DetailPage-MSS-KB

Knowledge Base

Artikel-ID: 840001 - Geändert am: Montag, 27. Januar 2014 - Version: 2.0

Auf dieser Seite

Zusammenfassung

Sie können drei Methoden anwenden, um gelöschte Benutzerkonten, Computerkonten und Sicherheitsgruppen wiederherzustellen. Diese Objekte werden unter der Bezeichnung "Sicherheitsprinzipale" zusammengefasst. Bei allen drei Methoden führen Sie eine autorisierende Wiederherstellung der gelöschten Objekte durch und stellen anschließend die Gruppenmitgliedschaftsinformationen für die gelöschten Sicherheitsprinzipale wieder her. Wenn Sie ein gelöschtes Objekt wiederherstellen, müssen Sie die vorherigen Werte der Attribute member und memberOf im betroffenen Sicherheitsprinzipal wiederherstellen. Die drei Methoden werden nachfolgend beschrieben:
  • Methode 1: Wiederherstellen der gelöschten Benutzerkonten und Wiederhinzufügen der Benutzerkonten zu ihren Gruppen mit dem Befehlszeilenprogramm "Ntdsutil.exe" (nur Microsoft Windows Server 2003 mit Service Pack 1 [SP1]).
  • Methode 2: Wiederherstellen der gelöschten Benutzerkonten und Wiederhinzufügen der Benutzerkonten zu ihren Gruppen.
  • Methode 3: Autorisierende zweimalige Wiederherstellung der gelöschten Benutzerkonten und der gelöschten Sicherheitsgruppen der Benutzer
Hinweis: Das Feature "AD Papierkorb", das in Windows Server 2008 R2 enthalten ist, wird in diesem Artikel nicht behandelt. Weitere Informationen zu diesem Feature finden Sie im Abschnitt "Informationsquellen".

Die Methoden 1 und 2 haben insofern Vorteile für Domänenbenutzer und -administratoren, als dabei Daten in Sicherheitsgruppen erhalten bleiben, die zwischen der letzten Sicherung des Systemstatus und dem Zeitpunkt der Löschung hinzugefügt worden sind. Bei Methode 3 werden anstelle individueller Anpassungen von Sicherheitsprinzipalen Sicherheitsgruppenmitgliedschaften auf ihren Stand vor der letzten Sicherung zurückgesetzt.

Wenn Sie keine gültige Sicherung des Systemstatus haben und die Domäne, in der die Löschung stattgefunden hat, Windows Server 2003-Domänencontroller enthält, können Sie die gelöschten Objekte manuell oder per Programm wiederherstellen. Sie können auch mit dem Dienstprogramm "Repadmin" feststellen, wann und wo ein Benutzer gelöscht wurde.

Die meisten Löschungen größeren Umfangs finden unabsichtlich statt. Microsoft empfiehlt mehrere Maßnahmen, mit denen Sie verhindern können, dass andere Benutzer Massenlöschungen durchführen.

Hinweis Um ein versehentliches Löschen oder Verschieben von Objekten (insbesondere Organisationseinheiten) zu verhindern, können der Sicherheitsbeschreibung jedes Objekts zwei Deny-ACEs (Access Control Entries, Zugriffssteuerungseinträge) (DENY "DELETE" & "DELETE TREE") und der Sicherheitsbeschreibung des übergeordneten Elements (PARENT) jedes Objekts kann ein Deny-ACE (DENY "DELETE CHILD") hinzugefügt werden. Hierzu verwenden Sie in Windows 2000 Server und in Windows Server 2003 "Active Directory-Benutzer und -Computer", ADSIEdit, LDP oder das Befehlszeilenprogramm DSACLS. Sie können auch die Standardberechtigungen im AD-Schema für Organisationseinheiten ändern, sodass diese ACEs standardmäßig einbezogen werden.

Um beispielsweise eine Organisationseinheit namens "Benutzer" in der AD-Domäne namens CONTOSO.COM davor zu schützen, versehentlich aus der übergeordneten Organisationseinheit "MeinUnternehmen" verschoben oder gelöscht zu werden, legen Sie folgende Konfiguration fest:

Für die Organisationseinheit "MeinUnternehmen" fügen Sie DENY ACE für Jeder zu DELETE CHILD für den Bereich Nur dieses Objekt hinzu.
DSACLS "OU=MeinUnternehmen,DC=CONTOSO,DC=COM" /D "EVERYONE:DC"

Für die Organisationseinheit "Benutzer" fügen Sie DENY ACE für Jeder zu DELETE und DELETE TREE für den Bereich Nur dieses Objekt hinzu:
DSACLS "OU=Benutzer,OU=MeinUnternehmen,DC=CONTOSO,DC=COM" /D "EVERYONE:SDDT"

Das Snap-In "Active Directory-Benutzer und -Computer" in Windows Server 2008 enthält auf der Registerkarte Objekt das Kontrollkästchen Objekt vor zufälligem Löschen schützen.

Hinweis Diese Registerkarte wird nur angezeigt, wenn das Kontrollkästchen Erweiterte Funktionen aktiviert ist.

Wenn Sie in Windows Server 2008 mit "Active Directory-Benutzer und -Computer" eine Organisationseinheit erstellen, wird das Kontrollkästchen Container vor zufälliger Löschung schützen angezeigt. Das Kontrollkästchen ist standardmäßig aktiviert und kann deaktiviert werden.

Sie können zwar jedes Objekt in Active Directory mit diesen ACEs konfigurieren, aber dies ist die beste Lösung für Organisationseinheiten. Die Löschung oder Verschiebung von Endknotenobjekten kann schwerwiegende Auswirkungen haben. Diese Konfiguration verhindert diese Löschungen oder Verschiebungen. Um in einer solchen Konfiguration ein Objekt löschen oder verschieben zu können, müssen die Deny-ACEs zuerst entfernt werden.

Weitere Informationen

Dieser Artikel beschreibt die Vorgehensweise zur Wiederherstellung von Benutzerkonten, Computerkonten und deren Gruppenmitgliedschaften, nachdem sie aus dem Active Directory gelöscht wurden. In Variationen dieses Szenarios sind Benutzerkonten, Computerkonten oder Sicherheitsgruppen eventuell einzeln oder in irgendeiner Kombination gelöscht worden. In all diesen Fällen sind die ersten Schritte dieselben - Sie führen eine autorisierende Wiederherstellung (auth restore) der Objekte durch, die versehentlich gelöscht wurden. Bei manchen gelöschten Objekten sind zusätzliche Maßnahmen erforderlich. Zu diesen Objekten gehören z. B. Benutzerkonten, die Attribute enthalten, bei denen es sich um Backlinks der Attribute anderer Objekte handelt. Zwei dieser Attribute sind managedBy und memberOf.

Wenn Sie Sicherheitsprinzipale wie z. B. ein Benutzerkonto, eine Sicherheitsgruppe oder ein Computerkonto zu einer Sicherheitsgruppe hinzufügen, führen Sie die folgenden Änderungen in Active Directory durch:
  1. Der Name des Sicherheitsprinzipals wird zum Attribut member der einzelnen Sicherheitsgruppen hinzugefügt.
  2. Für jede Sicherheitsgruppe, deren Mitglied der Benutzer, der Computer oder die Sicherheitsgruppe ist, wird ein Backlink zum Attribut memberOf des Sicherheitsprinzipals hinzugefügt.
In ähnlicher Weise finden die folgenden Aktionen statt, wenn ein Benutzer, ein Computer oder eine Gruppe aus dem Active Directory gelöscht wird:
  1. Das gelöschte Sicherheitsprinzipal wird in den Container für gelöschte Objekte verschoben.
  2. Mehrere Attributwerte, darunter das Attribut memberOf, werden aus dem gelöschten Sicherheitsprinzipal entfernt.
  3. Gelöschte Sicherheitsprinzipale werden aus allen Gruppen entfernt, deren Mitglied sie waren. Anders ausgedrückt: Die gelöschten Sicherheitsprinzipale werden aus dem Attribut member der einzelnen Sicherheitsgruppen entfernt.
Wenn Sie gelöschte Sicherheitsprinzipale und deren Gruppenmitgliedschaften wiederherstellen, müssen Sie daran denken, dass jedes Sicherheitsprinzipal in Active Directory vorhanden sein muss, bevor Sie seine Gruppenmitgliedschaft wiederherstellen können. (Das Mitglied kann ein Benutzer, ein Computer oder eine andere Sicherheitsgruppe sein). Um diese Regel allgemeiner zu formulieren: Ein Objekt, das Attribute enthält, deren Werte Backlinks sind, muss in Active Directory vorhanden sein, bevor das Objekt, das den Forwardlink enthält, wiederhergestellt oder geändert werden kann.

Zwar befasst sich dieser Artikel schwerpunktmäßig mit der Wiederherstellung gelöschter Benutzerkonten und ihrer Mitgliedschaften in Sicherheitsgruppen, jedoch gelten die beschriebenen Konzepte gleichermaßen für die Löschung anderer Objekte. Die Konzepte in diesem Artikel gelten ebenso für gelöschte Objekte, deren Attributwerte Forwardlinks und Backlinks auf andere Objekte in Active Directory verwenden.

Sie können jede der drei Methoden zur Wiederherstellung von Sicherheitsprinzipalen verwenden. Wenn Sie Methode 1 verwenden, bleiben alle Sicherheitsprinzipale bestehen, die zu irgendeiner Sicherheitsgruppe in der Gesamtstruktur hinzugefügt wurden, und Sie fügen nur die Sicherheitsprinzipale, die aus ihren jeweiligen Domänen gelöscht wurden, wieder zu ihren Sicherheitsgruppen hinzu. Sie erstellen beispielsweise eine Sicherung des Systemstatus, fügen einen Benutzer zu einer Sicherheitsgruppe hinzu, und stellen anschließend den Systemstatus aus der Sicherung wieder her. Bei Methode 1 oder 2 bleiben alle Benutzer erhalten, die zwischen dem Datum der Sicherung des Systemstatus und dem Datum der Wiederherstellung des gesicherten Systemstatus zu Sicherheitsgruppen mit gelöschten Benutzern hinzugefügt wurden. Bei Methode 3 setzen Sie die Sicherheitsgruppenmitgliedschaften für alle Sicherheitsgruppen, die gelöschte Benutzer enthalten, auf deren Stand zum Zeitpunkt der Sicherung des Systemstatus zurück.

Methode 1: Wiederherstellen der gelöschten Benutzerkonten und Hinzufügen der wiederhergestellten Benutzerkonten zu ihren Gruppen mit dem Befehlszeilenprogramm "Ntdsutil.exe" (nur Microsoft Windows Server 2003 mit Service Pack 1 [SP1])

Hinweis Diese Methode kann nur auf Domänencontrollern ausgeführt werden, auf denen Windows Server 2003 mit SP1 ausgeführt wird. Wenn Windows Server 2003 SP1 auf den für die Wiederherstellung verwendeten Domänencontrollern nicht installiert ist, wenden Sie Methode 2 an.

