gruppenmitgliedschaftslinks mit der Wiederherstellung und der Replikation der gelöschten Benutzerkonten neu erstellt. Wechseln Sie zu Schritt 14.

    Hinweis

    Wenn mindestens eine der folgenden Anweisungen nicht zutrifft, fahren Sie mit Schritt 12 fort.

    • Ihre Gesamtstruktur wird auf der Windows Server 2003- und höher-Gesamtstrukturfunktionsebene oder auf der Windows Server 2003- und späteren Interim-Gesamtstrukturfunktionsebene ausgeführt.
    • Nur Benutzerkonten oder Computerkonten wurden gelöscht, nicht Sicherheitsgruppen.
    • Die gelöschten Benutzer wurden Nach dem Übergang der Gesamtstruktur zu Windows Server 2003 und späterer Gesamtstrukturfunktionsebene zu Sicherheitsgruppen in allen Domänen in der Gesamtstruktur hinzugefügt.
  12. Bestimmen Sie, in welchen Sicherheitsgruppen die gelöschten Benutzer Mitglieder waren, und fügen Sie sie dann diesen Gruppen hinzu.

    Hinweis

    Bevor Sie Benutzer zu Gruppen hinzufügen können, müssen die Benutzer, die Sie in Schritt 7 wiederhergestellt haben und die Sie in Schritt 11 ausgehend repliziert haben, auf die Domänencontroller in der Domäne des referenzierten Domänencontrollers und alle globalen Katalogdomänencontroller in der Gesamtstruktur repliziert haben.

    Wenn Sie ein Dienstprogramm zur Gruppenbereitstellung bereitgestellt haben, um die Mitgliedschaft für Sicherheitsgruppen neu zu bevölkern, verwenden Sie dieses Hilfsprogramm, um gelöschte Benutzer in den Sicherheitsgruppen wiederherzustellen, in denen sie Vor dem Löschen Mitglieder waren. Führen Sie dies aus, nachdem alle direkten und transitiven Domänencontroller in der Domäne der Gesamtstruktur und auf globalen Katalogservern die Authentifizierung wiederhergestellten Benutzer und alle wiederhergestellten Container eingehend repliziert haben.

    Wenn Sie nicht über das Hilfsprogramm verfügen, können die Ldifde.exeGroupadd.exe Befehlszeilentools diese Aufgabe für Sie automatisieren, wenn sie auf dem Wiederherstellungsdomänencontroller ausgeführt werden. Diese Tools sind über die Microsoft-Produktsupportdienste verfügbar. In diesem Szenario erstellt Ldifde.exe eine LDIF-Informationsdatei (LDAP Data Interchange Format), die die Namen der Benutzerkonten und deren Sicherheitsgruppen enthält. Er beginnt bei einem VOM Administrator angegebenen OU-Container. Groupadd.exe liest dann das memberOf Attribut für jedes Benutzerkonto, das in der LDF-Datei aufgeführt ist. Anschließend werden separate und eindeutige LDIF-Informationen für jede Domäne in der Gesamtstruktur generiert. Diese LDIF-Informationen enthalten die Namen der Sicherheitsgruppen, die den gelöschten Benutzern zugeordnet sind. Verwenden Sie die LDIF-Informationen, um die Informationen den Benutzern wieder hinzuzufügen, damit ihre Gruppenmitgliedschaften wiederhergestellt werden können. Führen Sie die folgenden Schritte für diese Phase der Wiederherstellung aus:

    1. Melden Sie sich bei der Konsole des Wiederherstellungsdomänencontrollers mit einem Benutzerkonto an, das Mitglied der Sicherheitsgruppe des Domänenadministrators ist.

    2. Verwenden Sie den Befehl Ldifde, um die Namen der zuvor gelöschten Benutzerkonten und deren memberOf Attribute ab dem obersten OU-Container abzusetzen, in dem der Löschvorgang erfolgt ist. Der Befehl Ldifde verwendet die folgende Syntax:

      ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=user)" -l memberof -p subtree -f user_membership_after_restore.ldf

      Verwenden Sie die folgende Syntax, wenn gelöschte Computerkonten Sicherheitsgruppen hinzugefügt wurden:

      ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=computer)" -l memberof -p subtree -f computer_membership_after_restore.ldf
    3. Führen Sie den Groupadd Befehl aus, um weitere LDF-Dateien zu erstellen, die die Namen von Domänen und die Namen globaler und universeller Sicherheitsgruppen enthalten, bei denen die gelöschten Benutzer Mitglied waren. Der Groupadd Befehl verwendet die folgende Syntax:

      Groupadd / after_restore users_membership_after_restore.ldf

      Wiederholen Sie diesen Befehl, wenn gelöschte Computerkonten Sicherheitsgruppen hinzugefügt wurden.

    4. Importieren Sie jede Groupadd_fully.qualified.domain.name.ldf-Datei, die Sie in Schritt 12c erstellt haben, in einen einzelnen globalen Katalogdomänencontroller, der der LDF-Datei jeder Domäne entspricht. Verwenden Sie die folgende Ldifde-Syntax:

      Ldifde -i -k -f Groupadd_<fully.qualified.domain.name>.ldf

      Führen Sie die LDF-Datei für die Domäne aus, aus der die Benutzer auf einem beliebigen Domänencontroller mit Ausnahme des Wiederherstellungsdomänencontrollers gelöscht wurden.

    5. Replizieren Sie auf der Konsole jedes Domänencontrollers, der zum Importieren der Datei Groupadd_<fully.qualified.domain.name.ldf> für eine bestimmte Domäne verwendet wird, ausgehend die Gruppenmitgliedschaftserweiterungen zu den anderen Domänencontrollern in der Domäne und zu den globalen Katalogdomänencontrollern in der Gesamtstruktur. Verwenden Sie dazu den folgenden Befehl:

      repadmin /syncall /d /e /P <recovery dc> <Naming Context>
  13. Um die ausgehende Replikation zu deaktivieren, geben Sie den folgenden Text ein, und drücken Sie dann die EINGABETASTE:

    repadmin /options +DISABLE_OUTBOUND_REPL

    Hinweis

    Um die ausgehende Replikation erneut zu aktivieren, geben Sie den folgenden Text ein, und drücken Sie dann die EINGABETASTE:

    repadmin /options -DISABLE_OUTBOUND_REPL
  14. Wenn gelöschte Benutzer lokalen Gruppen in externen Domänen hinzugefügt wurden, führen Sie eine der folgenden Aktionen aus:

    • Fügen Sie die gelöschten Benutzer manuell wieder zu diesen Gruppen hinzu.
    • Stellen Sie den Systemstatus wieder her, und stellen Sie die einzelnen lokalen Sicherheitsgruppen wieder her, die die gelöschten Benutzer enthalten.
  15. Überprüfen Sie die Gruppenmitgliedschaft in der Domäne des Wiederherstellungsdomänencontrollers und in globalen Katalogen in anderen Domänen.

  16. Erstellen Sie eine neue Systemstatussicherung von Domänencontrollern in der Domäne des Wiederherstellungsdomänencontrollers.

  17. Benachrichtigen Sie alle Gesamtstrukturadministratoren, delegierten Administratoren, Helpdeskadministratoren in der Gesamtstruktur und Benutzer in der Domäne, dass die Benutzerwiederherstellung abgeschlossen ist.

    Helpdeskadministratoren müssen möglicherweise die Kennwörter von Authentifizierungs-wiederhergestellten Benutzerkonten und Computerkonten zurücksetzen, deren Domänenkennwort nach der Wiederherstellung des Systems geändert wurde.

    Benutzer, die ihre Kennwörter nach der Sicherung des Systemstatus geändert haben, werden feststellen, dass ihr neuestes Kennwort nicht mehr funktioniert. Lassen Sie solche Benutzer versuchen, sich mit ihren vorherigen Kennwörtern anzumelden, wenn sie sie kennen. Andernfalls müssen Helpdeskadministratoren das Kennwort zurücksetzen und das Kennwort beim nächsten Kontrollkästchen für die Anmeldung ändern. Führen Sie dies vorzugsweise auf einem Domänencontroller auf demselben Active Directory-Standort aus, in dem sich der Benutzer befindet.

