Flexible Security for Your Peace of Mind

So stellen Sie ein gelöschtes Active Directory-Objekt wieder her

Active Directory wird in den meisten Unternehmen nach wie vor zur Identitäts- und Zugriffsverwaltung eingesetzt. Egal ob als pure On-Prem-Lösung oder in einem hybriden Setup mit Synchronisation zu Entra ID. Daher ist die Wiederherstellung des Active Directory und gelöschten Objekten darin ein wichtiger Bestandteil einer umfassenden Disaster-Recovery-Strategie. In diesem Beitrag gehen wir ins Detail, wie man mithilfe des Papierkorbs ein gelöschtes Active Directory-Konto wiederherstellen kann.

Warum ist Disaster Recovery des Active Directories extrem wichtig?

Im Rahmen einer umfassenden Disaster-Recovery-Strategie müssen Unternehmen dem Active Directory entsprechend Aufmerksamkeit schenken. Da Active Directory in der Regel die zentrale Verwaltung der Identitäten und der Zugriffsrechte im Unternehmensnetzwerk ist. Entsprechend gravierend können die Konsequenzen eines kompletten Ausfalls von Active Directory sein.

Im Falle eines hybriden Setups wird Active Directory normalerweise mit Microsoft Entra ID synchronisiert. Deshalb ist die Aufrechterhaltung des Zugriffs auf Active Directory Domain Services wichtig. Interne Anwendungen hingegen könnten auf SQL-Verbindungen angewiesen sein, die auf Microsoft Active Directory für Service-Principal-Namen beruhen. Auch hier kann es zu Problemen kommen, wenn Active Directory ausfällt.

Der Active Directory-Papierkorb

Der Papierkorb von Active Directory ist ein wichtiger Bestandteil zur einfachen Wiederherstellung gelöschter Active Directory-Objekte. Allerdings muss er zunächst aktiviert werden. Was genau ist der Active Directory-Papierkorb? Der Active Directory-Papierkorb ist ein spezieller Container in Active Directory, der mit Windows Server 2008 R2 und neueren Domänencontrollern eingeführt wurde. Wenn Sie ihn aktivieren, werden gelöschte Active Directory-Objekte für die konfigurierte Zeitspanne im Papierkorb gespeichert.

Wie lange verbleiben Objekte im Papierkorb?

Für den Fall, dass Sie Objekte wiederherstellen müssen, ist es wichtig zu wissen, wie lange diese im Papierkorb bleiben. Dazu gibt es in Active Directory ein Attribut, das die Verweildauer von Objekten im Papierkorb bestimmt. Das Attribut ist die tombstoneLifetime. Bei Bedarf können Sie auch einen eigenen Wert festlegen. Die Standardwerte für diesen Wert sind jedoch die folgenden:

  • Windows Server 2008 R2 und höher: Die Standardlebensdauer der Tombstones beträgt 180 Tage.
  • Ältere Versionen: Die Standardlebensdauer der Tombstones beträgt 60 Tage.

Sie können den Wert, der für Ihre Domain konfiguriert ist, mit PowerShell überprüfen. Führen Sie den folgenden Befehl von einem Ihrer Domänencontroller aus und ersetzen Sie dabei den Teil mit der Domain durch die Werte für Ihre Domains:

Get-ADObject -SearchBase „CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=yourdomain,DC=com“ -Filter * -Property tombstoneLifetime | Select-Object -ExpandProperty tombstoneLifetime

Unten sehen Sie den Wert von 180 Tagen in der Testdomäne.

Achten Sie also bei der Wiederherstellung von Active Directory-Objekten darauf, dass diese nicht ewig im Papierkorb verbleiben. Sie müssen entscheiden, ob Sie diese Objekte während der Lebensdauer des Tombstones wiederherstellen möchten oder nicht.

Einrichtung des Active Directory-Papierkorbs

Im Folgenden werden wir kurz auf die Konfiguration des Active Directory-Papierkorbs eingehen. Navigieren Sie zunächst zum Active Directory-„Administrative Center“ und öffnen Sie es. Dann sehen Sie auf der rechten Seite unter dem Bereich „Aufgaben“ (Tasks) die Option “Papierkorb aktivieren” (Enable Recycle Bin).

Nachdem Sie auf „Papierkorb aktivieren“ geklickt haben, wird das Dialogfeld zur Bestätigung der Aktivierung des Papierkorbs angezeigt. Klicken Sie auf OK, um ihn zu aktivieren. Wie in der Meldung zu lesen ist, kann der Papierkorb nach der Aktivierung nicht mehr deaktiviert werden.

Sollten Sie mehrere Domain-Controller haben, müssen Sie der Replikation Zeit geben, um die Änderungen innerhalb Ihrer gesamten Domäne zu replizieren.

Wenn Sie nach der Aktivierung die Oberfläche des Active Directory-Verwaltungscenters aktualisieren, sehen Sie, dass der Link Papierkorb aktivieren ausgegraut ist:

Jetzt, wo wir den Active Directory-Papierkorb aktiviert haben, können wir uns genauer ansehen, wie wir ihn zur Wiederherstellung eines gelöschten AD-Objekts verwenden können.

Wiederherstellen eines gelöschten AD-Objekts

Angenommen, ein Administrator hat versehentlich oder absichtlich die falschen Benutzer aus dem Active Directory gelöscht. Oder ein automatisiertes Skript wurde nicht getestet und hat die falschen Nutzer markiert. Daraufhin wurden die Objekte gelöscht. Oftmals geht es bei Disaster Recovery- Vorfällen nicht um böswillige Benutzer oder böswilliges Verhalten, sondern um versehentliche Löschungen und andere Fehler.