In Windows Server 2003 SP1 wurde das Befehlszeilenprogramm "Ntdsutil.exe" um Funktionen ergänzt, die es Administratoren ermöglichen, Backlinks gelöschter Objekte einfacher wiederherzustellen. Für jede autorisierende Wiederherstellung werden zwei Dateien generiert. Eine Datei enthält eine Liste der autorisierend wiederhergestellten Objekte. Die andere Datei ist eine .ldf-Datei, die in Verbindung mit dem Dienstprogramm "Ldifde.exe" verwendet wird. Diese Datei wird verwendet, um die Backlinks für die Objekte wiederherzustellen, die autorisierend wiederhergestellt werden. In Windows Server 2003 SP1 werden bei einer autorisierenden Wiederherstellung eines Benutzerobjekts auch LDIF-Dateien mit der Gruppenmitgliedschaft erstellt. Durch diese Methode wird eine doppelte Wiederherstellung vermieden.

Bei dieser Methode führen Sie die folgenden allgemeinen Schritte durch:
  1. Vergewissern Sie sich, dass bei der Löschung kein globaler Katalog in der Domäne des Benutzers repliziert wurde, und verhindern Sie eine Replikation dieses globalen Katalogs. Wenn es keinen latenten globalen Katalog gibt, suchen Sie die aktuelle Sicherung des Systemstatus eines globalen Domänencontrollers in der Basisdomäne des gelöschten Benutzers.
  2. Führen Sie eine autorisierende Wiederherstellung aller gelöschten Benutzerkonten durch, und ermöglichen Sie dann die End-to-End-Replikation dieser Benutzerkonten.
  3. Fügen Sie alle wiederhergestellten Benutzerkonten zu allen Gruppen in allen Domänen wieder hinzu, deren Mitglied die Benutzerkonten vor ihrer Löschung waren.
Gehen Sie folgendermaßen vor, um Methode 1 anzuwenden:
  1. Überprüfen Sie, ob es in der Basisdomäne des gelöschten Benutzers einen globalen Katalogdomänencontroller gibt, der keinen Teil der Löschung repliziert hat.

    Hinweis Konzentrieren Sie sich auf die globalen Kataloge, deren Replikationszeitpläne die geringste Häufigkeit aufweisen.

    Wenn ein oder mehrere solcher globalen Kataloge vorhanden sind, deaktivieren Sie mit dem Befehlszeilenprogramm "Repadmin.exe" sofort die eingehende Replikation. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie auf Start und anschließend auf Ausführen.
    2. Geben Sie cmd im Feld Öffnen ein. Klicken Sie dann auf OK.
    3. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
      repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
      Hinweis Wenn Sie den Befehl "Repadmin" nicht sofort ausführen können, entfernen Sie jegliche Netzwerkverbindungen aus dem latenten globalen Katalog, bis Sie mit "Repadmin" die eingehende Replikation deaktivieren können. Richten Sie anschließend die Netzwerkverbindungen sofort wieder ein.
    Dieser Domänencontroller wird hier als der "Wiederherstellungsdomänencontroller" bezeichnet. Wenn es keinen solchen globalen Katalog gibt, fahren Sie fort mit Schritt 2.
  2. Es ist sinnvoll, Änderungen an Sicherheitsgruppen in der Gesamtstruktur einzustellen, wenn alle folgenden Aussagen zutreffen:
    • Sie verwenden Methode 1 für die autorisierende Wiederherstellung gelöschter Benutzer- oder Computerkonten nach deren DN-Pfad (DN = Distinguished Name).
    • Die Löschung wurde auf alle Domänencontroller in der Gesamtstruktur repliziert, ausgenommen der latente Wiederherstellungsdomänencontroller.
    • Sie führen keine autorisierende Wiederherstellung von Sicherheitsgruppen oder deren übergeordneten Containern durch.
    Wenn Sie eine autorisierende Wiederherstellung von Sicherheitsgruppen oder OU-Containern (OU = Organizational Unit; Organisationseinheit) durchführen, in denen sich Sicherheitsgruppen oder Benutzerkonten befinden, stellen Sie all diese Änderungen vorübergehend ein.

    Informieren Sie Administratoren und Helpdesk-Administratoren in den jeweiligen Domänen sowie die Domänenbenutzer in der Domäne, in der die Löschung stattgefunden hat, über die Einstellung dieser Änderungen.
  3. Erstellen Sie eine neue Sicherung des Systemstatus in der Domäne, in der die Löschung stattgefunden hat. Diese Sicherung können Sie verwenden, wenn Sie Ihre Änderungen zurücksetzen müssen.

    Hinweis Wenn die Sicherungen des Systemstatus bis zum Zeitpunkt der Löschung aktuell sind, übergehen Sie diesen Schritt, und fahren Sie mit Schritt 4 fort.

    Wenn Sie in Schritt 1 einen Wiederherstellungsdomänencontroller identifiziert haben, sichern Sie jetzt dessen Systemstatus.

    Wenn alle globalen Kataloge in der Domäne, in der die Löschung stattgefunden hat, bei der Löschung repliziert wurden, sichern Sie den Systemstatus eines globalen Katalogs in dieser Domäne.

    Wenn Sie eine Sicherung erstellen, können Sie den Wiederherstellungsdomänencontroller auf seinen aktuellen Status zurücksetzen und Ihren Wiederherstellungsplan erneut durchführen, wenn der erste Versuch fehlschlägt.
  4. Wenn Sie keinen latenten globalen Katalogdomänencontroller in der Domäne finden, in der die Benutzerkonten gelöscht wurden, suchen Sie die aktuelle Sicherung des Systemstatus eines globalen Katalogdomänencontrollers in dieser Domäne. Diese Sicherung sollte die gelöschten Objekte enthalten. Verwenden Sie diesen Domänencontroller als Wiederherstellungsdomänencontroller.

    Nur Wiederherstellungen der globalen Katalogdomänencontroller in der Domäne des Benutzers enthalten Mitgliedschaftsinformationen zu globalen und universellen Gruppen für Sicherheitsgruppen, die sich in externen Domänen befinden. Wenn es keine Sicherung des Systemstatus eines globalen Katalogdomänencontrollers in der Domäne gibt, in der Benutzerkonten gelöscht wurden, können Sie das Attribut memberOf von wiederhergestellten Benutzerkonten nicht dazu verwenden, die Mitgliedschaft in einer globalen oder universellen Gruppe festzustellen oder die Mitgliedschaft in externen Domänen wiederherzustellen. Außerdem ist es ratsam, die aktuelle Sicherung des Systemstatus eines nicht-globalen Katalogdomänencontrollers zu suchen.
  5. Wenn Sie das Kennwort für das Offline-Administratorkonto kennen, starten Sie den Wiederherstellungsdomänencontroller im Modus "Dsrepair". Wenn Sie das Kennwort für das Offline-Administratorkonto nicht kennen, setzen Sie das Kennwort zurück, solange sich der Wiederherstellungsdomänencontroller noch im normalen Active Directory-Modus befindet.

    Mit dem Befehlszeilenprogramm setpwd können Sie das Kennwort auf Domänencontrollern mit Microsoft Windows 2000 Service Pack 2 (SP2) und höher zurücksetzen, wenn Sie sich im Online-Active Directory-Modus befinden.

    Hinweis Microsoft unterstützt Windows 2000 nicht mehr.

    Weitere Informationen zum Ändern des Administratorkennworts für die Wiederherstellungskonsole finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    239803  (http://support.microsoft.com/kb/239803/de/ ) Ändern des Administratorkennworts für die Wiederherstellungskonsole auf einem Domänencontroller
    Administratoren von Windows Server 2003-Domänencontrollern können den Befehl set dsrm password im Befehlszeilenprogramm Ntdsutil dazu verwenden, das Kennwort für das Offline-Administratorkonto zurückzusetzen.

    Weitere Informationen zum Zurücksetzen des Administratorkontos für den Verzeichnisdienste-Wiederherstellungsmodus finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    322672  (http://support.microsoft.com/kb/322672/de/ ) Zurücksetzen des Kennworts für Administrator-Konto für Verzeichnis-Dienstwiederherstellungsmodus in Windows Server 2003
  6. Drücken Sie während des Startvorgangs die Taste [F8], um den Wiederherstellungsdomänencontroller im Modus "Dsrepair" zu starten. Melden Sie sich mit dem Offline-Administratorkonto an der Konsole des Wiederherstellungsdomänencontrollers an. Wenn Sie in Schritt 5 das Kennwort zurückgesetzt haben, verwenden Sie das neue Kennwort.

    Wenn der Wiederherstellungsdomänencontroller ein latenter globaler Katalogdomänencontroller ist, stellen Sie den Systemstatus nicht wieder her. Fahren Sie mit Schritt 7 fort.

    Wenn Sie den Wiederherstellungsdomänencontroller mit einer Sicherung des Systemstatus erstellen, stellen Sie jetzt die aktuelle Sicherung des Systemstatus wieder her, die auf dem Wiederherstellungsdomänencontroller durchgeführt wurde.
  7. Führen Sie eine autorisierende Wiederherstellung der gelöschten Benutzerkonten, Computerkonten oder Sicherheitsgruppen durch.

    Hinweis Die Begriffe auth restore und autorisierende Wiederherstellung beziehen sich auf die Verwendung des Befehls authoritative restore im Befehlszeilenprogramm Ntdsutil, um die Versionsnummern bestimmter Objekte oder Container und all ihrer untergeordneten Objekte zu erhöhen. Sobald die End-to-End-Replikation stattfindet, werden die Zielobjekte in der lokalen Active Directory-Kopie des Wiederherstellungsdomänencontrollers auf allen Domänencontrollern autorisierend, die diese Partition nutzen. Eine autorisierende Wiederherstellung unterscheidet sich von einer Wiederherstellung des Systemstatus. Bei einer Wiederherstellung des Systemstatus wird die lokale Active Directory-Kopie des wiederhergestellten Domänencontrollers mit den Versionen der Objekte gefüllt, die diese zum Zeitpunkt der Sicherung des Systemstatus hatten.

    Weitere Informationen zur autorisierenden Wiederherstellung eines Domänencontrollers finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    241594  (http://support.microsoft.com/kb/241594/de/ ) Durchführen einer autorisierenden Wiederherstellung für einen Domänencontroller in Windows 2000


    Autorisierende Wiederherstellungen werden mit dem Befehlszeilenprogramm Ntdsutil durchgeführt und beziehen sich auf den DN-Pfad der gelöschten Benutzerkonten oder der Container, in denen sich die gelöschten Benutzerkonten befinden.

    Verwenden Sie bei einer autorisierenden Wiederherstellung DN-Pfade, deren Position in der Domänenstruktur so niedrig ist wie erforderlich, um das Zurücksetzen von Objekten zu vermeiden, die mit der Löschung nichts zu tun haben. Das können z. B. Objekte sein, die geändert wurden, nachdem der Systemstatus gesichert wurde.

    Führen Sie die autorisierende Wiederherstellung gelöschter Benutzerkonten in der folgenden Reihenfolge durch:
    1. Führen Sie eine autorisierende Wiederherstellung des Domänennamenspfades (DN-Pfades) für alle gelöschten Benutzerkonten, Computerkonten oder Sicherheitsgruppen durch.