Methode 3 : Zweimal autoritativ die gelöschten Benutzer und die Sicherheitsgruppen der gelöschten Benutzer wiederherstellen

Wenn Sie diese Methode verwenden, führen Sie die folgenden allgemeinen Schritte aus:

  1. Überprüfen Sie, ob ein globaler Katalog in der Domäne des Benutzers beim Löschen nicht repliziert wurde. Und verhindern Sie dann, dass dieser Domänencontroller den Löschvorgang eingehend replizieren kann. Wenn kein latenter globaler Katalog vorhanden ist, suchen Sie die aktuelle Systemstatussicherung eines globalen Katalogdomänencontrollers in der Startdomäne des gelöschten Benutzers.
  2. Stellen Sie alle gelöschten Benutzerkonten und alle Sicherheitsgruppen in der Domäne des gelöschten Benutzers autoritativ wieder her.
  3. Warten Sie auf die End-to-End-Replikation der wiederhergestellten Benutzer und der Sicherheitsgruppen auf alle Domänencontroller in der Domäne des gelöschten Benutzers und auf die globalen Katalogdomänencontroller der Gesamtstruktur.
  4. Wiederholen Sie die Schritte 2 und 3, um gelöschte Benutzer und Sicherheitsgruppen autoritativ wiederherzustellen. (Sie stellen den Systemzustand nur einmal wieder her.)
  5. Wenn die gelöschten Benutzer Mitglieder von Sicherheitsgruppen in anderen Domänen waren, stellen Sie autoritativ alle Sicherheitsgruppen wieder her, in denen die gelöschten Benutzer Mitglieder in diesen Domänen waren. Wenn Systemstatussicherungen aktuell sind, können Sie auch alle Sicherheitsgruppen in diesen Domänen autoritativ wiederherstellen. Um die Anforderung zu erfüllen, dass gelöschte Gruppenmitglieder wiederhergestellt werden müssen, bevor Sicherheitsgruppen Gruppenmitgliedschaftslinks reparieren können, stellen Sie beide Objekttypen in dieser Methode zweimal wieder her. Bei der ersten Wiederherstellung werden alle Benutzerkonten und Gruppenkonten eingerichtet. Die zweite Wiederherstellung stellt gelöschte Gruppen wieder her und repariert die Gruppenmitgliedschaftsinformationen, einschließlich Mitgliedschaftsinformationen für geschachtelte Gruppen.

Gehen Sie folgendermaßen vor, um Methode 3 zu verwenden:

  1. Überprüfen Sie, ob ein globaler Katalogdomänencontroller in der Startdomäne der gelöschten Benutzer vorhanden ist und in keinem Teil des Löschvorgangs repliziert wurde.

    Hinweis

    Konzentrieren Sie sich auf globale Kataloge in der Domäne mit den am wenigsten häufigen Replikationszeitplänen. Wenn diese Domänencontroller vorhanden sind, verwenden Sie das Befehlszeilentool Repadmin.exe, um die eingehende Replikation sofort zu deaktivieren. Gehen Sie dazu wie folgt vor:

    1. Wählen Sie Start und dann Ausführen aus.
    2. Geben Sie cmd in das Feld "Öffnen " ein, und wählen Sie dann "OK" aus.
    3. Geben Sie repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL an der Eingabeaufforderung ein, und drücken Sie dann die EINGABETASTE.

    Hinweis

    Wenn Sie den Befehl "Repadmin" nicht sofort ausgeben können, entfernen Sie die gesamte Netzwerkkonnektivität vom Domänencontroller, bis Sie repadmin verwenden können, um die eingehende Replikation zu deaktivieren, und geben Sie dann sofort die Netzwerkkonnektivität zurück.

    Dieser Domänencontroller wird als Wiederherstellungsdomänencontroller bezeichnet.

  2. Vermeiden Sie Ergänzungen, Löschungen und Änderungen an den folgenden Elementen, bis alle Wiederherstellungsschritte abgeschlossen sind. Änderungen umfassen die Kennwortzurücksetzung durch Domänenbenutzer, Helpdeskadministratoren und Administratoren in der Domäne, in der der Löschvorgang erfolgt ist, sowie Gruppenmitgliedschaftsänderungen in den Gruppen der gelöschten Benutzer.

    1. Benutzerkonten und Attribute für Benutzerkonten

      (Video) MVP Haiko Hertes zeigt, wie man einen Benutzer in der Domäne zum lokalen Administrator macht

    2. Computerkonten und Attribute auf Computerkonten

    3. Dienstkonten

    4. Sicherheitsgruppen

      Hinweis

      Vermeiden Sie insbesondere Änderungen an der Gruppenmitgliedschaft für Benutzer, Computer, Gruppen und Dienstkonten in der Gesamtstruktur, in der der Löschvorgang erfolgt ist.

    5. Benachrichtigen Sie alle Gesamtstrukturadministratoren, die delegierten Administratoren und die Helpdeskadministratoren in der Gesamtstruktur des temporären Standdowns. Diese Zurücksetzung ist in Methode 2 erforderlich, da Sie autoritativ alle Sicherheitsgruppen der gelöschten Benutzer wiederherstellen. Daher gehen alle Änderungen, die nach dem Datum der Systemstatussicherung an Gruppen vorgenommen werden, verloren.

  3. Erstellen Sie eine neue Systemstatussicherung in der Domäne, in der der Löschvorgang erfolgt ist. Sie können diese Sicherung verwenden, wenn Sie ihre Änderungen zurücksetzen müssen.

    Hinweis

    Wenn Ihre Systemstatussicherungen bis zum Zeitpunkt des Löschvorgangs aktuell sind, überspringen Sie diesen Schritt, und fahren Sie mit Schritt 4 fort.

    Wenn Sie in Schritt 1 einen Wiederherstellungsdomänencontroller identifiziert haben, sichern Sie den Systemstatus jetzt.

    Wenn alle globalen Kataloge, die sich in der Domäne befinden, in der der Löschvorgang erfolgt ist, den Löschvorgang repliziert haben, sichern Sie den Systemstatus eines globalen Katalogs in der Domäne, in der der Löschvorgang erfolgt ist.

    Wenn Sie eine Sicherung erstellen, können Sie den Wiederherstellungsdomänencontroller wieder in den aktuellen Zustand zurücksetzen. Und führen Sie Ihren Wiederherstellungsplan erneut aus, wenn Ihr erster Versuch nicht erfolgreich ist.

  4. Wenn Sie in der Domäne, in der der Benutzer gelöscht wurde, keinen latenten globalen Katalogdomänencontroller finden können, suchen Sie die neueste Systemstatussicherung eines globalen Katalogdomänencontrollers in dieser Domäne. Diese Systemstatussicherung sollte die gelöschten Objekte enthalten. Verwenden Sie diesen Domänencontroller als Wiederherstellungsdomänencontroller.

    Nur Datenbanken der Domänencontroller des globalen Katalogs in der Domäne des Benutzers enthalten Gruppenmitgliedschaftsinformationen für externe Domänen in der Gesamtstruktur. Wenn es keine Systemstatussicherung eines globalen Katalogdomänencontrollers in der Domäne gibt, in der Benutzer gelöscht wurden, können Sie das memberOf Attribut nicht für wiederhergestellte Benutzerkonten verwenden, um die globale oder universelle Gruppenmitgliedschaft zu ermitteln oder die Mitgliedschaft in externen Domänen wiederherzustellen. Fahren Sie mit dem nächsten Schritt fort. Wenn ein externer Datensatz der Gruppenmitgliedschaft in externen Domänen vorhanden ist, fügen Sie die wiederhergestellten Benutzer zu Sicherheitsgruppen in diesen Domänen hinzu, nachdem die Benutzerkonten wiederhergestellt wurden.

  5. Wenn Sie das Kennwort für das Offlineadministratorkonto kennen, starten Sie den Wiederherstellungsdomänencontroller im Disrepair-Modus. Wenn Sie das Kennwort für das Offlineadministratorkonto nicht kennen, setzen Sie das Kennwort zurück, während sich der Wiederherstellungsdomänencontroller noch im normalen Active Directory-Modus befindet.

    Sie können das Befehlszeilentool setpwd verwenden, um das Kennwort auf Domänencontrollern zurückzusetzen, auf denen Windows 2000 SP2 und höher ausgeführt wird, während sie sich im Active Directory-Onlinemodus befinden.

    Hinweis

    Microsoft unterstützt Windows 2000 nicht mehr.

    Administratoren von Windows Server 2003 und höheren Domänencontrollern können den set dsrm password Befehl im Befehlszeilentool "Ntdsutil" verwenden, um das Kennwort für das Offlineadministratorkonto zurückzusetzen.

