20.04.2009 | Autor / Redakteur: Joel Dubin / Stephan Augsten
Selbst einem erfahrenen Administrator kann es passieren, dass er versehentlich ein falsches Benutzerkonto aus dem Active Directory entfernt. Doch nicht verzweiflen, denn das Benutzerkonto und die Informationen zur Gruppenmitgliedschaft sind damit nicht unwiderruflich gelöscht; es gibt gleich mehrere Wege, um Benutzer- und Computerkonten sowie Sicherheitsgruppen wiederherzustellen.
Heute früh erreichte uns der verzweifelte Hilferuf eines Administrators, der irrtümlich eine falsche Gruppe und somit eine ganze Reihe Benutzerkonten aus dem Microsoft Active Directory entfernt hatte. Glücklicherweise bietet der Verzeichnisdienst ein Feature, um versehentlich gelöschte User-Accounts zu retten.
Dabei stellt das Auffinden und Wiederherstellen von Benutzerkonten im Active Directory (AD) noch das geringere Problem dar. Mit dem Dienstprogramm Repadmin lässt sich relativ einfach feststellen, wann und wo ein Benutzer gelöscht wurde.
Eine größere Herausforderung besteht darin, den Account wieder seiner ursprünglichen Gruppe zuzuweisen. Darüber hinaus ist die Wiederherstellung von AD-Benutzerkonten sehr eng mit der Zurückspielung versehentlich gelöschter Gruppen und Objekte verwoben. Denn oft gehen Accounts gleich haufenweise verloren, wenn ein irrtümlich gelöschtes Objekt zahlreiche Accounts beinhaltet.
Als prophylaktische Maßnahme empfiehlt Microsoft, das massenhafte Löschen von Objekten mithilfe der Kommandozeilen-Tools ADSIEdit, LDP oder DSACLS zu verhindern: Jedes Objekt besitzt einen so genannten Security Descriptor (SD), über den die Zugriffsrechte geregelt werden. Über die Befehlszeile sollte der Zugriffskontroll-Eintrag (Access Control Entry, ACE) eines jeden Objektes und seiner Parents auf den Wert ACCESS_DENIED_ACE (1) gesetzt werden.
Um ein gelöschtes Objekt ‚wiederzubeleben’, muss man zunächst einmal die ursprünglichen Werte der Attribute member und memberOf im betroffenen Security Principal wiederherstellen. Die hierzu erforderlichen Maßnahmen sind so umfassend, dass wir sie in diesem Artikel nur ansatzweise beschreiben können. Detaillierte Hilfe bietet der unten verlinkte Knowledge-Base-Artikel. Darin nennt Microsoft drei mögliche Wege, um gelöschte Benutzerkonten wiederherzustellen:
1. Unter Windows Server 2003 mit Service Pack 1 sowie Windows Server 2008 lassen sich gelöschte Accounts mit dem Befehlszeilen-Tool Ntdsutil wiederherstellen und anschließend ihren ursprünglichen Gruppen zuordnen.
2. Ohne dieses Tool ist man auf das aktuellste System State Backup des Global Catalogue (GC) im Domänen-Controller des fehlenden Nutzers angewiesen. Eine Wiederherstellung ist auf diesem Wege selbstverständlich nur so lange möglich, wie der neue Global Catalogue noch nicht repliziert und das Backup überschrieben wurde.
3. Scheiden die ersten beiden Maßnahmen aus, müssen sowohl das gelöschte Benutzerkonto als auch dessen Sicherheitsgruppe doppelt wiederhergestellt werden. Dieser zweimalige Restore ist nach Angaben von Microsoft erforderlich, da ansonsten möglicherweise nicht sämtliche Gruppenzugehörigkeits-Informationen vollständig wiederhergestellt werden.
Weitere manuelle Restore-Optionen für das Active Directory nennt Microsoft im Knowledge-Base-Artikel KB 840001. Darin werden auch die hier erwähnten Möglichkeiten im Detail erläutert.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2021403)