      Autorisierende Wiederherstellungen bestimmter Objekte dauern länger, sind aber weniger destruktiv als autorisierende Wiederherstellungen einer kompletten Unterstruktur. Führen Sie eine autorisierende Wiederherstellung des niedrigsten gemeinsamen übergeordneten Containers durch, der die gelöschten Objekte enthält.

      Ntdsutil verwendet die folgende Syntax:
      ntdsutil "authoritative restore" "restore object <object DN path>" q q
      Verwenden Sie z. B. den folgenden Befehl, um eine autorisierende Wiederherstellung des gelöschten Benutzerkontos JohnDoe in der Organisationseinheit Mayberry der Domäne Contoso.com durchzuführen:
      ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
      Verwenden Sie den folgenden Befehl, um eine autorisierende Wiederherstellung der gelöschten Sicherheitsgruppe ContosoPrintAccess in der Organisationseinheit Mayberry der Domäne Contoso.com durchzuführen:
      ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q


      Wichtig Es müssen Anführungszeichen verwendet werden.

      Für jeden wiederhergestellten Benutzer werden mindestens zwei Dateien erstellt. Diese Dateien haben das folgende Format:

      ar_JJJJMMTT-SSMMSS_objects.txt
      Diese Datei enthält eine Liste der autorisierend wiederhergestellten Objekte. Verwenden Sie diese Datei mit dem Befehl ntdsutil authoritatative restore "create ldif file from" in jeder sonstigen Domäne in der Gesamtstruktur, in der der Benutzer Mitglied der Gruppen des Typs "Lokale Domäne" war.

      ar_JJJJMMTT-HHMMSS_links_usn.loc.ldf
      Wenn Sie eine autorisierende Wiederherstellung eines globalen Katalogs durchführen, wird für jede Domäne in der Gesamtstruktur eine dieser Dateien erstellt. Diese Datei enthält ein Skript, das Sie in Verbindung mit dem Dienstprogramm "Ldifde.exe" verwenden können. Dieses Skript stellt die Backlinks für die wiederhergestellten Objekte wieder her. In der Stammdomäne des Benutzers stellt das Skript auch die Gruppenmitgliedschaften der wiederhergestellten Benutzer wieder her. In allen anderen Domänen in der Gesamtstruktur, in denen der Benutzer über eine Gruppenmitgliedschaft verfügt, stellt das Skript nur universelle und globale Gruppenmitgliedschaften wieder her. Das Skript stellt keine Gruppenmitgliedschaften des Typs "Lokale Domäne" wieder her. Diese Mitgliedschaften werden durch einen globalen Katalog nicht verfolgt.
    2. Führen Sie nur für die OU-Container oder CN-Container autorisierende Wiederherstellungen durch, die die gelöschten Benutzerkonten oder Gruppen enthalten.

      Autorisierende Wiederherstellungen einer kompletten Unterstruktur sind zulässig, wenn die Organisationseinheit, auf die sich der Befehl ntdsutil "authoritative restore" bezieht, die überwältigende Mehrheit der Objekte enthält, die wiederhergestellt werden sollen. Im Idealfall enthält diese Organisationseinheit alle Objekte, für die eine autorisierende Wiederherstellung durchgeführt werden soll.

      Eine autorisierende Wiederherstellung in einer OU-Unterstruktur stellt alle Attribute und Objekte wieder her, die sich im Container befinden. Alle Änderungen, die bis zum Zeitpunkt einer Sicherung des Systemstatus durchgeführt wurden, werden auf ihre Werte zum Zeitpunkt der Sicherung zurückgesetzt. Bei Benutzerkonten, Computerkonten und Sicherheitsgruppen bedeutet dieses Zurücksetzen den Verlust der letzten Änderungen an Kennwörtern, Basisverzeichnis, Profilpfad, Speicherort, Kontaktinformationen und allen Sicherheitsbeschreibungen, die für diese Objekte und Attribute definiert wurden.

      Ntdsutil verwendet folgende Syntax:
      ntdsutil "authoritative restore" "restore subtree <DN-Pfad des Containers>" q q
      Verwenden Sie z. B. den folgenden Befehl, um eine autorisierende Wiederherstellung der Organisationseinheit Mayberry der Domäne Contoso.com durchzuführen:
      ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q
    Hinweis Wiederholen Sie diesen Schritt für alle Peer-Organisationseinheiten, die gelöschte Benutzerkonten oder Gruppen enthalten.

    Wichtig Wenn Sie ein untergeordnetes Objekt einer Organisationseinheit wiederherstellen, muss explizit eine autorisierende Wiederherstellung aller gelöschten übergeordneten Container der gelöschten untergeordneten Objekte durchgeführt werden.

    Für jede Organisationseinheit, die Sie wiederherstellen, werden mindestens zwei Dateien erstellt. Diese Dateien haben das folgende Format:

    ar_JJJJMMTT-SSMMSS_objects.txt

    Diese Datei enthält eine Liste der autorisierend wiederhergestellten Objekte. Verwenden Sie diese Datei mit dem Befehl ntdsutil authoritatative restore "create ldif file from" in jeder sonstigen Domäne in der Gesamtstruktur, in der die wiederhergestellten Benutzer Mitglieder der Gruppen des Typs "Lokale Domäne" waren.

    Weitere Informationen finden Sie auf der Microsoft-Website:ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf
    Diese Datei enthält ein Skript, das Sie in Verbindung mit dem Dienstprogramm "Ldifde.exe" verwenden können. Dieses Skript stellt die Backlinks für die wiederhergestellten Objekte wieder her. In der Stammdomäne des Benutzers stellt das Skript auch die Gruppenmitgliedschaften der wiederhergestellten Benutzer wieder her.
  8. Wenn gelöschte Objekte wegen einer Wiederherstellung des Systemstatus auf dem Wiederherstellungsdomänencontroller wiederhergestellt wurden, entfernen Sie alle Netzwerkkabel, die Netzwerkverbindungen zu allen anderen Domänencontrollern in der Gesamtstruktur herstellen.
  9. Starten Sie den Wiederherstellungsdomänencontroller im normalen Active Directory-Modus neu.
  10. Geben Sie folgenden Befehl ein, um die eingehende Replikation auf den Wiederherstellungsdomänencontroller zu deaktivieren:
    repadmin /options <Wiederherstellungsdomänencontroller> +DISABLE_INBOUND_REPL
    Reaktivieren Sie die Netzwerkverbindungen zum Wiederherstellungsdomänencontroller, dessen Systemstatus wiederhergestellt wurde.
  11. Führen Sie eine ausgehende Replikation der autorisierend wiederhergestellten Objekte vom Wiederherstellungsdomänencontroller auf die Domänencontroller in der Domäne und in der Gesamtstruktur durch.

    Geben Sie bei weiterhin deaktivierter eingehender Replikation auf den Wiederherstellungsdomänencontroller den folgenden Befehl ein, um die autorisierend wiederhergestellten Objekte per Push auf alle standortübergreifend replizierten Domänencontroller in der Domäne und alle globalen Kataloge in der Gesamtstruktur zu übertragen:
    repadmin /syncall /d /e /P <Wiederherstellungsdomänencontroller> <Namenskontext>
    Wenn alle folgenden Aussagen zutreffen, werden die Gruppenmitgliedschaftsverknüpfungen mit der Wiederherstellung und Replikation der gelöschten Benutzerkonten neu erstellt. Fahren Sie mit Schritt 14 fort.

    Hinweis Wenn mindestens eine der folgenden Aussagen nicht zutrifft, fahren Sie mit Schritt 12 fort.
    • Ihre Gesamtstruktur wird auf Windows Server 2003-Gesamtstrukturfunktionsebene oder Windows Server 2003-interim-Gesamtstrukturfunktionsebene ausgeführt.
    • Nur Benutzer- oder Computerkonten wurden gelöscht, keine Sicherheitsgruppen.
    • Die gelöschten Benutzer wurden nach einem Übergang der Gesamtstruktur auf die Windows Server 2003-Gesamtstrukturfunktionsebene zu Sicherheitsgruppen in allen Domänen der Gesamtstruktur hinzugefügt.
  12. Verwenden Sie auf der Konsole des Wiederherstellungsdomänencontrollers das Dienstprogramm "Ldifde.exe" und die Datei "ar_JJJJMMTT-SSMMSS_links_usn.loc.ldf", um die Gruppenmitgliedschaften der Benutzer wiederherzustellen. Gehen Sie hierzu folgendermaßen vor:
    • Klicken Sie auf Start und auf Ausführen, geben Sie in das Feld Öffnen die Zeichenfolge cmd ein, und klicken Sie auf OK.
    • Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie anschließend die [EINGABETASTE]:
      ldifde -i -f ar_JJJJMMTT-HHMMSS_links_usn.loc.ldf
    Der LDIFDE-Import kann fehlschlagen, und möglicherweise wird die folgende Fehlermeldung angezeigt:
    Fehler in Zeile <xxx>: Ungültige Syntax Serverseitiger Fehler: "Der Parameter ist falsch."
    Wenn sich die fehlerhafte Zeile in der Datei "LINKS.LDF" auf eines der drei Attribute für die Serverspeicherung von Anmeldeinformationen (msPKIDPAPIMasterKeys, msPKIAccountCredentials oder msPKIRoamingTimeStamp) bezieht, finden Sie im folgenden Artikel der Microsoft Knowledge Base (KB) weitere Informationen:
    2014074  (http://support.microsoft.com/kb/2014074/ ) Fehler: "Der Parameter ist falsch" Versuch, LDF-Datei für autorative Wiederherstellung zu importieren
    Hinweis Dieser Artikel beschreibt, welche Änderungen zum erfolgreichen Import der Datei "LINKS LDF" erforderlich sind.
  13. Aktivieren Sie die eingehende Replikation auf den Wiederherstellungsdomänencontroller mit folgendem Befehl::
    repadmin /options <Wiederherstellungsdomänencontroller> -DISABLE_INBOUND_REPL
  14. Wenn gelöschte Benutzerkonten zu lokalen Gruppen in externen Domänen hinzugefügt wurden, führen Sie einen der folgenden Schritte durch:
    • Fügen Sie die gelöschten Benutzer manuell wieder zu diesen Gruppen hinzu.
    • Stellen Sie den Systemstatus wieder her und führen Sie eine autorisierende Wiederherstellung für jede der lokalen Sicherheitsgruppen durch, die die gelöschten Benutzerkonten enthält.
  15. Überprüfen Sie die Gruppenmitgliedschaft in der Domäne des Wiederherstellungsdomänencontrollers und in globalen Katalogen in anderen Domänen.
  16. Führen Sie eine neue Sicherung des Systemstatus von Domänencontrollern in der Domäne des Wiederherstellungsdomänencontrollers durch.
  17. Informieren Sie alle Gesamtstrukturadministratoren, delegierten Administratoren, Helpdesk-Administratoren in der Gesamtstruktur und Benutzer in der Domäne, dass die Wiederherstellung der Benutzerkonten abgeschlossen ist.

    Helpdesk-Administratoren müssen eventuell die Kennwörter von autorisierend wiederhergestellten Benutzer- und Computerkonten zurücksetzen, deren Domänenkennwort sich nach der Wiederherstellung geändert hat.