    Weitere Informationen zum Zurücksetzen des Administratorkontos für den Verzeichnisdienstwiederherstellungsmodus finden Sie unter Zurücksetzen des Administratorkontokennworts für den Verzeichnisdienste-Wiederherstellungsmodus in Windows Server.

  6. Drücken Sie während des Startvorgangs F8, um den Wiederherstellungsdomänencontroller im Disrepair-Modus zu starten. Melden Sie sich mit dem Offlineadministratorkonto bei der Konsole des Wiederherstellungsdomänencontrollers an. Wenn Sie das Kennwort in Schritt 5 zurücksetzen, verwenden Sie das neue Kennwort.

    Wenn der Wiederherstellungsdomänencontroller ein latenter globaler Katalogdomänencontroller ist, stellen Sie den Systemstatus nicht wieder her. Wechseln Sie direkt zu Schritt 7.

    Wenn Sie den Wiederherstellungsdomänencontroller mithilfe einer Systemstatussicherung erstellen, stellen Sie die aktuellste Systemstatussicherung wieder her, die auf dem Wiederherstellungsdomänencontroller erstellt wurde, der die gelöschten Objekte enthält.

  7. Auth stellt die gelöschten Benutzerkonten, die gelöschten Computerkonten oder die gelöschten Sicherheitsgruppen wieder her.

    Hinweis

    Die Begriffe Authentifizierungswiederherstellung und autoritative Wiederherstellung beziehen sich auf den Prozess der Verwendung des Autorisierungswiederherstellungsbefehls im Befehlszeilentool Ntdsutil, um die Versionsnummern bestimmter Objekte oder bestimmter Container und aller untergeordneten Objekte zu erhöhen. Sobald die End-to-End-Replikation erfolgt, werden die Zielobjekte in der lokalen Kopie des Wiederherstellungsdomänencontrollers von Active Directory auf allen Domänencontrollern autoritativ, die diese Partition gemeinsam nutzen. Eine autoritative Wiederherstellung unterscheidet sich von einer Systemzustandswiederherstellung. Eine Systemstatuswiederherstellung füllt die lokale Kopie von Active Directory des wiederhergestellten Domänencontrollers mit den Versionen der Objekte zum Zeitpunkt der Sicherung des Systemstatus auf.

    Autoritative Wiederherstellungen werden mit dem Ntdsutil-Befehlszeilentool durchgeführt, indem auf den Domänennamenpfad (dn) der gelöschten Benutzer oder auf die Container verwiesen wird, die die gelöschten Benutzer hosten.

    Verwenden Sie bei der Authentifizierungswiederherstellung Domänennamenpfade, die in der Domänenstruktur so niedrig wie erforderlich sind. Der Zweck besteht darin, das Wiederherstellen von Objekten zu vermeiden, die sich nicht auf das Löschen beziehen. Diese Objekte können Objekte enthalten, die nach der Sicherung des Systemstatus geändert wurden.

    Gelöschte Benutzer in der folgenden Reihenfolge wiederherstellen:

    1. Stellen Sie den Domänennamenpfad (dn) für jedes gelöschte Benutzerkonto, Computerkonto oder jede gelöschte Sicherheitsgruppe wieder her.

      Autoritative Wiederherstellungen bestimmter Objekte dauern länger, sind aber weniger destruktiv als autoritative Wiederherstellungen einer ganzen Unterstruktur. Auth stellt den niedrigsten gemeinsamen übergeordneten Container wieder her, der die gelöschten Objekte enthält.

      Ntdsutil verwendet die folgende Syntax:

      ntdsutil "authoritative restore" "restore object <object DN path>" q q

      Um beispielsweise den gelöschten Benutzer John Doe in der Mayberry OU der Contoso.com Domäne autoritativ wiederherzustellen, verwenden Sie den folgenden Befehl:

      ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q

      Verwenden Sie den folgenden Befehl, um die gelöschte Sicherheitsgruppe ContosoPrintAccess in der Mayberry OU der Contoso.com Domäne autoritativ wiederherzustellen:

      ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q

      Wichtig

      Die Verwendung von Anführungszeichen ist erforderlich.

      Mithilfe dieses Ntdsutil-Formats können Sie auch die autoritative Wiederherstellung vieler Objekte in einer Batchdatei oder einem Skript automatisieren.

      Hinweis

      Diese Syntax ist nur in Windows Server 2003 und höher verfügbar. Die einzige Syntax in Windows 2000 ist: ntdsutil "authoritative restore" "restore subtree object DN path".

    2. Authentifizierung stellt nur die OU- oder Common-Name(CN)-Container wieder her, die die gelöschten Benutzerkonten oder -gruppen hosten.

      Autoritative Wiederherstellungen einer ganzen Unterstruktur sind gültig, wenn die OU, die vom Befehl "Autoritative Ntdsutil-Wiederherstellung" verwendet wird, die meisten Objekte enthält, die Sie autoritativ wiederherstellen möchten. Im Idealfall enthält die zielorientierte OE alle Objekte, die Sie autoritativ wiederherstellen möchten.

      Eine autoritative Wiederherstellung in einer OU-Unterstruktur stellt alle Attribute und Objekte wieder her, die sich im Container befinden. Alle Änderungen, die bis zum Zeitpunkt der Wiederherstellung einer Systemstatussicherung vorgenommen wurden, werden zum Zeitpunkt der Sicherung auf ihre Werte zurückgesetzt. Bei Benutzerkonten, Computerkonten und Sicherheitsgruppen bedeutet dieses Rollback möglicherweise den Verlust der letzten Änderungen an Kennwörtern, am Startverzeichnis, am Profilpfad, am Standort und an Kontaktinformationen, an der Gruppenmitgliedschaft und an allen Sicherheitsdeskriptoren, die für diese Objekte und Attribute definiert sind.

      Ntdsutil verwendet die folgende Syntax:

      ntdsutil "authoritative restore" "restore subtree <container DN path>" q q

      Verwenden Sie z. B. den folgenden Befehl, um die Mayberry-OU der Contoso.com Domäne autoritativ wiederherzustellen:

      ntdsutil "authoritative restore" "restore subtree ou=Mayberry,dc=contoso,dc=com" q q

      Hinweis

      Wiederholen Sie diesen Schritt für jede Peer-OU, die gelöschte Benutzer oder Gruppen hostet.

      Wichtig

      Wenn Sie ein untergeordnetes Objekt einer OE wiederherstellen, müssen alle übergeordneten Container der gelöschten untergeordneten Objekte explizit authentifiziert werden.

  8. Starten Sie den Wiederherstellungsdomänencontroller im normalen Active Directory-Modus neu.

  9. Replizieren Sie die autoritativ wiederhergestellten Objekte vom Wiederherstellungsdomänencontroller ausgehend auf die Domänencontroller in der Domäne und in der Gesamtstruktur.

    Während die eingehende Replikation auf den Wiederherstellungsdomänencontroller deaktiviert bleibt, geben Sie den folgenden Befehl ein, um die autoritativ wiederhergestellten Objekte an alle websiteübergreifenden Replikatdomänencontroller in der Domäne und an globale Kataloge in der Gesamtstruktur zu übertragen:

    repadmin /syncall /d /e /P <recovery dc> <Naming Context>

    Nachdem alle direkten und transitiven Domänencontroller in den Domänen- und globalen Katalogservern der Gesamtstruktur in den autoritativ wiederhergestellten Benutzern und allen wiederhergestellten Containern repliziert wurden, fahren Sie mit Schritt 11 fort.

    Wenn alle folgenden Aussagen zutreffen, werden Gruppenmitgliedschaftslinks mit der Wiederherstellung der gelöschten Benutzerkonten neu erstellt. Wechseln Sie zu Schritt 13.

    • Ihre Gesamtstruktur wird auf der Windows Server 2003- und höher-Gesamtstrukturfunktionsebene oder auf der Windows Server 2003- und späteren Interim-Gesamtstrukturfunktionsebene ausgeführt.
    • Nur Sicherheitsgruppen wurden nicht gelöscht.
    • Alle gelöschten Benutzer wurden allen Sicherheitsgruppen in allen Domänen in der Gesamtstruktur hinzugefügt.

    Erwägen Sie die Verwendung des Repadmin Befehls, um die ausgehende Replikation von Benutzern vom wiederhergestellten Domänencontroller zu beschleunigen.

    Wenn auch Gruppen gelöscht wurden oder Sie nicht garantieren können, dass alle gelöschten Benutzer nach dem Übergang zur Windows Server 2003- und späteren Interim- oder Gesamtstrukturfunktionsebene allen Sicherheitsgruppen hinzugefügt wurden, fahren Sie mit Schritt 12 fort.

