Objekte schützen und wiederherstellen

In Windows Server 2012 sind Active Directory-Objekte vor dem versehentlichen Löschen geschützt. Dieser Schutz ist standardmäßig aktiviert. Nachdem Sie über das Menü “Ansicht” in “Active Directory-Benutzer und -Computer” die erweiterte Ansicht aktiviert haben, finden Sie auf der Registerkarte “Objekt” das Kontrollkästchen “Objekt vor zufälligem Löschen schützen”. Diese Option steuert die Berechtigungen auf der Registerkarte “Sicherheit”. Der Gruppe “Jeder” wird der Eintrag “Löschen” verweigert. Dies äußert sich darin, dass ein Administrator vor dem Löschen eines solchen geschützten Objektes zunächst das Kontrollkästchen zu dieser Option deaktivieren muss, bevor er das Objekt entfernen kann.

Den Papierkorb für gelöschte Objekte verwalten Sie in Windows Server 2012 nicht mehr in der PowerShell oder der Befehlszeile, sondern nehmen die Aktivierung und die Wiederherstellung von Objekten vollständig im Active Directory-Verwaltungscenter vor. Grundlage ist der Papierkorb des Active Directory, den Sie zunächst für die Gesamtstruktur aktivieren müssen. Dieser Vorgang findet über das Kontextmenü der Gesamtstruktur auf der linken Seite der Konsole im Active Directory-Verwaltungscenter statt. Sie können den Papierkorb nur dann aktivieren, wenn die Funktionsebene der Gesamtstruktur mindestens auf Windows Server 2008 R2 gesetzt ist.

Um gelöschte Objekte wiederherzustellen, verwenden Sie am besten das Active Directory Administration Center in Windows Server 2012. Das hat den Vorteil, dass Ihnen eine grafische Oberfläche zur Verfügung steht. Nachdem Sie den Papierkorb aktiviert und das Active Directory-Verwaltungscenter neu gestartet haben, gibt es für die entsprechende Gesamtstruktur einen neuen Ordner namens “Deleted Objects”.

Unter manchen Umständen kann es vorkommen, dass die Active Directory-Datenbank nicht mehr funktioniert. Gehen Sie bei einem solchen Problem folgendermaßen vor:
1. Starten Sie den Server im Verzeichnisdienstwiederherstellung-Modus
2. Öffnen Sie eine Befehlszeile und starten Sie Ntdsutil.exe.
3. Geben Sie den Befehl activate instance ntds ein.
4. Tippen Sie files ein, um zu “file maintenance” zu gelangen.
5. Nun folgt die Eingabe von integrity ein, um einen Integritätstest der Datenbank durchzuführen. Wenn dieser Test eine Fehlermeldung anzeigt, können Sie versuchen, die Datenbank in Ntdsutil zu retten.
6. Verlassen Sie mit quit die “file maintenance”, aber bleiben Sie in der Oberfläche von Ntdsutil.
7. Geben Sie den Befehl semantic database analysis ein.
8. Tippen Sie verbose on für detaillierte Informationen ein.
9. Geben Sie das Kommando go fixup ein.

Das Tool beginnt daraufhin mit der kompletten Diagnose der Active Directory-Datenbank und versucht sich an einer Reparatur. Verlassen Sie im Anschluss Ntdsutil.exe und starten Sie den Domänencontroller neu. Überprüfen Sie, ob die Active Directory-Datenbank wieder funktioniert. Sollten noch immer Schwierigkeiten auftreten, stellen Sie die Datenbank aus einer Datensicherung wieder her und überprüfen Sie im Anschluss, ob das Active Directory bei diesem Stand noch konsistent war. Sie sollten so lange Backups zurückspielen, bis sichergestellt ist, dass die Datenbank wieder konsistent ist.

Inhalt des Artikels:

    Seite 1: Active Directory installieren
    Seite 2: Mehr Effizienz durch die PowerShell
    Seite 3: Objekte schützen und wiederherstellen
    Seite 4: Verwalten der DC-Betriebsmasterrollen
    Seite 5: Active Directory-Replikation
    Seite 6: Gruppenrichtlinien testen und Fehler beheben

 

von Thomas Joos Artikel aus dem IT-Administrator Mai 2013