    Benutzer, die ihre Kennwörter nach der Sicherung des Systemstatus geändert haben, werden feststellen, dass ihr letztes Kennwort nicht mehr funktioniert. Diese Benutzer sollten sich mit ihren vorherigen Kennwörtern anmelden, sofern sie sie noch wissen. Anderenfalls müssen Helpdesk-Administratoren das Kennwort zurücksetzen und das Kontrollkästchen Benutzer muss Kennwort bei der nächsten Anmeldung ändern aktivieren, vorzugsweise auf einem Domänencontroller im selben Active Directory-Standort, in dem sich auch der Benutzer befindet.

Methode 2: Wiederherstellen der gelöschten Benutzerkonten und Hinzufügen der wiederhergestellten Benutzerkonten zu ihren Gruppen

Bei dieser Methode führen Sie die folgenden allgemeinen Schritte aus:
  1. Vergewissern Sie sich, dass bei der Löschung kein globaler Katalog in der Domäne des Benutzers repliziert wurde, und verhindern Sie eine Replikation dieses globalen Katalogs. Wenn es keinen latenten globalen Katalog gibt, suchen Sie die aktuelle Sicherung des Systemstatus eines globalen Domänencontrollers in der Basisdomäne des gelöschten Benutzers.
  2. Führen Sie eine autorisierende Wiederherstellung aller gelöschten Benutzerkonten durch, und ermöglichen Sie dann die End-to-End-Replikation dieser Benutzerkonten.
  3. Fügen Sie alle wiederhergestellten Benutzerkonten zu allen Gruppen in allen Domänen wieder hinzu, deren Mitglied die Benutzerkonten vor ihrer Löschung waren.
Gehen Sie folgendermaßen vor, um Methode 2 anzuwenden:
  1. Überprüfen Sie, ob es in der Basisdomäne des gelöschten Benutzers einen globalen Katalogdomänencontroller gibt, der keinen Teil der Löschung repliziert hat.

    Hinweis Konzentrieren Sie sich auf die globalen Kataloge, deren Replikationszeitpläne die geringste Häufigkeit aufweisen.

    Wenn ein oder mehrere solcher globalen Kataloge vorhanden sind, deaktivieren Sie mit dem Befehlszeilenprogramm "Repadmin.exe" sofort die eingehende Replikation. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie auf Start und anschließend auf Ausführen.
    2. Geben Sie cmd im Feld Öffnen ein. Klicken Sie dann auf OK.
    3. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
      repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
      Hinweis Wenn Sie den Befehl "Repadmin" nicht sofort ausführen können, entfernen Sie jegliche Netzwerkverbindungen aus dem latenten globalen Katalog, bis Sie mit "Repadmin" die eingehende Replikation deaktivieren können. Richten Sie anschließend die Netzwerkverbindungen sofort wieder ein.
    Dieser Domänencontroller wird hier als der "Wiederherstellungsdomänencontroller" bezeichnet. Wenn es keinen solchen globalen Katalog gibt, fahren Sie fort mit Schritt 2.
  2. Stellen Sie fest, ob Hinzufügungen, Löschungen und Änderungen für Benutzerkonten, Computerkonten und Sicherheitsgruppen vorübergehend eingestellt werden müssen, bis alle Wiederherstellungsschritte abgeschlossen sind.

    Stellen Sie vorübergehend Änderungen an den folgenden Objekten ein, damit der Wiederherstellungspfad möglichst flexibel ist. Zu diesen Änderungen gehören das Zurücksetzen von Kennwörtern durch Domänenbenutzer, Helpdesk-Administratoren und Administratoren in der Domäne, in der die Löschung stattgefunden hat, außerdem Änderungen an Gruppenmitgliedschaften in den Gruppen der gelöschten Benutzer. Ziehen Sie in Erwägung, Hinzufügungen, Löschungen und Änderungen für die folgenden Elemente einzustellen:
    1. Benutzerkonten und Attribute von Benutzerkonten
    2. Computerkonten und Attribute von Computerkonten
    3. Dienstkonten
    4. Sicherheitsgruppen
    Es ist sinnvoll, Änderungen an Sicherheitsgruppen in der Gesamtstruktur einzustellen, wenn alle folgenden Aussagen zutreffen:
    • Sie verwenden Methode 2 für die autorisierende Wiederherstellung gelöschter Benutzer- oder Computerkonten nach deren DN-Pfad (DN = Domänenname).
    • Die Löschung wurde auf alle Domänencontroller in der Gesamtstruktur repliziert, ausgenommen der latente Wiederherstellungsdomänencontroller.
    • Sie führen keine autorisierende Wiederherstellung von Sicherheitsgruppen oder deren übergeordneten Containern durch.
    Wenn Sie eine autorisierende Wiederherstellung von Sicherheitsgruppen oder OU-Containern (OU = Organizational Unit; Organisationseinheit) durchführen, in denen sich Sicherheitsgruppen oder Benutzerkonten befinden, stellen Sie all diese Änderungen vorübergehend ein.

    Informieren Sie Administratoren und Helpdesk-Administratoren in den jeweiligen Domänen sowie die Domänenbenutzer in der Domäne, in der die Löschung stattgefunden hat, über die Einstellung dieser Änderungen.
  3. Erstellen Sie eine neue Sicherung des Systemstatus in der Domäne, in der die Löschung stattgefunden hat. Diese Sicherung können Sie verwenden, wenn Sie Ihre Änderungen zurücksetzen müssen.

    Hinweis Wenn die Sicherungen des Systemstatus bis zum Zeitpunkt der Löschung aktuell sind, übergehen Sie diesen Schritt, und fahren Sie mit Schritt 4 fort.

    Wenn Sie in Schritt 1 einen Wiederherstellungsdomänencontroller identifiziert haben, sichern Sie jetzt dessen Systemstatus.

    Wenn alle globalen Kataloge in der Domäne, in der die Löschung stattgefunden hat, bei der Löschung repliziert wurden, sichern Sie den Systemstatus eines globalen Katalogs in dieser Domäne.

    Wenn Sie eine Sicherung erstellen, können Sie den Wiederherstellungsdomänencontroller auf seinen aktuellen Status zurücksetzen und Ihren Wiederherstellungsplan erneut durchführen, wenn der erste Versuch fehlschlägt.
  4. Wenn Sie keinen latenten globalen Katalogdomänencontroller in der Domäne finden, in der die Benutzerkonten gelöscht wurden, suchen Sie die aktuelle Sicherung des Systemstatus eines globalen Katalogdomänencontrollers in dieser Domäne. Diese Sicherung sollte die gelöschten Objekte enthalten. Verwenden Sie diesen Domänencontroller als Wiederherstellungsdomänencontroller.

    Nur Wiederherstellungen der globalen Katalogdomänencontroller in der Domäne des Benutzers enthalten Mitgliedschaftsinformationen zu globalen und universellen Gruppen für Sicherheitsgruppen, die sich in externen Domänen befinden. Wenn es keine Sicherung des Systemstatus eines globalen Katalogdomänencontrollers in der Domäne gibt, in der Benutzerkonten gelöscht wurden, können Sie das Attribut memberOf von wiederhergestellten Benutzerkonten nicht dazu verwenden, die Mitgliedschaft in einer globalen oder universellen Gruppe festzustellen oder die Mitgliedschaft in externen Domänen wiederherzustellen. Außerdem ist es ratsam, die aktuelle Sicherung des Systemstatus eines nicht-globalen Katalogdomänencontrollers zu suchen.
  5. Wenn Sie das Kennwort für das Offline-Administratorkonto kennen, starten Sie den Wiederherstellungsdomänencontroller im Modus "Dsrepair". Wenn Sie das Kennwort für das Offline-Administratorkonto nicht kennen, setzen Sie das Kennwort zurück, solange sich der Wiederherstellungsdomänencontroller noch im normalen Active Directory-Modus befindet.

    Mit dem Befehlszeilenprogramm setpwd können Sie das Kennwort auf Domänencontrollern mit Microsoft Windows 2000 Service Pack 2 (SP2) und höher zurücksetzen, wenn Sie sich im Online-Active Directory-Modus befinden.

    Hinweis Microsoft unterstützt Windows 2000 nicht mehr.

    Weitere Informationen zum Ändern des Administratorkennworts für die Wiederherstellungskonsole finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    239803  (http://support.microsoft.com/kb/239803/de/ ) Ändern des Administratorkennworts für die Wiederherstellungskonsole auf einem Domänencontroller
    Administratoren von Windows Server 2003-Domänencontrollern können den Befehl set dsrm password im Befehlszeilenprogramm Ntdsutil dazu verwenden, das Kennwort für das Offline-Administratorkonto zurückzusetzen.

    Weitere Informationen zum Zurücksetzen des Administratorkontos für den Verzeichnisdienste-Wiederherstellungsmodus finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    322672  (http://support.microsoft.com/kb/322672/de/ ) Zurücksetzen des Kennworts für Administrator-Konto für Verzeichnis-Dienstwiederherstellungsmodus in Windows Server 2003
  6. Drücken Sie während des Startvorgangs die Taste [F8], um den Wiederherstellungsdomänencontroller im Modus "Dsrepair" zu starten. Melden Sie sich mit dem Offline-Administratorkonto an der Konsole des Wiederherstellungsdomänencontrollers an. Wenn Sie in Schritt 5 das Kennwort zurückgesetzt haben, verwenden Sie das neue Kennwort.

    Wenn der Wiederherstellungsdomänencontroller ein latenter globaler Katalogdomänencontroller ist, stellen Sie den Systemstatus nicht wieder her. Fahren Sie mit Schritt 7 fort.

    Wenn Sie den Wiederherstellungsdomänencontroller mit einer Sicherung des Systemstatus erstellen, stellen Sie jetzt die aktuelle Sicherung des Systemstatus wieder her, die auf dem Wiederherstellungsdomänencontroller durchgeführt wurde.
  7. Führen Sie eine autorisierende Wiederherstellung der gelöschten Benutzerkonten, Computerkonten oder Sicherheitsgruppen durch.

    Hinweis Die Begriffe auth restore und autorisierende Wiederherstellung beziehen sich auf die Verwendung des Befehls authoritative restore im Befehlszeilenprogramm Ntdsutil, um die Versionsnummern bestimmter Objekte oder Container und all ihrer untergeordneten Objekte zu erhöhen. Sobald die End-to-End-Replikation stattfindet, werden die Zielobjekte in der lokalen Active Directory-Kopie des Wiederherstellungsdomänencontrollers auf allen Domänencontrollern autorisierend, die diese Partition nutzen. Eine autorisierende Wiederherstellung unterscheidet sich von einer Wiederherstellung des Systemstatus. Bei einer Wiederherstellung des Systemstatus wird die lokale Active Directory-Kopie des wiederhergestellten Domänencontrollers mit den Versionen der Objekte gefüllt, die diese zum Zeitpunkt der Sicherung des Systemstatus hatten.

    Weitere Informationen zur autorisierenden Wiederherstellung eines Domänencontrollers finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    241594  (http://support.microsoft.com/kb/241594/de/ ) Durchführen einer autorisierenden Wiederherstellung für einen Domänencontroller in Windows 2000


    Autorisierende Wiederherstellungen werden mit dem Befehlszeilenprogramm Ntdsutil durchgeführt und beziehen sich auf den DN-Pfad der gelöschten Benutzerkonten oder der Container, in denen sich die gelöschten Benutzerkonten befinden.