  10. Wiederholen Sie die Schritte 7, 8 und 9, ohne den Systemzustand wiederherzustellen, und fahren Sie dann mit Schritt 11 fort.

  11. Wenn gelöschte Benutzer lokalen Gruppen in externen Domänen hinzugefügt wurden, führen Sie eine der folgenden Aktionen aus:

    • Fügen Sie die gelöschten Benutzer manuell wieder zu diesen Gruppen hinzu.
    • Stellen Sie den Systemstatus wieder her, und stellen Sie die einzelnen lokalen Sicherheitsgruppen wieder her, die die gelöschten Benutzer enthalten.
  12. Überprüfen Sie die Gruppenmitgliedschaft in der Domäne des Wiederherstellungsdomänencontrollers und in globalen Katalogen in anderen Domänen.

  13. Verwenden Sie den folgenden Befehl, um die eingehende Replikation auf den Wiederherstellungsdomänencontroller zu aktivieren:

    repadmin /options recovery dc name -DISABLE_INBOUND_REPL
  14. Erstellen Sie eine neue Systemstatussicherung von Domänencontrollern in der Domäne des Wiederherstellungsdomänencontrollers und globalen Katalogen in anderen Domänen in der Gesamtstruktur.

  15. Benachrichtigen Sie alle Gesamtstrukturadministratoren, die delegierten Administratoren, die Helpdesk-Administratoren in der Gesamtstruktur und die Benutzer in der Domäne, die der Benutzer wiederhergestellt hat.

    Helpdeskadministratoren müssen möglicherweise die Kennwörter der wiederhergestellten Authentifizierungsbenutzerkonten und Computerkonten zurücksetzen, deren Domänenkennwort nach der Wiederherstellung des Systems geändert wurde.

    Benutzer, die ihre Kennwörter nach der Sicherung des Systemstatus geändert haben, werden feststellen, dass ihr neuestes Kennwort nicht mehr funktioniert. Lassen Sie solche Benutzer versuchen, sich mit ihren vorherigen Kennwörtern anzumelden, wenn sie sie kennen. Andernfalls müssen Helpdeskadministratoren das Kennwort zurücksetzen, wobei der Benutzer das Kennwort bei aktiviertem Kontrollkästchen für die nächste Anmeldung ändern muss . Führen Sie dies vorzugsweise auf einem Domänencontroller auf demselben Active Directory-Standort aus, in dem sich der Benutzer befindet.

Wiederherstellen gelöschter Benutzer auf einem Domänencontroller, wenn Sie keine gültige Systemstatussicherung haben

Wenn Sie keine aktuellen Systemstatussicherungen in einer Domäne haben, in der Benutzerkonten oder Sicherheitsgruppen gelöscht wurden, und der Löschvorgang in Domänen erfolgt ist, die Windows Server 2003 und höhere Domänencontroller enthalten, führen Sie die folgenden Schritte aus, um gelöschte Objekte manuell aus dem Container für gelöschte Objekte zu reanimieren:

  1. Führen Sie die Schritte im folgenden Abschnitt aus, um gelöschte Benutzer, Computer, Gruppen oder alle wiederzubeleben:
    Manuelles Rückgängigmachen von Objekten in einem Container für gelöschte Objekte
  2. Verwenden Sie Active Directory-Benutzer und -Computer, um das Konto von "Deaktiviert" in "Aktiviert" zu ändern. (Das Konto wird in der ursprünglichen Organisationseinheit angezeigt.)
  3. Verwenden Sie die Massenzurücksetzungsfeatures in der Windows Server 2003- und höheren Version von Active Directory-Benutzer und -Computer, um Massenzurücksetzungen für das Kennwort durchzuführen, müssen sich bei der nächsten Anmelderichtlinieneinstellung, im Startverzeichnis, im Profilpfad und bei der Gruppenmitgliedschaft für das gelöschte Konto nach Bedarf ändern. Sie können auch eine programmgesteuerte Entsprechung dieser Features verwenden.
  4. Wenn Microsoft Exchange 2000 oder höher verwendet wurde, reparieren Sie das Exchange-Postfach für den gelöschten Benutzer.
  5. Wenn Exchange 2000 oder höher verwendet wurde, verknüpfen Sie den gelöschten Benutzer erneut mit dem Exchange-Postfach.
  6. Stellen Sie sicher, dass sich der wiederhergestellte Benutzer anmelden und auf lokale Verzeichnisse, freigegebene Verzeichnisse und Dateien zugreifen kann.

Sie können einige oder alle dieser Wiederherstellungsschritte mithilfe der folgenden Methoden automatisieren:

  • Schreiben Sie ein Skript, das die in Schritt 1 aufgeführten manuellen Wiederherstellungsschritte automatisiert. Wenn Sie ein solches Skript schreiben, sollten Sie erwägen, das gelöschte Objekt nach Datum, Uhrzeit und dem letzten bekannten übergeordneten Container zu definieren und dann die erneute Animation des gelöschten Objekts zu automatisieren. Um die Reanimation zu automatisieren, ändern Sie das isDeleted Attribut von TRUE in FALSE, und ändern Sie den relativen Distinguished Name in den Wert, der lastKnownParent entweder im Attribut oder in einem neuen OU- oder CN-Container (Common Name) definiert ist, der vom Administrator angegeben wird. (Der relative Distinguished Name wird auch als RDN bezeichnet.)
  • Rufen Sie ein Nicht-Microsoft-Programm ab, das die Erneutanimation gelöschter Objekte auf Windows Server 2003- und höher-Domänencontrollern unterstützt. Ein solches Dienstprogramm ist AdRestore. AdRestore verwendet die Primitive von Windows Server 2003 und höher, um Objekte einzeln zu wiederherstellen. Die Aelita Software Corporation und Commvault Systems bieten auch Produkte an, die die Funktionalität von Windows Server 2003 und höher basierenden Domänencontrollern unterstützen.

Informationen zum Abrufen von AdRestore finden Sie unter AdRestore v1.1.

Die Kontaktinformationen zu den in diesem Artikel erwähnten Drittanbietern sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Microsoft garantiert nicht die Genauigkeit dieser Kontaktinformationen von Drittanbietern.

Manuelles Rückgängigmachen von Objekten im Container eines gelöschten Objekts

Führen Sie die folgenden Schritte aus, um Objekte im Container eines gelöschten Objekts manuell zu löschen:

  1. Wählen Sie "Start" und dann " Ausführen" aus, und geben Sie ldp.exeein.

    ldp.exe ist verfügbar:

    • Auf Computern, auf denen die Domänencontrollerrolle installiert wurde.
    • Auf Computern, auf denen RemoteServer Administration Tools (RSAT) installiert wurde.
  2. Verwenden Sie das Menü "Verbindung " in Ldp, um die Verbindungsvorgänge und die Bindungsvorgänge an einen Windows Server 2003- und höher-Domänencontroller auszuführen.

    Geben Sie die Anmeldeinformationen des Domänenadministrators während des Bindungsvorgangs an.

  3. Wählen Sie im Menü "Optionen " die Option "Steuerelemente" aus.

  4. Wählen Sie in der Liste "Vordefinierte Laden" die Option "Gelöschte Objekte zurückgeben" aus.

    Hinweis

    Das 1.2.840.113556.1.4.417-Steuerelement wird zum Fenster "Aktive Steuerelemente" verschoben.

    (Video) Windows 10 Pro / Enterprise Lokale Benutzer und Gruppen fehlt | Dieses Snap-In kann nicht..🤷‍♂️
  5. Wählen Sie unter "Steuerelementtyp" die Option "Server" und dann " OK" aus.

  6. Wählen Sie im Menü "Ansicht " die Option "Struktur" aus, geben Sie den Distinguished Name-Pfad des Containers für gelöschte Objekte in der Domäne ein, in der der Löschvorgang erfolgt ist, und wählen Sie dann "OK" aus.

    Hinweis

    Der Distinguished Name-Pfad wird auch als DN-Pfad bezeichnet. Wenn der Löschvorgang z. B. in der contoso.com Domäne erfolgt ist, wäre der DN-Pfad der folgende Pfad:
    cn=deleted Objects,dc=contoso,dc=com

  7. Doppelklicken Sie im linken Bereich des Fensters auf den Container "Gelöschtes Objekt".

    Hinweis

    Als Suchergebnis der Idap-Abfrage werden standardmäßig nur 1000 Objekte zurückgegeben. Beispiel: Wenn im Container "Gelöschte Objekte" mehr als 1000 Objekte vorhanden sind, werden nicht alle Objekte in diesem Container angezeigt. Wenn das Zielobjekt nicht angezeigt wird, verwenden Sie ntdsutil, und legen Sie dann die maximale Anzahl fest, indem Sie maxpagesize verwenden, um die Suchergebnisse abzurufen.

