Windows: „Verschwundene“ Objekte im Active Directory wiederherstellen

Bei einer unfreiwillig „spannenden“ Server-Migration zusammen mit einem Kollegen eines SBS 2008 zu Windows Server 2019 Standard verschwanden plötzlich Benutzerkonten aus dem Active Directory.

Zunächst betraf es lediglich vier Benutzerkonten aus zwei OUs, dann teilweise weitere Konten aus der übergeordneten Benutzer-OU. Bewusst gelöscht wurde nichts, die Replikation sah zunächst ebenfalls gut aus, die Konten waren einfach weg.

Bei neueren Windows Server/Active Directory-Ausgaben hat man die Möglichkeit den Papierkorb zu nutzen, sofern aktiviert. Bei dieser recht alten Ausgangsbasis stand dies nicht zur Verfügung. Da die Migration bereits recht weit fortgeschritten war, erschien ein Rollback ungünstig, zumal der alte Server ohnehin bereits weitere Minuspunkte hatte.

Letztlich konnten die betroffenen Konten mittels AdRestore wiederhergestellt werden:

In einer Eingabeaufforderung mit erhöhten Rechten zunächst

adrestore

ausführen um eine Liste der gelöschten Objekte zu erhalten.

Tipp: Die Ausgabe in eine Datei umleiten („adrestore > output.log“).

Mit

adrestore -r <Name>

werden nacheinander alle Treffer für die Wiederherstellung angeboten.

Anschließend musste noch der Benutzername samt Domäne neu angegeben, das Kennwort gesetzt und das jeweilige Konto reaktiviert werden. Mitunter muss zudem die Gruppenmitgliedschaft korrigiert werden. Weitere Angaben wie z.B. E-Mail-Adresse etc. muss man neu ausfüllen.

Hauptsache das ursprüngliche Konto samt zugehöriger SID ist wieder da, denn davon hängt unter anderem die Nutzung des Benutzerprofils, Zugriffsrechte, WTS-Anmeldung, etc. ab.

Soweit Glück im Unglück, so musste das Projekt nicht abgebrochen oder gar ein Authoritative Restore des AD durchgeführt werden. Seltsam war das Ganze dennoch, in all den Jahren habe ich sowas noch nicht erlebt.

Erfreulicherweise kannte ich das Tool noch von einer längst vergangenen TechNet-Veranstaltung mit Nils Kaczenski (FAQ-o-matic) seinerzeit in der Microsoft-Niederlassung in Bad Homburg.

Quellen:

FAQ-o-matic – AdRestore (Suchergebnis)

Computerwoche – Sysinternals ADRestore – Wiederherstellung von Objekten im Active Directory

Stealthbits – Blog – How to Restore Deleted Active Directory Objects

Petri – Recovering Deleted Items in Active Directory

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.