    Verwenden Sie bei einer autorisierenden Wiederherstellung DN-Pfade, deren Position in der Domänenstruktur so niedrig ist wie erforderlich, um das Zurücksetzen von Objekten zu vermeiden, die mit der Löschung nichts zu tun haben. Das können z. B. Objekte sein, die geändert wurden, nachdem der Systemstatus gesichert wurde.

    Führen Sie die autorisierende Wiederherstellung gelöschter Benutzerkonten in der folgenden Reihenfolge durch:
    1. Führen Sie eine autorisierende Wiederherstellung des Domänennamenspfades (DN-Pfades) für alle gelöschten Benutzerkonten, Computerkonten oder Sicherheitsgruppen durch.

      Autorisierende Wiederherstellungen bestimmter Objekte dauern länger, sind aber weniger destruktiv als autorisierende Wiederherstellungen einer kompletten Unterstruktur. Führen Sie eine autorisierende Wiederherstellung des niedrigsten gemeinsamen übergeordneten Containers durch, der die gelöschten Objekte enthält.

      Ntdsutil verwendet die folgende Syntax:
      ntdsutil "authoritative restore" "restore object <object DN path>" q q
      Verwenden Sie z. B. den folgenden Befehl, um eine autorisierende Wiederherstellung des gelöschten Benutzerkontos JohnDoe in der Organisationseinheit Mayberry der Domäne Contoso.com durchzuführen:
      ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
      Verwenden Sie den folgenden Befehl, um eine autorisierende Wiederherstellung der gelöschten Sicherheitsgruppe ContosoPrintAccess in der Organisationseinheit Mayberry der Domäne Contoso.com durchzuführen:
      ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q


      Wichtig Es müssen Anführungszeichen verwendet werden.

      Hinweis Diese Syntax gilt nur für Windows Server 2003. In Windows 2000 kann nur die folgende Syntax verwendet werden:
      ntdsutil "authoritative restore" "restore subtree DN-Pfad des Objekts"
      Hinweis Die autorisierende Wiederherstellung mit "Ntdsutil" schlägt fehl, wenn der DN-Pfad (DN = Distinguished Name) Zeichen aus dem erweiterten Zeichensatz oder Leerzeichen enthält. Damit die Wiederherstellung mit einem Skript erfolgreich sein kann, muss der Befehl “restore object <DN-Pfad>” als eine einzige, vollständige Zeichenfolge übergeben werden.
      Führen Sie einen Umbruch des DN-Pfads, der Zeichen aus dem erweiterten Zeichensatz oder Leerzeichen enthält, mit Sequenzen des Typs umgekehrter Schrägstrich-doppelte Anführungszeichen-ESC-Taste durch, um dieses Problem zu beheben. Beispiel:
      ntdsutil "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry NC,DC=contoso,DC=com\"" q q

      Hinweis Der Befehl muss noch weiter modifiziert werden, wenn der DN der wiederherzustellenden Objekte Kommata enthält. Siehe hierzu das folgende Beispiel:
      ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry NC,DC=contoso,DC=com\"" q q

      Hinweis Falls die Objekte von einem Band wiederhergestellt wurden und als autorisierend gekennzeichnet waren, die Wiederherstellung aber nicht wie erwartet funktioniert hat und dann dasselbe Band verwendet wird, um eine weitere Wiederherstellung der NTDS-Datenbank durchzuführen, muss die USN-Version der autorisierend wiederherzustellenden Objekte auf einen Wert erhöht werden, der höher ist als der Standardwert von 100000, oder es erfolgt nach der zweiten Wiederherstellung keine ausgehende Replikation der Objekte mehr. Die folgende Syntax wird verwendet, um mit einem Skript eine Versionsnummer festzulegen, die höher ist als 100000 (Standardwert): ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry NC,DC=contoso,DC=com\" verinc 150000\"" q q

      Hinweis Falls das Skript dazu auffordert, jedes wiederherzustellende Objekt einzeln zu bestätigen, können Sie diese Aufforderungen deaktivieren. Die Syntax zur Deaktivierung dieser Aufforderungen lautet: ntdsutil "popups off" "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry NC,DC=contoso,DC=com\" verinc 150000\"" q q
    2. Führen Sie nur für die OU-Container oder CN-Container autorisierende Wiederherstellungen durch, die die gelöschten Benutzerkonten oder Gruppen enthalten.

      Autorisierende Wiederherstellungen einer kompletten Unterstruktur sind zulässig, wenn die Organisationseinheit, auf die sich der Befehl ntdsutil "authoritative restore" bezieht, die überwältigende Mehrheit der Objekte enthält, die wiederhergestellt werden sollen. Im Idealfall enthält diese Organisationseinheit alle Objekte, für die eine autorisierende Wiederherstellung durchgeführt werden soll.

      Eine autorisierende Wiederherstellung in einer OU-Unterstruktur stellt alle Attribute und Objekte wieder her, die sich im Container befinden. Alle Änderungen, die bis zum Zeitpunkt einer Sicherung des Systemstatus durchgeführt wurden, werden auf ihre Werte zum Zeitpunkt der Sicherung zurückgesetzt. Bei Benutzerkonten, Computerkonten und Sicherheitsgruppen bedeutet dieses Zurücksetzen den Verlust der letzten Änderungen an Kennwörtern, Basisverzeichnis, Profilpfad, Speicherort, Kontaktinformationen und allen Sicherheitsbeschreibungen, die für diese Objekte und Attribute definiert wurden.

      Ntdsutil verwendet folgende Syntax:
      ntdsutil "authoritative restore" "restore subtree <DN-Pfad des Containers>" q q
      Verwenden Sie z. B. den folgenden Befehl, um eine autorisierende Wiederherstellung der Organisationseinheit Mayberry der Domäne Contoso.com durchzuführen:
      ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q
    Hinweis Wiederholen Sie diesen Schritt für alle Peer-Organisationseinheiten, die gelöschte Benutzerkonten oder Gruppen enthalten.

    Wichtig Wenn Sie ein untergeordnetes Objekt einer Organisationseinheit wiederherstellen, muss explizit eine autorisierende Wiederherstellung aller gelöschten übergeordneten Container der gelöschten untergeordneten Objekte durchgeführt werden.
  8. Wenn gelöschte Objekte wegen einer Wiederherstellung des Systemstatus auf dem Wiederherstellungsdomänencontroller wiederhergestellt wurden, entfernen Sie alle Netzwerkkabel, die Netzwerkverbindungen zu allen anderen Domänencontrollern in der Gesamtstruktur herstellen.
  9. Starten Sie den Wiederherstellungsdomänencontroller im normalen Active Directory-Modus neu.
  10. Geben Sie folgenden Befehl ein, um die eingehende Replikation auf den Wiederherstellungsdomänencontroller zu deaktivieren:
    repadmin /options <Wiederherstellungsdomänencontroller> +DISABLE_INBOUND_REPL
    Reaktivieren Sie die Netzwerkverbindungen zum Wiederherstellungsdomänencontroller, dessen Systemstatus wiederhergestellt wurde.
  11. Führen Sie eine ausgehende Replikation der autorisierend wiederhergestellten Objekte vom Wiederherstellungsdomänencontroller auf die Domänencontroller in der Domäne und in der Gesamtstruktur durch.

    Geben Sie bei weiterhin deaktivierter eingehender Replikation auf den Wiederherstellungsdomänencontroller den folgenden Befehl ein, um die autorisierend wiederhergestellten Objekte per Push auf alle standortübergreifend replizierten Domänencontroller in der Domäne und alle globalen Kataloge in der Gesamtstruktur zu übertragen:
    repadmin /syncall /d /e /P <Wiederherstellungsdomänencontroller> <Namenskontext>
    Wenn alle folgenden Aussagen zutreffen, werden die Gruppenmitgliedschaftsverknüpfungen mit der Wiederherstellung und Replikation der gelöschten Benutzerkonten neu erstellt. Fahren Sie mit Schritt 14 fort.

    Hinweis Wenn mindestens eine der folgenden Aussagen nicht zutrifft, fahren Sie mit Schritt 12 fort.
    • Ihre Gesamtstruktur wird auf Windows Server 2003-Gesamtstrukturfunktionsebene oder Windows Server 2003-interim-Gesamtstrukturfunktionsebene ausgeführt.
    • Nur Benutzer- oder Computerkonten wurden gelöscht, keine Sicherheitsgruppen.
    • Die gelöschten Benutzer wurden nach einem Übergang der Gesamtstruktur auf die Windows Server 2003-Gesamtstrukturfunktionsebene zu Sicherheitsgruppen in allen Domänen der Gesamtstruktur hinzugefügt.
  12. Stellen Sie fest, zu welchen Sicherheitsgruppen die gelöschten Benutzerkonten gehörten, und fügen Sie sie zu diesen Gruppen hinzu.

    Hinweis Bevor Sie Benutzerkonten zu Gruppen hinzufügen können, müssen die Benutzerkonten, für die Sie in Schritt 7 eine autorisierende Wiederherstellung und in Schritt 11 eine ausgehende Replikation durchgeführt haben, auf die Domänencontroller in der Domäne des jeweiligen Domänencontrollers und auf alle globalen Katalogdomänencontroller in der Gesamtstruktur repliziert worden sein.

    Wenn Sie ein Hilfsprogramm für die Bereitstellung von Gruppendaten verwendet haben, um die Mitgliedschaftsdaten für Sicherheitsgruppen neu zu füllen, verwenden Sie dieses Hilfsprogramm jetzt, um gelöschte Benutzerkonten in den Sicherheitsgruppen wiederherzustellen, zu denen sie vor der Löschung gehörten. Das sollte stattfinden, nachdem alle direkten und transitiven Domänencontroller in der Domäne der Gesamtstruktur und alle globalen Katalogserver eine eingehende Replikation der autorisierend wiederhergestellten Benutzerkonten und aller wiederhergestellten Container durchgeführt haben.