  8. Doppelklicken Sie auf das Objekt, das Sie wiederherstellen oder wiederherstellen möchten.

  9. Klicken Sie mit der rechten Maustaste auf das Objekt, das Sie reanimieren möchten, und wählen Sie dann "Ändern" aus.

    Ändern Sie den Wert für das isDeleted Attribut und den DN-Pfad in einem einzelnen LDAP-Änderungsvorgang (Lightweight Directory Access Protocol). Führen Sie die folgenden Schritte aus, um das Dialogfeld "Ändern " zu konfigurieren:

    1. Geben Sie im Feld " Eintragsattribut bearbeiten " "isDeleted" ein. Lassen Sie das Feld "Wert " leer.

    2. Wählen Sie das Optionsfeld "Löschen " und dann die EINGABETASTE aus, um den ersten von zwei Einträgen im Dialogfeld " Eintragsliste " zu erstellen.

      Wichtig

      Wählen Sie " Ausführen" nicht aus.

    3. Geben Sie im Feld "Attribut""distinguishedName" ein.

    4. Geben Sie im Feld "Werte " den neuen DN-Pfad des reanimierten Objekts ein.

      Um beispielsweise das JohnDoe-Benutzerkonto zur Mayberry OU zu reanimieren, verwenden Sie den folgenden DN-Pfad: cn= JohnDoe,ou= Mayberry,dc= contoso,dc= com

      Hinweis

      Wenn Sie ein gelöschtes Objekt im ursprünglichen Container reanimieren möchten, fügen Sie den Wert des attributs "lastKnownParent" des gelöschten Objekts an den CN-Wert an, und fügen Sie dann den vollständigen DN-Pfad in das Feld "Werte" ein.

    5. Wählen Sie im Feld "Vorgang " die Option ERSETZEN aus.

    6. Wählen Sie die EINGABETASTE aus.

    7. Aktivieren Sie das Kontrollkästchen Synchron .

    8. Aktivieren Sie das Kontrollkästchen "Erweitert ".

    9. Wählen Sie "AUSFÜHREN" aus.

  10. Nachdem Sie die Objekte wiederbelebt haben, wählen Sie im Menü "Optionen" die Option "Steuerelemente" aus, und wählen Sie dann die Schaltfläche "Auschecken" aus, um (1.2.840.113556.1.4.417) aus der Feldliste "Aktive Steuerelemente" zu entfernen.

  11. Zurücksetzen von Kennwörtern, Profilen, Heimverzeichnissen und Gruppenmitgliedschaften für die gelöschten Benutzer.

    Beim Löschen des Objekts wurden alle Attributwerte mit Ausnahme von SID, ObjectGUID, LastKnownParentund SAMAccountName entfernt.

  12. Aktivieren Sie das reanimierte Konto in Active Directory-Benutzer und -Computer.

    Hinweis

    Das reanimierte Objekt verfügt über die gleiche primäre SID wie vor dem Löschen, aber das Objekt muss denselben Sicherheitsgruppen erneut hinzugefügt werden, um die gleiche Zugriffsebene auf Ressourcen zu haben. In der ersten Version von Windows Server 2003 und höher wird das sIDHistory Attribut für reanimierte Benutzerkonten, Computerkonten und Sicherheitsgruppen nicht beibehalten. Windows Server 2003 und höher mit Service Pack 1 behält das sIDHistory Attribut für gelöschte Objekte bei.

  13. Entfernen Sie Microsoft Exchange-Attribute, und verbinden Sie den Benutzer erneut mit dem Exchange-Postfach.

    Hinweis

    Die erneute Animation gelöschter Objekte wird unterstützt, wenn der Löschvorgang auf einem Windows Server 2003- und höher-Domänencontroller erfolgt. Die erneute Animation gelöschter Objekte wird nicht unterstützt, wenn der Löschvorgang auf einem Windows 2000-Domänencontroller erfolgt, der anschließend auf Windows Server 2003 und höher aktualisiert wird.

    Hinweis

    Wenn der Löschvorgang auf einem Windows 2000-Domänencontroller in der Domäne erfolgt, wird das lastParentOf Attribut nicht auf Windows Server 2003- und höher-Domänencontrollern aufgefüllt.

Ermitteln, wann und wo ein Löschvorgang erfolgt ist

Wenn Benutzer aufgrund eines Massenlöschvorgangs gelöscht werden, möchten Sie möglicherweise wissen, wo der Löschvorgang erfolgt ist. Führen Sie hierfür die folgenden Schritte aus:

  1. Um gelöschte Sicherheitsprinzipale zu finden, führen Sie die Schritte 1 bis 7 im Abschnitt "Manuelles Rückgängigmachen von Objekten im Containerabschnitt eines gelöschten Objekts" aus. Wenn eine Struktur gelöscht wurde, führen Sie die folgenden Schritte aus, um einen übergeordneten Container des gelöschten Objekts zu suchen.

  2. Kopieren Sie den Wert des objectGUID Attributs in die Windows-Zwischenablage.Sie können diesen Wert einfügen, wenn Sie den Repadmin Befehl in Schritt 4 eingeben.

  3. Führen Sie an der Befehlszeile den folgenden Befehl aus:

    repadmin /showmeta GUID=<objectGUID> <FQDN>

    Wenn beispielsweise das objectGUID gelöschte Objekt oder der Gelöschte Container 791273b2-eba7-4285-a117-aa804ea76e95 ist und der vollqualifizierte Domänenname (Fully Qualified Domain Name, FQDN) lautet dc.contoso.com, führen Sie den folgenden Befehl aus:

    repadmin /showmeta GUID=791273b2-eba7-4285-a117-aa804ea76e95 dc.contoso.com

    Die Syntax dieses Befehls muss die GUID des gelöschten Objekts oder Containers und den FQDN des Servers enthalten, von dem Sie quellen möchten.

  4. Suchen Sie in der Repadmin Befehlsausgabe das ursprüngliche Datum, die Uhrzeit und den Domänencontroller für das isDeleted Attribut. Informationen für das isDeleted Attribut werden beispielsweise in der fünften Zeile der folgenden Beispielausgabe angezeigt:

    Loc.USNUrsprungs-DCOrg.USNOrg.Time/DateVerAttribut
    134759Default-First-Site-Name\NA-DC1134759DateTime1Objectclass
    134760Default-First-Site-Name\NA-DC1134760DateTime2Organisationseinheit
    134759Default-First-Site-Name\NA-DC1134759DateTime1instanceType
    134759Default-First-Site-Name\NA-DC1134759DateTime1whenCreated
    134760Default-First-Site-Name\NA-DC1134760DateTime1isDeleted
    134759Default-First-Site-Name\NA-DC1134759DateTime1Ntsecuritydescriptor
    134760Default-First-Site-Name\NA-DC1134760DateTime2name
    134760Default-First-Site-Name\NA-DC1134760DateTime1lastKnownParent
    134760Default-First-Site-Name\NA-DC1134760DateTime2objectCategory
  5. Wenn der Name des ursprünglichen Domänencontrollers als 32-stellige alphanumerische GUID angezeigt wird, verwenden Sie den Ping-Befehl, um die GUID in die IP-Adresse und den Namen des Domänencontrollers aufzulösen, der den Löschvorgang verursacht hat. Der Ping-Befehl verwendet die folgende Syntax:

    ping -a <originating DC GUID>._msdomain controllers.<fully qualified path for forest root domain>

    Hinweis

    Bei der Option "-a " wird die Groß-/Kleinschreibung beachtet. Verwenden Sie den vollqualifizierten Domänennamen der Stammdomäne der Gesamtstruktur unabhängig von der Domäne, in der sich der ursprünglichen Domänencontroller befindet.