Wenn wir zum Active Directory Administrative Center zurückkehren, sehen wir, dass es unter der Domäne einen Ordner namens Gelöschte Objekte gibt. Dies ist der spezielle Container, der erstellt wird, wenn wir den Active Directory-Papierkorb aktivieren.

Wenn wir nun auf den Ordner doppelklicken, sehen wir alle Objekte, die innerhalb des 180-Tage-Tombstone-Intervalls (in diesem Beispiel) gelöscht wurden. Wenn wir auf den speziellen Ordner im Administrtive Center doppelklicken, sehen wir die beiden Objekte, die gelöscht wurden.

Wenn Sie das gewünschte Objekt nun auswählen und mit der rechten Maustaste darauf klicken, erhalten Sie die Optionen “Wiederherstellen” oder “Wiederherstellen nach”:

  • Wiederherstellen – stellt die Objekte an demselben Ort in Active Directory wieder her
  • Wiederherstellen nach – gibt Ihnen die Möglichkeit, den Ort auszuwählen, an dem Sie die Objekte wiederherstellen möchten

Wenn wir die Option „Wiederherstellen“ wählen, verschwinden die Objekte, da sie an ihrem Ursprungsort wiederhergestellt wurden.

Doch vor der Aktualisierung von Active Directory-„Benutzer und Computer“ (Users and Computers) sehen wir, dass testuser und testuser1 weiterhin fehlen:

Nachdem wir die Ansicht der OU in ADUC aktualisiert haben, können wir sehen, dass die beiden Benutzer wieder erscheinen.

Reports Übersicht zu Specops Password Auditor
Schlummern kompromittierte Kennwörter in Ihrem Active Directory?

Verwendung von PowerShell-Commands für den Papierkorb

Wir können auch PowerShell verwenden, um mit dem Active Directory-Papierkorb zu interagieren. Sie können das folgende Cmdlet verwenden, um Objekte aufzurufen:

Get-ADObject -Filter 'isDeleted -eq $true' -IncludeDeletedObjects -Property * | Format-List Name,ObjectGUID,Deleted,DistinguishedName 

Dadurch wird eine Liste der gelöschten Objekte angezeigt, die Sie dann zur Wiederherstellung mit PowerShell verwenden können. Sie können ein Objekt mit PowerShell unter Verwendung der ObjectGUID oder des Distinguished Name mit den folgenden Cmdlets wiederherstellen.

Restore-ADObject -Identity <ObjectGUID> 

Restore-ADObject -Identity "CN=Your User,OU=Users,DC=yourdomain,DC=com" 

Limits des Active Directory-Papierkorbs

Leider gibt es einige Einschränkungen des AD-Papierkorbs, die Sie beachten sollten, wenn Sie ihn für Disaster-Recovery-Zwecke in Ihrer Umgebung verwenden. Dazu gehören die folgenden Einschränkungen:

  • Der AD-Papierkorb ist nicht standardmäßig aktiviert. Wenn er also vor dem Löschvorgang nicht aktiviert war, wird er nicht helfen können.
  • Er schützt Sie nicht vor Hardwareausfällen Ihrer Domain Controller.
  • Er speichert keine „Versionen“ des Objekts.
  • Es speichert nur die letzte Version des gelöschten Objekts und ermöglicht es nicht, Änderungen an Objektattributen rückgängig zu machen.

Unternehmen müssen sich dieser Einschränkungen bewusst sein und daher weitere Möglichkeiten zur Sicherung und Wiederherstellung ihrer Active-Directory-Infrastruktur bereithalten. Zwar handelt es sich bei dem oben beschriebenen Papierkorb nicht um ein Backup Ihres Active Directory, doch kann er in Verbindung mit Backups eine sehr schnelle und einfache Möglichkeit zur Wiederherstellung von Objekten bieten, falls dies erforderlich ist.

Schützen Sie Ihr Active Directory

Die Wiederherstellung von Objekten in Active Directory ist eine äußerst wichtige Aufgabe, die von Zeit zu Zeit anfallen kann. Dank des integrierten Active Directory-Papierkorbs können Sie nach dessen Aktivierung eine schnelle Wiederherstellung von AD-Objekten vornehmen.
Um zu verhindern, dass solche Tools nicht durch unbefugte Missbraucht werden, sollten Sie zum Schutze Ihres Active Directory auch immer die Stärke und Sicherheit Ihrer Benutzerpasswörter im Blick haben.
Specops Password Policy unterstützt Sie hierbei, indem es Ihr Active Directory kontinuierlich auf über 4 Milliarden kompromittierte Passwörter überprüft und User benachrichtigt, wenn diese kompromittierte Zugangsdaten verwenden. So stellen Sie sicher, dass keine “einfachen” Angriffsvektoren durch Password-Spraying oder Credential-Stuffing offen sind.

Gerne beraten wir Sie dazu, wie unsere Lösungen Sie beim Schutz Ihres Active Directory unterstützen können.

Illustration eine Bildschirms der passwortgeschützten Code anzeigt.
Starke, benutzerfreundliche und geheime Passwörter in Active Directory dank Specops Password Policy

(Zuletzt aktualisiert am 03/09/2024)

Zurück zum Blog