    Wenn Sie kein derartiges Programm haben, können Sie die Befehlszeilenprogramme "Ldifde.exe" und "Groupadd.exe" dazu nutzen, die Aufgabe zu automatisieren, indem Sie sie auf dem Wiederherstellungsdomänencontroller ausführen. Sie erhalten diese Programme von den Microsoft Product Support Services. In diesem Szenario erstellt Ldifde.exe eine LDIF-Informationsdatei (LDIF = LDAP Data Interchange Format), die die Namen der Benutzerkonten und ihrer Sicherheitsgruppen enthält, beginnend mit einem vom Administrator angegebenen OU-Container. Groupadd.exe liest dann das Attribut memberOf für jedes in der .ldf-Datei aufgeführte Benutzerkonto und generiert anschließend separate und eindeutige LDIF-Informationen für jede Domäne in der Gesamtstruktur. Diese LDIF-Informationen enthalten die Namen der Sicherheitsgruppen, zu denen die gelöschten Benutzerkonten wieder hinzugefügt werden müssen, damit ihre Gruppenmitgliedschaften wiederhergestellt werden können. Führen Sie in dieser Phase der Wiederherstellung die folgenden Schritte durch.
    1. Melden Sie sich an der Konsole des Domänenwiederherstellungscontrollers mit einem Benutzerkonto an, das Mitglied der Sicherheitsgruppe des Domänenadministrators ist.
    2. Geben Sie mit dem Befehl Ldifde die Namen der zuvor gelöschten Benutzerkonten und ihrer memberOf-Attribute aus. Beginnen Sie dabei mit dem obersten OU-Container, in dem die Löschung stattgefunden hat. Für den Befehl Ldifde gilt folgende Syntax:
      ldifde -d <DN-Pfad des Containers, der gelöschte Benutzerkonten enthält> -r "(objectClass=user)" -l memberof -p subtree -f user_membership_after_restore.ldf
      Verwenden Sie die folgende Syntax, wenn gelöschte Benutzerkonten zu Sicherheitsgruppen hinzugefügt wurden:
      ldifde -d <DN-Pfad des Containers, der gelöschte Benutzerkonten enthält> -r "(objectClass=computer)" -l memberof -p subtree -f computer_membership_after_restore.ldf
    3. Führen Sie den Befehl Groupadd aus, um zusätzliche .ldf-Dateien zu erstellen, die die Namen der Domänen und der globalen und universellen Sicherheitsgruppen enthalten, in denen die gelöschten Benutzerkonten Mitglieder waren. Für den Befehl "Groupadd" gilt folgende Syntax:
      Groupadd /after_restore users_membership_after_restore.ldf
      Wiederholen Sie diesen Befehl, wenn gelöschte Computerkonten zu Sicherheitsgruppen hinzugefügt wurden.
    4. Importieren Sie jede Datei "Groupadd_vollqualifizierter Domänenname.ldf", die Sie in Schritt 12c erstellt haben, in einen einzelnen globalen Katalogdomänencontroller, der den .ldf-Dateien der einzelnen Domänen entspricht. Verwenden Sie folgende Ldifde-Syntax:
      Ldifde –i –k –f Groupadd_<vollqualifizierter Domänenname>.ldf
      Führen Sie die LDF-Datei für die Domäne, aus der die Benutzer gelöscht wurden, von einem beliebigen Domänencontroller außer dem Wiederherstellungsdomänencontroller aus.
    5. Führen Sie mit folgendem Befehl auf der Konsole jedes Domänencontrollers, der zum Importieren der Datei "Groupadd<vollqualifizierter Domänenname>.ldf" für eine bestimmte Domäne verwendet wird, eine ausgehende Replikation der Gruppenmitgliedschaften durch, die zu den anderen Domänencontrollern in der Domäne und zu den globalen Katalogdomänencontrollern in der Gesamtstruktur hinzugefügt wurden:
      repadmin /syncall /d /e /P <recovery dc> <Namenskontext>
  13. Geben Sie den folgenden Text ein, und drücken Sie dann die [EINGABETASTE], um die ausgehende Replikation zu deaktivieren:
    repadmin /options +DISABLE_OUTBOUND_REPL
    Hinweis Geben Sie den folgenden Text ein, und drücken Sie dann die EINGABETASTE, um die ausgehende Replikation wieder zu aktivieren:
    repadmin /options -DISABLE_OUTBOUND_REPL
  14. Wenn gelöschte Benutzerkonten zu lokalen Gruppen in externen Domänen hinzugefügt wurden, führen Sie einen der folgenden Schritte durch:
    • Fügen Sie die gelöschten Benutzer manuell wieder zu diesen Gruppen hinzu.
    • Stellen Sie den Systemstatus wieder her und führen Sie eine autorisierende Wiederherstellung für jede der lokalen Sicherheitsgruppen durch, die die gelöschten Benutzerkonten enthält.
  15. Überprüfen Sie die Gruppenmitgliedschaft in der Domäne des Wiederherstellungsdomänencontrollers und in globalen Katalogen in anderen Domänen.
  16. Führen Sie eine neue Sicherung des Systemstatus von Domänencontrollern in der Domäne des Wiederherstellungsdomänencontrollers durch.
  17. Informieren Sie alle Gesamtstrukturadministratoren, delegierten Administratoren, Helpdesk-Administratoren in der Gesamtstruktur und Benutzer in der Domäne, dass die Wiederherstellung der Benutzerkonten abgeschlossen ist.

    Helpdesk-Administratoren müssen eventuell die Kennwörter von autorisierend wiederhergestellten Benutzer- und Computerkonten zurücksetzen, deren Domänenkennwort sich nach der Wiederherstellung geändert hat.

    Benutzer, die ihre Kennwörter nach der Sicherung des Systemstatus geändert haben, werden feststellen, dass ihr letztes Kennwort nicht mehr funktioniert. Diese Benutzer sollten sich mit ihren vorherigen Kennwörtern anmelden, sofern sie sie noch wissen. Anderenfalls müssen Helpdesk-Administratoren das Kennwort zurücksetzen und das Kontrollkästchen Benutzer muss Kennwort bei der nächsten Anmeldung ändern aktivieren, vorzugsweise auf einem Domänencontroller im selben Active Directory-Standort, in dem sich auch der Benutzer befindet.

Methode 3: Autorisierende zweimalige Wiederherstellung der gelöschten Benutzerkonten und der gelöschten Sicherheitsgruppen der Benutzer

Bei dieser Methode führen Sie die folgenden allgemeinen Schritte aus:
  1. Vergewissern Sie sich, dass bei der Löschung kein globaler Katalog in der Domäne des Benutzers repliziert wurde, und verhindern Sie eine eingehende Replikation der Löschung. Wenn es keinen latenten globalen Katalog gibt, suchen Sie die aktuelle Sicherung des Systemstatus eines globalen Domänencontrollers in der Basisdomäne des gelöschten Benutzers.
  2. Führen Sie eine autorisierende Wiederherstellung aller gelöschten Benutzerkonten und Sicherheitsgruppen in der Domäne des gelöschten Benutzerkontos durch.
  3. Warten Sie auf die End-to-End-Replikation der wiederhergestellten Benutzerkonten und Sicherheitsgruppen auf alle Domänencontroller in der Domäne der gelöschten Benutzerkonten und auf die globalen Katalogdomänencontroller der Gesamtstruktur.
  4. Wiederholen Sie die Schritte 2 und 3, um eine autorisierende Wiederherstellung der gelöschten Benutzerkonten und Sicherheitsgruppen durchzuführen. (Den Systemstatus stellen Sie nur einmal wieder her).
  5. Wenn die gelöschten Benutzerkonten Mitglieder von Sicherheitsgruppen in anderen Domänen waren, führen Sie eine autorisierende Wiederherstellung aller Sicherheitsgruppen durch, in denen die gelöschten Benutzerkonten in diesen Domänen Mitglieder waren. Oder führen Sie eine autorisierende Wiederherstellung aller Sicherheitsgruppen in diesen Domänen durch, wenn die Sicherungen des Systemstatus auf einem aktuellen Stand sind.
Bei dieser Methode stellen Sie beide Objekttypen zweimal wieder her, um der Anforderung gerecht zu werden, dass gelöschte Gruppenmitglieder vor den Sicherheitsgruppen wiederhergestellt werden müssen, um die Gruppenmitgliedschaftsverknüpfungen zu reparieren. Die erste Wiederherstellung richtet alle Benutzer- und Gruppenkonten wieder ein, und die zweite Wiederherstellung stellt gelöschte Gruppen wieder her und repariert die Gruppenmitgliedschaftsinformationen, einschließlich Mitgliedschaftsinformationen für verschachtelte Gruppen.

Gehen Sie folgendermaßen vor, um Methode 3 anzuwenden:
  1. Überprüfen Sie, ob es in der Basisdomäne der gelöschten Benutzer einen globalen Katalogdomänencontroller gibt, der keinen Teil der Löschung repliziert hat.

    Hinweis Konzentrieren Sie sich auf die globalen Kataloge in der Domäne, deren Replikationszeitpläne die geringste Häufigkeit aufweisen. Wenn diese Domänencontroller existieren, deaktivieren Sie sofort die eingehende Replikation mit dem Befehlszeilenprogramm "Repadmin.exe". Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie auf Start und anschließend auf Ausführen.
    2. Geben Sie command im Feld Öffnen ein, und klicken Sie dann auf OK.
    3. Geben Sie an der Eingabeaufforderung repadmin /options <Name des Wiederherstellungs-DCs> +DISABLE_INBOUND_REPL ein, und drücken Sie die [EINGABETASTE].

      Hinweis Wenn Sie den Befehl "Repadmin" nicht sofort ausführen können, entfernen Sie jegliche Netzwerkverbindungen aus dem latenten globalen Katalog, bis Sie mit "Repadmin" die eingehende Replikation deaktivieren können. Richten Sie anschließend die Netzwerkverbindungen sofort wieder ein.
    Dieser Domänencontroller wird hier als der "Wiederherstellungsdomänencontroller" bezeichnet.
  2. Vermeiden Sie Hinzufügungen, Löschungen und Änderungen für die folgenden Elemente, bis alle Wiederherstellungsschritte abgeschlossen sind. Zu diesen Änderungen gehören das Zurücksetzen von Kennwörtern durch Domänenbenutzer, Helpdesk-Administratoren und Administratoren in der Domäne, in der die Löschung stattgefunden hat, außerdem Änderungen an Gruppenmitgliedschaften in den Gruppen der gelöschten Benutzer.
    1. Benutzerkonten und Attribute von Benutzerkonten
    2. Computerkonten und Attribute von Computerkonten
    3. Dienstkonten
    4. Sicherheitsgruppen

      Hinweis Vermeiden Sie insbesondere Änderungen der Gruppenmitgliedschaft bei Benutzern, Computern, Gruppen und Dienstkonten in der Gesamtstruktur, in der die Löschung stattgefunden hat.
    5. Informieren Sie alle Gesamtstrukturadministratoren, delegierten Administratoren und Helpdesk-Administratoren in der Gesamtstruktur über die temporäre Einstellung dieser Aktivitäten.
    Dies ist bei Methode 2 erforderlich, da Sie eine autorisierende Wiederherstellung aller Sicherheitsgruppen der gelöschten Benutzerkonten durchführen. Deshalb gehen alle Änderungen an Gruppen verloren, die nach dem Datum der Sicherung des Systemstatus durchgeführt werden.
  3. Erstellen Sie eine neue Sicherung des Systemstatus in der Domäne, in der die Löschung stattgefunden hat. Diese Sicherung können Sie verwenden, wenn Sie Ihre Änderungen zurücksetzen müssen.

    Hinweis Wenn die Sicherungen des Systemstatus bis zum Zeitpunkt der Löschung aktuell sind, übergehen Sie diesen Schritt, und fahren Sie mit Schritt 4 fort.

    Wenn Sie in Schritt 1 einen Wiederherstellungsdomänencontroller identifiziert haben, sichern Sie jetzt dessen Systemstatus.

    Wenn alle globalen Kataloge, die sich in der Domäne befinden, in der die Löschung stattgefunden hat, die Löschung repliziert haben, sichern Sie den Systemstatus eines globalen Katalogs in dieser Domäne.