    Wenn sich der ursprünglichen Domänencontroller beispielsweise in einer Domäne in der Contoso.com Gesamtstruktur befindet und eine GUID von 644eb7e7-1566-4f29-a778-4b487637564b hatte, führen Sie den folgenden Befehl aus:

    ping -a 644eb7e7-1566-4f29-a778-4b487637564b._msdomain controllers.contoso.com

    Die von diesem Befehl zurückgegebene Ausgabe ähnelt der folgenden:

    Pinging na-dc1.contoso.com [65.53.65.101] with 32 bytes of data:Reply from 65.53.65.101: bytes=32 time<1ms TTL=128Reply from 65.53.65.101: bytes=32 time<1ms TTL=128Reply from 65.53.65.101: bytes=32 time<1ms TTL=128Reply from 65.53.65.101: bytes=32 time<1ms TTL=128

So minimieren Sie die Auswirkungen von Massenlöschungen in der Zukunft

Die Schlüssel zum Minimieren der Auswirkungen des Massenlöschens von Benutzern, Computern und Sicherheitsgruppen sind:

  • Stellen Sie sicher, dass Sie über aktuelle Systemstatussicherungen verfügen.
  • Steuern Sie den Zugriff auf privilegierte Benutzerkonten streng.
  • Steuern Sie genau, was diese Konten tun können.
  • Üben Sie die Wiederherstellung nach Massenlöschungen.

Systemstatusänderungen treten jeden Tag auf. Diese Änderungen können Folgendes umfassen:

  • Kennwortzurücksetzungen für Benutzerkonten und Computerkonten
  • Gruppenmitgliedschaftsänderungen
  • Andere Attributänderungen für Benutzerkonten, Computerkonten und Sicherheitsgruppen.

Wenn Ihre Hardware oder Software fehlschlägt oder ihre Website ein weiteres Notfall auftritt, sollten Sie die Sicherungen wiederherstellen, die nach den einzelnen wichtigen Änderungen in jeder Active Directory-Domäne und jedem Standort in der Gesamtstruktur vorgenommen wurden. Wenn Sie aktuelle Sicherungen nicht verwalten, gehen möglicherweise Daten verloren, oder Sie müssen ein Rollback der wiederhergestellten Objekte durchführen.

Microsoft empfiehlt, die folgenden Schritte auszuführen, um Massenlöschungen zu verhindern:

  1. Geben Sie das Kennwort für die integrierten Administratorkonten nicht frei, oder lassen Sie die Freigabe allgemeiner Administratorbenutzerkonten zu. Wenn das Kennwort für das integrierte Administratorkonto bekannt ist, ändern Sie das Kennwort, und definieren Sie einen internen Prozess, der die Verwendung verhindert. Überwachungsereignisse für freigegebene Benutzerkonten machen es unmöglich, die Identität des Benutzers zu ermitteln, der Änderungen in Active Directory vornimmt. Daher muss von der Verwendung freigegebener Benutzerkonten abgeraten werden.

  2. Es ist selten, dass Benutzerkonten, Computerkonten und Sicherheitsgruppen absichtlich gelöscht werden. Dies gilt insbesondere für Das Löschen von Baumarten. Deaktivieren Sie die Möglichkeit von Dienst- und delegierten Administratoren, diese Objekte aus der Möglichkeit zum Erstellen und Verwalten von Benutzerkonten, Computerkonten, Sicherheitsgruppen, OU-Containern und deren Attributen zu löschen. Gewähren Sie nur den privilegiertesten Benutzerkonten oder Sicherheitsgruppen das Recht zum Ausführen von Strukturlöschungen. Diese privilegierten Benutzerkonten können Unternehmensadministratoren umfassen.

  3. Gewähren Sie delegierten Administratoren nur Zugriff auf die Objektklasse, die diese Administratoren verwalten dürfen. Beispielsweise besteht die primäre Aufgabe eines Helpdeskadministrators darin, Eigenschaften für Benutzerkonten zu ändern. Er verfügt nicht über die Berechtigung zum Erstellen und Löschen von Computerkonten, Sicherheitsgruppen oder OU-Containern. Diese Einschränkung gilt auch für Löschberechtigungen für administratoren anderer bestimmter Objektklassen.

  4. Experimentieren Sie mit Überwachungseinstellungen, um Löschvorgänge in einer Lab-Domäne nachzuverfolgen. Nachdem Sie mit den Ergebnissen vertraut sind, wenden Sie Ihre beste Lösung auf die Produktionsdomäne an.

  5. Die Umfassende Zugriffssteuerung und Überwachungsänderungen an Containern, die Zehntausende von Objekten hosten, können dazu führen, dass die Active Directory-Datenbank erheblich wächst, insbesondere in Windows 2000-Domänen. Verwenden Sie eine Testdomäne, die die Produktionsdomäne spiegelt, um potenzielle Änderungen an freiem Speicherplatz auszuwerten. Überprüfen Sie die Festplattenvolumes, die die Ntds.dit-Dateien hosten, und die Protokolldateien von Domänencontrollern in der Produktionsdomäne auf freien Speicherplatz. Vermeiden Sie das Festlegen von Zugriffssteuerungs- und Überwachungsänderungen auf dem Domänennetzwerkcontrollerkopf. Diese Änderungen würden unnötigerweise für alle Objekte aller Klassen in allen Containern in der Partition gelten. Vermeiden Sie beispielsweise Änderungen an der Registrierung von DNS-Einträgen (Domain Name System) und DLT-Einträgen (Distributed Link Tracking) im CN=SYSTEM-Ordner der Domänenpartition.

  6. Verwenden Sie die BEWÄHRTE OE-Struktur, um Benutzerkonten, Computerkonten, Sicherheitsgruppen und Dienstkonten in ihrer eigenen Organisationseinheit zu trennen. Wenn Sie diese Struktur verwenden, können Sie DACLs (Discretionary Access Control Lists) auf Objekte einer einzelnen Klasse für delegierte Verwaltung anwenden. Und Sie ermöglichen, dass Objekte entsprechend der Objektklasse wiederhergestellt werden, wenn sie wiederhergestellt werden müssen. Die bewährte Organisationseinheitsstruktur wird im Abschnitt "Erstellen eines Organisationseinheitenentwurfs" des folgenden Artikels erläutert:
    Bewährte Methoden für das Active Directory-Design für die Verwaltung von Windows-Netzwerken

  7. Testen Sie Massenlöschungen in einer Lab-Umgebung, die Ihre Produktionsdomäne widerspiegelt. Wählen Sie die Für Sie sinnvolle Wiederherstellungsmethode aus, und passen Sie sie dann an Ihre Organisation an. Möglicherweise möchten Sie Folgendes identifizieren:

    • Die Namen der Domänencontroller in jeder Domäne, die regelmäßig gesichert wird
    • Speicherort von Sicherungsimages
      Im Idealfall werden diese Bilder auf einer zusätzlichen Festplatte gespeichert, die lokal in einem globalen Katalog in jeder Domäne in der Gesamtstruktur gespeichert ist.
    • Welche Mitglieder der Helpdesk-Organisation kontaktiert werden sollen
    • Die beste Möglichkeit, diesen Kontakt zu erstellen
  8. Die meisten Massenlöschungen von Benutzerkonten, Computerkonten und Sicherheitsgruppen, die Microsoft sieht, sind versehentlich. Besprechen Sie dieses Szenario mit Ihren IT-Mitarbeitern, und entwickeln Sie einen internen Aktionsplan. Konzentrieren Sie sich auf die Früherkennung. Und geben Sie Funktionen so schnell wie möglich an Ihre Domänenbenutzer und Ihr Unternehmen zurück. Sie können auch Maßnahmen ergreifen, um versehentliche Massenlöschungen zu verhindern, indem Sie die Zugriffssteuerungslisten (Access Control Lists, ACLs) von Organisationseinheiten bearbeiten.

    Weitere Informationen zur Verwendung von Windows-Schnittstellentools zum Verhindern versehentlicher Massenlöschungen finden Sie unter Schutz vor versehentlichen Massenlöschungen in Active Directory.

    Weitere Informationen zum Verhindern versehentlicher Massenlöschungen mithilfe von Dsacls.exe oder skripts finden Sie im folgenden Artikel:

    Skript zum Schutz von Organisationseinheiten (OUs) vor versehentlichem Löschen.

Das Befehlszeilenprogramm Groupadd.exe liest das memberOf Attribut für eine Sammlung von Benutzern in einer OE und erstellt eine LDF-Datei, die jedes wiederhergestellte Benutzerkonto den Sicherheitsgruppen in jeder Domäne in der Gesamtstruktur hinzufügt.

Groupadd.exe erkennt automatisch die Domänen und Sicherheitsgruppen, denen gelöschte Benutzer angehören, und fügt sie diesen Gruppen wieder hinzu. Dieser Vorgang wird in Schritt 11 von Methode 1 ausführlicher erläutert.

Groupadd.exe wird auf Windows Server 2003- und höher-Domänencontrollern ausgeführt.

Groupadd.exe verwendet die folgende Syntax:

groupadd / after_restore ldf_file [/ before_restore ldf_file ]

Stellt hier den Namen der LDF-Datei dar, ldf_file die mit dem vorherigen Argument verwendet werden soll, after_restore stellt die Datenquelle der Benutzerdatei dar und before_restore stellt die Benutzerdaten aus der Produktionsumgebung dar. (Die Datenquelle der Benutzerdatei ist die gute Benutzerdaten.)

Wenden Sie sich an den Microsoft-Produktsupport, um Groupadd.exe zu erhalten.

Die in diesem Artikel genannten Drittanbieterprodukte stammen von Herstellern, die von Microsoft unabhängig sind. Microsoft gewährt keine implizite oder sonstige Garantie in Bezug auf die Leistung oder Zuverlässigkeit dieser Produkte.

References

Weitere Informationen zur Verwendung des AD-Papierkorbfeatures in Windows Server 2008 R2 finden Sie im Schritt-für-Schritt-Handbuch für den Active Directory-Papierkorb.

FAQs

How to restore a deleted Active Directory user account in Windows Server 2008? ›

Here is what to do:
  1. Press Win + R to open Run dialog and type ldp.exe.
  2. To restore a deleted Active Directory object, the first thing is to bind to the 2008 server that hosts the forest root domain of your AD DS environment. ...
  3. Enter the domain admin user name and password and domain environment you need to log in.

How do I backup my Active Directory users and groups? ›

Procedure
  1. From the navigation pane, go to Protect > Active Directory. ...
  2. In the Name column, click the Active Directory server. ...
  3. In the row for the subclient, click the action button , and then click Back up. ...
  4. In the Backup options dialog box, choose the backup options: ...
  5. Click OK.
Jan 21, 2022

What is the use of Active Directory Administrative Center? ›

Active Directory Administrative Center (ADAC) is a tool by Microsoft that is used for managing objects in Active Directory. Microsoft offers ADAC in Windows Server 2008 R2 and higher to help administrators perform usual Active Directory tasks with greater efficiency.

What is Ntdsutil command used for? ›

You can use the ntdsutil commands to perform database maintenance of AD DS, manage and control single master operations, and remove metadata left behind by domain controllers that were removed from the network without being properly uninstalled. This tool is intended for use by experienced administrators.

Can you restore a deleted user account on Windows? ›

You must have admin permissions in Microsoft 365 to do this. In the admin center, go to the Users > Deleted users page. On the Deleted users page, select the user that you want to restore, and then select Restore. On the Restore page, follow the instructions to set the password and select Restore.

What are the 3 types of backup schemes are available? ›

There are mainly three types of backup: full, differential, and incremental.

What are the 3 ways to backup? ›

Three Best Ways to Back Up Your Files
  1. External hard drive. Backing up to an external hard drive, or even a USB flash drive, is the most traditional of all backup methods. ...
  2. Disk image. Creating a disk image is a great way to back up not only your files and folders, but also everything else on your computer. ...
  3. Cloud backup.

How do I Export data from Active Directory users and computers? ›

Run Netwrix Auditor → Navigate to “Reports” → Open “Active Directory” → Go to “Active Directory - State-in-Time” → Select “Computer Accounts” → Click “View”. To save the report, click the "Export" button → Choose a format, such as PDF → Click “Save as” → Choose a location to save it.

What are the 4 types of Microsoft Active Directory? ›

Below we'll explain their differences in order to help you decide what you need.
  • Active Directory (AD) ...
  • Azure Active Directory (AAD) ...
  • Hybrid Azure AD (Hybrid AAD) ...
  • Azure Active Directory Domain Services (AAD DS)
Aug 25, 2019

What are the 3 basic Active Directory roles? ›

Active Directory has five FSMO roles:
  • Schema Master.
  • Domain Naming Master.
  • Infrastructure Master.
  • Relative ID (RID) Master.
  • PDC Emulator.
Nov 30, 2021

Why do we need Active Directory server? ›

AD serves as a centralized security management solution that houses all network resources. The purpose of Active Directory is to enable organizations to keep their network secure and organized without having to use up excessive IT resources.

What does Windows Ntds stand for? ›

NTDS stands for NT Directory Services. DIT stands for Directory Information Tree. This is named as NTDS because the Active Directory was called NT Directory Services originally. Directory Information Tree (DIT) in the Active Directory was implemented as a X. 500 database and the primary database file is NTDS.

What is Certutil command? ›

Certutil.exe is a command-line program, installed as part of Certificate Services. You can use certutil.exe to dump and display certification authority (CA) configuration information, configure Certificate Services, backup and restore CA components, and verify certificates, key pairs, and certificate chains.

How does Ntdsutil repair Active Directory? ›

To recover the database, follow these steps:
  1. Select Start, select Run, type ntdsutil in the Open box, and then press ENTER.
  2. At the Ntdsutil command prompt, type files, and then press ENTER.
  3. At the file maintenance command prompt, type recover, and then press ENTER.
  4. Type quit, and then press ENTER.
  5. Restart the computer.
Sep 24, 2021

Does a deactivated account gets deleted? ›

Deactivating your account does not fully delete it. When you deactivate your account, Facebook saves all of your settings, photos, and information in case you decide to reactivate your account. Your information isn't gone—it's just hidden.

Does deleting account delete everything? ›

Step 1: Learn what deleting your account means. You'll lose all the data and content in that account, like emails, files, calendars, and photos. You won't be able to use Google services where you sign in with that account, like Gmail, Drive, Calendar, or Play.

How long does it take for your account to be permanently deleted? ›

This process generally takes around 2 months from the time of deletion. This often includes up to a month-long recovery period in case the data was removed unintentionally.

How long does an admin have to restore a deleted user? ›

You can restore a user account (including administrator accounts) up to 20 days after deleting it. After 20 days, the data is gone and you can't restore it.

Does System Restore delete user accounts? ›

It does not affect user data or files. This means that a system restore point can be safely used by a user. A system restore will not delete personal files such as documents, pictures, music or videos.

Does deleting a Windows user delete everything? ›

Quick tip: Deleting a user from your Windows 10 machine will permanently delete all of their associated data, documents, and more. If needed, ensure the user has a backup of any important files they want to keep before you delete.

Which backup method is fastest? ›

Differential backups are quicker than full backups because so much less data is backed up. But the amount of data being backed up grows with each differential backup until the next full backup.

What are the four most common types of backup? ›

Each backup program has its own approach in executing the backup, but there are four common types of backup implemented and generally used in most of these programs: full backup, differential backup, incremental backup and mirror backup.

How many types of RMAN backup are there? ›

The RMAN backup is two types: Full Backup. Incremental Backup.

What is the easiest way to backup my computer? ›

An external USB hard drive is the fastest and most cost-effective way to back up your files at home.

How do I backup my entire computer? ›

Click Start, type backup in the Start Search box, and then click Backup and Restore in the Programs list. Click Back up files under Back up files or your entire computer. Select where you want to store the file backup, and then click Next.

How do I backup my entire computer to an external hard drive? ›

Back up your PC with File History

Use File History to back up to an external drive or network location. Select Start​ > Settings > Update & Security > Backup > Add a drive , and then choose an external drive or network location for your backups.

How can I transfer data directly between computers? ›

Here's how to transfer data from one PC to another.
  1. Use an External Storage Media. Obviously, this is the way most people do it. ...
  2. Share Over LAN or Wi-Fi. ...
  3. Use a Transfer Cable. ...
  4. Connect the HDD or SSD Manually. ...
  5. Use Cloud Storage or Web Transfers.
Jun 16, 2022

Can I transfer data directly from one computer to another? ›

Transfer cables are a tried-and-tested method for transferring files between two PCs that are relatively close together (for example, on the same desk). All you have to do is connect your cable to both PCs via the appropriate ports (usually USB), then use the cable's built-in software to transfer your files.

How do I access Active Directory users and computers remotely? ›

Open the Control Panel from the Start menu (or press Win-X). Go to Programs > Programs and Features > Turn Windows features on or off. Go to Remote Server Administration Tools > Role Administration Tools > AD DS and AD LDS Tools. Check the AD DS Tools box and click OK.