    Wenn Sie eine Sicherung erstellen, können Sie den Wiederherstellungsdomänencontroller auf seinen aktuellen Status zurücksetzen und Ihren Wiederherstellungsplan erneut durchführen, wenn der erste Versuch fehlschlägt.
  4. Wenn Sie keinen latenten globalen Katalogdomänencontroller in der Domäne finden, in der die Benutzerkonten gelöscht wurden, suchen Sie die aktuelle Sicherung des Systemstatus eines globalen Katalogdomänencontrollers in dieser Domäne. Diese Sicherung sollte die gelöschten Objekte enthalten. Verwenden Sie diesen Domänencontroller als Wiederherstellungsdomänencontroller.

    Nur Datenbanken der globalen Katalogdomänencontroller in der Domäne des Benutzerkontos enthalten Gruppenmitgliedschaftsinformationen für externe Domänen in der Gesamtstruktur. Wenn es keine Sicherung des Systemstatus eines globalen Katalogdomänencontrollers in der Domäne gibt, in der Benutzerkonten gelöscht wurden, können Sie das Attribut memberOf von wiederhergestellten Benutzerkonten nicht dazu verwenden, die Mitgliedschaft in einer globalen oder universellen Gruppe festzustellen oder die Mitgliedschaft in externen Domänen wiederherzustellen. Gehen Sie zum nächsten Schritt. Wenn ein externer Datensatz zu einer Gruppenmitgliedschaft in externen Domänen vorhanden ist, fügen Sie die Benutzerkonten nach ihrer Wiederherstellung wieder zu den Sicherheitsgruppen in diesen Domänen hinzu.
  5. Wenn Sie das Kennwort für das Offline-Administratorkonto kennen, starten Sie den Wiederherstellungsdomänencontroller im Modus "Dsrepair". Wenn Sie das Kennwort für das Offline-Administratorkonto nicht kennen, setzen Sie das Kennwort zurück, solange sich der Wiederherstellungsdomänencontroller noch im normalen Active Directory-Modus befindet.

    Mit dem Befehlszeilenprogramm setpwd können Sie das Kennwort auf Domänencontrollern mit Microsoft Windows 2000 Service Pack 2 (SP2) und höher zurücksetzen, wenn Sie sich im Online-Active Directory-Modus befinden.

    Hinweis Microsoft unterstützt Windows 2000 nicht mehr.

    Weitere Informationen zum Ändern des Administratorkennworts für die Wiederherstellungskonsole finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    239803  (http://support.microsoft.com/kb/239803/de/ ) Ändern des Administratorkennworts für die Wiederherstellungskonsole auf einem Domänencontroller
    Administratoren von Windows Server 2003-Domänencontrollern können den Befehl set dsrm password im Befehlszeilenprogramm Ntdsutil dazu verwenden, das Kennwort für das Offline-Administratorkonto zurückzusetzen.

    Weitere Informationen zum Zurücksetzen des Administratorkontos für den Verzeichnisdienste-Wiederherstellungsmodus finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    322672  (http://support.microsoft.com/kb/322672/de/ ) Zurücksetzen des Kennworts für Administrator-Konto für Verzeichnis-Dienstwiederherstellungsmodus in Windows Server 2003
  6. Drücken Sie während des Startvorgangs die Taste F8, um den Wiederherstellungsdomänencontroller im Modus "Dsrepair" zu starten. Wenn Sie in Schritt 5 das Kennwort zurückgesetzt haben, verwenden Sie das neue Kennwort.

    Wenn der Wiederherstellungsdomänencontroller ein latenter globaler Katalogdomänencontroller ist, stellen Sie den Systemstatus nicht wieder her. Gehen Sie direkt zu Schritt 7.

    Wenn Sie den Wiederherstellungsdomänencontroller mit einer Sicherung des Systemstatus erstellen, stellen Sie jetzt die aktuelle Sicherung des Systemstatus wieder her, die auf dem Wiederherstellungsdomänencontroller durchgeführt wurde, der die gelöschten Objekte enthält.
  7. Führen Sie eine autorisierende Wiederherstellung der gelöschten Benutzerkonten, Computerkonten oder Sicherheitsgruppen durch.

    Hinweis Die Begriffe auth restore und autorisierende Wiederherstellung beziehen sich auf die Verwendung des Befehls authoritative restore im Befehlszeilenprogramm Ntdsutil, um die Versionsnummern bestimmter Objekte oder Container und all ihrer untergeordneten Objekte zu erhöhen. Sobald die End-to-End-Replikation stattfindet, werden die Zielobjekte in der lokalen Active Directory-Kopie des Wiederherstellungsdomänencontrollers auf allen Domänencontrollern autorisierend, die diese Partition nutzen. Eine autorisierende Wiederherstellung unterscheidet sich von einer Wiederherstellung des Systemstatus. Bei einer Wiederherstellung des Systemstatus wird die lokale Active Directory-Kopie des wiederhergestellten Domänencontrollers mit den Versionen der Objekte gefüllt, die diese zum Zeitpunkt der Sicherung des Systemstatus hatten.

    Weitere Informationen zur autorisierenden Wiederherstellung eines Domänencontrollers finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    241594  (http://support.microsoft.com/kb/241594/de/ ) Durchführen einer autorisierenden Wiederherstellung für einen Domänencontroller in Windows 2000


    Autorisierende Wiederherstellungen werden mit dem Befehlszeilenprogramm Ntdsutil durchgeführt und beziehen sich auf den DN-Pfad der gelöschten Benutzerkonten oder der Container, die die gelöschten Benutzerkonten enthalten.

    Verwenden Sie bei einer autorisierenden Wiederherstellung DN-Pfade, deren Position in der Domänenstruktur so niedrig ist wie erforderlich, um das Zurücksetzen von Objekten zu vermeiden, die mit der Löschung nichts zu tun haben. Das können z. B. Objekte sein, die geändert wurden, nachdem der Systemstatus gesichert wurde.

    Führen Sie die autorisierende Wiederherstellung gelöschter Benutzerkonten in der folgenden Reihenfolge durch:
    1. Führen Sie eine autorisierende Wiederherstellung des DN-Pfades für alle gelöschten Benutzerkonten, Computerkonten oder Sicherheitsgruppen durch.

      Autorisierende Wiederherstellungen bestimmter Objekte dauern länger, sind aber weniger destruktiv als autorisierende Wiederherstellungen einer kompletten Unterstruktur. Führen Sie eine autorisierende Wiederherstellung des niedrigsten gemeinsamen übergeordneten Containers durch, der die gelöschten Objekte enthält.

      Ntdsutil verwendet die folgende Syntax:
      ntdsutil "authoritative restore" "restore object <object DN path>" q q
      Verwenden Sie z. B. den folgenden Befehl, um eine autorisierende Wiederherstellung des gelöschten Benutzerkontos JohnDoe in der Organisationseinheit Mayberry der Domäne Contoso.com durchzuführen:
      ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
      Verwenden Sie den folgenden Befehl, um eine autorisierende Wiederherstellung der gelöschten Sicherheitsgruppe ContosoPrintAccess in der Organisationseinheit Mayberry der Domäne Contoso.com durchzuführen:
      ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q


      Wichtig Es müssen Anführungszeichen verwendet werden.

      Mit diesem Ntdsutil-Format können Sie die autorisierende Wiederherstellung vieler Objekte auch in einer Stapelverarbeitungsdatei oder einem Skript automatisieren.
      Hinweis Diese Syntax gilt nur für Windows Server 2003. In Windows 2000 kann nur die folgende Syntax verwendet werden: ntdsutil "authoritative restore" "restore subtree Objekt-DN-Pfad".
    2. Führen Sie nur für die OU-Container oder CN-Container autorisierende Wiederherstellungen durch, die die gelöschten Benutzerkonten oder Gruppen enthalten.

      Autorisierende Wiederherstellungen einer kompletten Unterstruktur sind zulässig, wenn die Organisationseinheit, auf die sich der Befehl ntdsutil "authoritative restore" bezieht, die überwältigende Mehrheit der Objekte enthält, die wiederhergestellt werden sollen. Im Idealfall enthält diese Organisationseinheit alle Objekte, für die eine autorisierende Wiederherstellung durchgeführt werden soll.

      Eine autorisierende Wiederherstellung in einer OU-Unterstruktur stellt alle Attribute und Objekte wieder her, die sich im Container befinden. Alle Änderungen, die bis zum Zeitpunkt einer Sicherung des Systemstatus durchgeführt wurden, werden auf ihre Werte zum Zeitpunkt der Sicherung zurückgesetzt. Bei Benutzerkonten, Computerkonten und Sicherheitsgruppen bedeutet dieses Zurücksetzen den Verlust der letzten Änderungen an Kennwörtern, Basisverzeichnis, Profilpfad, Speicherort, Kontaktinformationen und allen Sicherheitsbeschreibungen, die für diese Objekte und Attribute definiert wurden.

      Ntdsutil verwendet die folgende Syntax:
      ntdsutil "authoritative restore" "restore subtree <DN-Pfad des Containers>" q q
      Verwenden Sie z. B. den folgenden Befehl, um eine autorisierende Wiederherstellung der Organisationseinheit Mayberry der Domäne Contoso.com durchzuführen:
      ntdsutil "authoritative restore" "restore subtree ou=Mayberry,dc=contoso,dc=com" q q
    Hinweis Wiederholen Sie diesen Schritt für alle Peer-Organisationseinheiten, die gelöschte Benutzerkonten oder Gruppen enthalten.

    Wichtig Wenn Sie ein untergeordnetes Objekt einer Organisationseinheit wiederherstellen, muss explizit eine autorisierende Wiederherstellung aller gelöschten übergeordneten Container der gelöschten untergeordneten Objekte durchgeführt werden.
  8. Starten Sie den Wiederherstellungsdomänencontroller im normalen Active Directory-Modus neu.
  9. Führen Sie eine ausgehende Replikation der autorisierend wiederhergestellten Objekte vom Wiederherstellungsdomänencontroller auf die Domänencontroller in der Domäne und in der Gesamtstruktur durch.

    Geben Sie bei weiterhin deaktivierter eingehender Replikation auf den Wiederherstellungsdomänencontroller den folgenden Befehl ein, um die autorisierend wiederhergestellten Objekte per Push auf alle standortübergreifend replizierten Domänencontroller in der Domäne und alle globalen Kataloge in der Gesamtstruktur zu übertragen:
    repadmin /syncall /d /e /P <recovery dc> <Namenskontext>
    Nachdem alle direkten und transitiven Domänencontroller in der Domäne der Gesamtstruktur und alle globalen Katalogserver eine eingehende Replikation der autorisierend wiederhergestellten Benutzerkonten und aller wiederhergestellten Container durchgeführt haben, fahren Sie mit Schritt 11 fort.

    Wenn alle folgenden Aussagen zutreffen, werden Gruppenmitgliedschaftsverknüpfungen mit der Wiederherstellung der gelöschten Benutzerkonten neu aufgebaut. Gehen Sie zu Schritt 13.
    • Ihre Gesamtstruktur wird auf Windows Server 2003-Gesamtstrukturfunktionsebene oder Windows Server 2003-interim-Gesamtstrukturfunktionsebene ausgeführt.
    • Nur Sicherheitsgruppen wurden nicht gelöscht.
    • Alle gelöschten Benutzerkonten wurden zu allen Sicherheitsgruppen in allen Domänen in der Gesamtstruktur hinzugefügt.
    Ziehen Sie die Verwendung des Befehls "Repadmin" zur Beschleunigung der ausgehenden Replikation von Benutzerkonten vom wiederhergestellten Domänencontroller in Erwägung.