What are the 5 roles of Active Directory? ›

Currently in Windows there are five FSMO roles:
  • Schema master.
  • Domain naming master.
  • RID master.
  • PDC emulator.
  • Infrastructure master.
Dec 1, 2021

How can I learn Active Directory at home? ›

How to Learn Active Directory: Step-by-Step
  1. Install software. There are many different versions of Windows, so you should download the server administrator tool that matches the operating system on your device.
  2. Watch tutorials. ...
  3. Sign up for classes. ...
  4. Read books. ...
  5. Practice.
Dec 15, 2020

What is the difference between AD and LDAP? ›

Both AD and LDAP have different functions. LDAP is a protocol. Active Directory is a directory server. LDAP is a cross-platform open standard, but Active Directory is Microsoft's proprietary software meant for Windows users and applications.

Is Active Directory a skill? ›

Active Directory is the heart of Windows Server user management and permissions. It's a key skill for any IT administrator and help desk staff. The Active Directory Administrator is responsible for managing all aspects of the domain including the users, groups, and computer accounts in the domain.

What is Active Directory for beginners? ›

Active Directory (AD) is a database and set of services that connect users with the network resources they need to get their work done. The database (or directory) contains critical information about your environment, including what users and computers there are and who's allowed to do what.

What are 4 methods you can use to install Active Directory domain Services? ›

In this article

Installing AD DS by Using Windows PowerShell. Installing AD DS by using Server Manager. Performing a Staged RODC Installation using the Graphical User Interface.

Can I use Active Directory without Windows Server? ›

Show activity on this post. Sadly AD is a Product based on Windows by MS. So the Answer is no.

Do I need a server to run Active Directory? ›

AD DS runs on Windows Server, which must be maintained and supported. Domain controllers contain data that determine access to an established network, making it a primary target for cyberattackers looking to corrupt or steal confidential information.

What is the difference between a domain controller and Active Directory? ›

Active Directory is a database that stores and organizes enterprise resources as objects. You can think of Active Directory as a database that stores users and device configurations in AD DS. A domain controller, in contrast, is simply a server running Active Directory that authenticates users and devices.

What are the 7 NTDs? ›

Feasey, a researcher in neglected tropical diseases, notes 13 neglected tropical diseases: ascariasis, Buruli ulcer, Chagas disease, dracunculiasis, hookworm infection, human African trypanosomiasis, leishmaniasis, leprosy, lymphatic filariasis, onchocerciasis, schistosomiasis, trachoma, and trichuriasis.

Why is it called Windows NT? ›

"NT" was formerly expanded to "New Technology" but no longer carries any specific meaning. Starting with Windows 2000, "NT" was removed from the product name and is only included in the product version string along with several low-level places within the system.

How can I see all drivers in CMD? ›

Check Your Drivers

Press Windows key + X and click Command Prompt. Type driverquery and hit Enter to get a list of every driver installed on your system and when that driver was published. You can also type driverquery > driver.

How can I see all connected drives in CMD? ›

Right-click on "Command Prompt" and choose "Run as Administrator". At the prompt, type "diskpart" and hit Enter. At the diskpart prompt type "list disk". This will list all the hard drives in the system.

How to use CertUtil to check MD5? ›

Solution:
  1. Open the Windows command line. Press Windows + R, type cmd and press Enter. ...
  2. Go to the folder that contains the file whose MD5 checksum you want to check and verify. Command: Type cd followed by the path to the folder. ...
  3. Type the command below. certutil -hashfile <file> MD5. ...
  4. Press Enter.
Oct 12, 2022

Can you restore a deleted user in Active Directory? ›

You can use several methods to restore deleted user accounts, computer accounts, and security groups. These objects are known collectively as security principals. The most common method is to enable the AD Recycle Bin feature supported on domain controllers based on Windows Server 2008 R2 and later.

Can you find deleted users in Active Directory? ›

Navigate to Reports > Active Directory > User Management > Recently deleted users.

What happens when you delete an Active Directory account? ›

If you delete a user, the Active Directory object is removed together with all the data and properties of the user.

What happens if a computer's account is mistakenly deleted from Active Directory? ›

Answers. "By default a tombstoned object does not contain the password (Unicode-pwd) and thus the reanimated computer account's password value will not match the password held on the workstation. This is why you cannot login in to a workstation when the machine account is deleted."

What does deleted user 0000 mean? ›

A deleted account usually looks like Deleted User(random number letter combo)#0000(Random discriminator) This can be caused by either a self deletion, where a user went ahead and deleted their account or an account was disabled/deleted due to ToS violation.

How long do users stay in deleted users Office 365? ›

It can be recovered within 30 days after being deleted. After 30 days, the user account and mailbox are permanently deleted and not recoverable. To delete a Microsoft 365 or Office 365 work or school account, see Delete or restore users.

How do I delete the user folder for a previously deleted user? ›

But did you delete the user profile?
  1. Open Windows File Explorer.
  2. Use the address bar to access the C:\Users folder. If you see a folder with the matching user account name Right-Click on it and select Delete.
  3. You will find the folder in the Recycle Bin. Right-click on it and select Empty Recycle Bin to delete the folder.
Oct 1, 2021

How do you know if someone has deleted or deactivated? ›

Search From a Web Browser

Replace “username” with the actual username of that person. A "Sorry, this page isn't available" message will appear if you have no access to the account. That means the person has either deactivated the account or blocked you.

How to find who deleted computer account in Active Directory? ›

To define what computer account was deleted filter Security Event Log for Event ID 4743.
  1. Run Netwrix Auditor → Navigate to "Search" → Click on "Advanced mode" if not selected → Set up the following filters: Filter = "Data source" Operator = "Equals" ...
  2. Click the "Search" button and review who deleted computer accounts.

Does deleting a user account delete everything? ›

All of a user's data is deleted, unless you transfer it to another user. You might need to transfer some data, such as Gmail data or Drive files, before you delete the user. Some data isn't deleted, such as any groups the user created.

Why can't I Delete my ad account? ›

Ad accounts: Confirm that you have no outstanding ad account balances. If you have balances to pay, remember that it can take up to 2 weeks to process. All ad accounts must also be in adherence to our Advertising Standards.

Does Active Directory automatically disable inactive accounts? ›

Azure Active Directory (Azure AD) does not include the ability to disable inactive accounts automatically, however, automation can be implemented to provide this administrative function.

What happens when you remove computer from domain? ›

When you remove a computer from a domain, Remove-Computer also disables the domain account of the computer. You must provide explicit credentials to unjoin the computer from its domain, even when they are the credentials of the current user. You must restart the computer to make the change effective.

Should I remove old computers from Active Directory? ›

Old and stale computer accounts in Active Directory may pose security threats and put you at risk for compliance violations. Therefore, it's important to routinely remove them from your Active Directory.

How do I bypass accidental deletion in Active Directory? ›

Open Active Directory Users and Computers, right-click on the OU you wish to delete and click Properties. Click the Object tab and clear the 'Protect object from accidental deletion,' then click OK.

What happens when you permanently Delete a file from your computer? ›

Clicking Delete sends the file to the Recycle Bin, while selecting the Permanently delete option deletes the file for good.

Videos

1. Office 365: Basis-Administration Tutorial: Benutzerkonten löschen und wiederherst. |video2brain.com
(IT-Pro & Administration Tutorials)
2. 09 Erstellen und Verwalten von Active Directory-Benutzern und -Computern
(Tom Wechsler)
3. Benutzer- und Gruppensteuerung mit Synology
(Synology DE)
4. 10 000 Benutzer mit PowerShell im Active Directory anlegen
(Linetwork)
5. NAS - Einstellungen, Benutzerrechte und Dateidienste - Synology Grundlagentutorial 2/3
(Synology DE)
6. Windows 10 Home : Lokale Benutzer und Gruppen fehlt.
(MrGogeln)
Top Articles
Latest Posts
Article information

Author: Rev. Porsche Oberbrunner

Last Updated: 02/08/2023

Views: 5797

Rating: 4.2 / 5 (73 voted)

Reviews: 88% of readers found this page helpful

Author information

Name: Rev. Porsche Oberbrunner

Birthday: 1994-06-25

Address: Suite 153 582 Lubowitz Walks, Port Alfredoborough, IN 72879-2838

Phone: +128413562823324

Job: IT Strategist

Hobby: Video gaming, Basketball, Web surfing, Book restoration, Jogging, Shooting, Fishing

Introduction: My name is Rev. Porsche Oberbrunner, I am a zany, graceful, talented, witty, determined, shiny, enchanting person who loves writing and wants to share my knowledge and understanding with you.