    Wenn auch Gruppen gelöscht wurden oder Sie nicht gewährleisten können, dass nach dem Übergang auf die Windows Server 2003-interim- oder Gesamtstrukturfunktionsebene alle gelöschten Benutzer zu allen Sicherheitsgruppen hinzugefügt wurden, gehen Sie zu Schritt 12.
  10. Wiederholen Sie die Schritte 7, 8 und 9, ohne den Systemstatus wiederherzustellen, und gehen Sie dann zu Schritt 11.
  11. Wenn gelöschte Benutzerkonten zu lokalen Gruppen in externen Domänen hinzugefügt wurden, führen Sie einen der folgenden Schritte durch:
    • Fügen Sie die gelöschten Benutzer manuell wieder zu diesen Gruppen hinzu.
    • Stellen Sie den Systemstatus wieder her und führen Sie eine autorisierende Wiederherstellung für jede der lokalen Sicherheitsgruppen durch, die die gelöschten Benutzerkonten enthält.
  12. Überprüfen Sie die Gruppenmitgliedschaft in der Domäne des Wiederherstellungsdomänencontrollers und in globalen Katalogen in anderen Domänen.
  13. Verwenden Sie folgenden Befehl, um die eingehende Replikation auf den Wiederherstellungsdomänencontroller zu deaktivieren:
    repadmin /options Wiederherstellungsdomänencontroller -DISABLE_INBOUND_REPL
  14. Erstellen Sie eine neue Sicherung des Systemstatus der Domänencontroller in der Domäne des Wiederherstellungsdomänencontrollers und der globalen Kataloge in anderen Domänen der Gesamtstruktur.
  15. Informieren Sie alle Gesamtstrukturadministratoren, delegierten Administratoren, Helpdesk-Administratoren in der Gesamtstruktur und Benutzer in der Domäne, dass die Wiederherstellung der Benutzerkonten abgeschlossen ist.

    Helpdesk-Administratoren müssen eventuell die Kennwörter von autorisierend wiederhergestellten Benutzer- und Computerkonten zurücksetzen, deren Domänenkennwort sich nach der Wiederherstellung geändert hat.

    Benutzer, die ihre Kennwörter nach der Sicherung des Systemstatus geändert haben, werden feststellen, dass ihr letztes Kennwort nicht mehr funktioniert. Diese Benutzer sollten sich mit ihren vorherigen Kennwörtern anmelden, sofern sie sie noch wissen. Anderenfalls müssen Helpdesk-Administratoren das Kennwort zurücksetzen und das Kontrollkästchen Benutzer muss Kennwort bei der nächsten Anmeldung ändern aktivieren, vorzugsweise auf einem Domänencontroller im selben Active Directory-Standort, zu dem auch der Benutzer gehört.

Wiederherstellen gelöschter Benutzerkonten auf einem Windows Server 2003-Domänencontroller, wenn keine gültige Sicherung des Systemstatus vorhanden ist

Gehen Sie folgendermaßen vor, um gelöschte Objekte aus dem Container der gelöschten Objekte wiederherzustellen, wenn keine aktuellen Sicherungen des Systemstatus in einer Domäne verfügbar sind, in der Benutzerkonten oder Sicherheitsgruppen gelöscht wurden, und die Löschung in Domänen stattgefunden hat, die Windows Server 2003-Domänencontroller enthalten:
  1. Folgen Sie den Anweisungen im Abschnitt "Manuelles Wiederherstellen von Objekten im Container der gelöschten Objekte", um gelöschte Benutzerkonten, Computerkonten, Gruppen oder all diese Objekte wiederherzustellen.
  2. Verwenden Sie "Active Directory-Benutzer und -Computer", um das Konto von inaktiv auf aktiv zu ändern. (Das Konto erscheint in der ursprünglichen Organisationseinheit).
  3. Verwenden Sie die Funktionen für Massenrücksetzungen in der Windows Server 2003-Version von "Active Directory-Benutzer und -Computer", um nach Bedarf Massenrücksetzungen für die Richtlinieneinstellung "Kennwort muss bei der nächsten Anmeldung geändert werden", für das Basisverzeichnis, den Profilpfad und die Gruppenmitgliedschaft für das gelöschte Konto durchzuführen. Sie können dies auch per Programm durchführen.
  4. Wenn Microsoft Exchange 2000 oder eine höhere Version verwendet wurde, reparieren Sie das Exchange-Postfach für das gelöschte Benutzerkonto.
  5. Wenn Exchange 2000 oder eine höhere Version verwendet wurde, verknüpfen Sie das gelöschte Benutzerkonto wieder mit dem Exchange-Postfach.
  6. Vergewissern Sie sich, dass das wiederhergestellte Benutzerkonto sich anmelden kann und auf lokale Verzeichnisse, freigegebene Verzeichnisse und Dateien zugreifen kann.
Sie können einige oder alle Wiederherstellungsschritte mit den folgenden Methoden automatisieren:
  • Erstellen Sie ein Skript, das die in Schritt 1 aufgeführten manuellen Schritte zur Wiederherstellung automatisiert. Wenn Sie ein solches Skript erstellen, ziehen Sie in Betracht, das gelöschte Objekt nach Datum, Uhrzeit und dem letzten bekannten übergeordneten Container einzugrenzen und dann die Wiederherstellung des gelöschten Objekts zu automatisieren. Wenn Sie die Wiederherstellung automatisieren möchten, ändern Sie das Attribut isDeleted von TRUE auf FALSE, und ändern Sie den relativ definierten Namen auf den Wert, der entweder im Attribut lastKnownParent definiert ist oder in einer neuen Organisationseinheit oder einem CN-Container, der vom Administrator vorgegeben wird. (Der relativ definierte Name wird auch als "RDN" bezeichnet).
  • Besorgen Sie sich ein Nicht-Microsoft-Programm, das die Wiederherstellung gelöschter Objekte auf Windows Server 2003-Domänencontrollern unterstützt. Ein solches Dienstprogramm ist "AdRestore". AdRestore verwendet die Wiederherstellungs-Primitive von Windows Server 2003 zur individuellen Wiederherstellung von Objekten. Aelita Software Corporation und Commvault Systems bieten ebenfalls Produkte an, die Wiederherstellungsfunktionalität auf Windows Server 2003-Domänencontrollern unterstützen.

    Besuchen Sie die folgende Website, um AdRestore zu beziehen:
    http://technet.microsoft.com/de-de/sysinternals/bb963906.aspx (http://technet.microsoft.com/de-de/sysinternals/bb963906.aspx)
Die Kontaktinformationen zu den in diesem Artikel erwähnten Drittanbietern sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Sie werden von Microsoft ohne jede Gewähr weitergegeben.

Manuelles Wiederherstellen von Objekten im Container eines gelöschten Objekts

Gehen Sie folgendermaßen vor, um Objekte im Container eines gelöschten Objekts manuell wiederherzustellen:
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, und geben Sie ldp.exe ein.

    Hinweis Wenn das Dienstprogramm "Ldp" nicht installiert ist, installieren Sie die Supporttools von der Windows Server 2003-Installations-CD.
  2. Verwenden Sie das Ldp-Menü Connection (Verbindung), um die Verbindungsvorgänge und die Vorgänge für die Bindung an einen Windows Server 2003-Domänencontroller durchzuführen.

    Geben Sie während des Bindungsvorgangs die Anmeldeinformationen für den Domänenadministrator ein.
  3. Klicken Sie im Menü Options (Optionen) auf Controls (Steuerelemente).
  4. Klicken Sie in der Liste Load Predefined (Vordefinierte laden) auf Return Deleted Objects (Gelöschte Objekte zurückgeben).

    Hinweis Das Steuerelement 1.2.840.113556.1.4.417 wird in das Fenster Active Controls (Aktive Steuerelemente) verschoben.
  5. Klicken Sie unter Control Type (Steuerelementtyp) auf Server und anschließend auf OK.
  6. Klicken Sie im Menü View (Ansicht) auf Tree (Struktur), geben Sie den Pfad des definierten Namens des Containers der gelöschten Objekte in der Domäne ein, in der die Löschung stattgefunden hat, und klicken Sie auf OK.

    Hinweis Der Pfad des definierten Namens wird auch als DN-Pfad bezeichnet. Wenn die Löschung z. B. in der Domäne "contoso.com" stattgefunden hätte, sähe der DN-Pfad wie folgt aus:
    cn=deleted Objects,dc=contoso,dc=com
  7. Doppelklicken Sie im linken Bereich des Fensters auf den Container der gelöschten Objekte.

    Hinweis Als Suchergebnis einer LDAP-Abfrage werden standardmäßig nur 1000 Objekte zurückgegeben. Wenn der Container der gelöschten Objekte z. B. mehr als 1000 Objekte enthält, werden nicht alle Objekte in diesem Container angezeigt. Wenn Ihr Zielobjekt nicht angezeigt wird, verwenden Sie ntdsutil, und legen Sie die maximale Anzahl über maxpagesize fest, um die gewünschten Suchergebnisse zu erhalten.
  8. Doppelklicken Sie auf das Objekt, das Sie wiederherstellen möchten.
  9. Klicken Sie mit der rechten Maustaste auf das Objekt, das Sie wiederherstellen möchten, und klicken Sie dann auf Ändern.

    Ändern Sie den Wert für das Attribut isDeleted und den DN-Pfad in einem LDAP-Änderungsvorgang (LDAP = Lightweight Directory Access Protocol). Gehen Sie folgendermaßen vor, um den Dialog Modify (Ändern) zu konfigurieren:
    1. Im Feld Edit Entry Attribute (Eintragsattribut bearbeiten) geben Sie isDeleted ein.

      Lassen Sie das Feld Value (Wert) leer.
    2. Klicken Sie auf die Optionsschaltfläche Delete (Löschen) und anschließend auf Enter, um den ersten von zwei Einträgen im Dialogfenster Entry List (Eintragsliste) vorzunehmen.

      Wichtig Klicken Sie nicht auf Ausführen.
    3. Im Feld Attribute (Attribut) geben Sie distinguishedName ein.
    4. Im Feld Values (Werte) geben Sie den neuen DN-Pfad des wiederhergestellten Objekts ein.

      Verwenden Sie z. B. den folgenden DN-Pfad, um das Benutzerkonto JohnDoe in der Organisationseinheit Mayberry wiederherzustellen:
      cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com
      Hinweis Wenn Sie ein gelöschtes Objekt in seinem ursprünglichen Container wiederherstellen möchten, hängen Sie den Wert des Attributs lastKnownParent es gelöschten Objekts an seinen CN-Wert an, und fügen Sie dann den vollständigen DN-Pfad in das Feld Values (Werte) ein.
    5. Klicken Sie im Feld Operation (Vorgang) auf REPLACE (ERSETZEN).
    6. Klicken Sie auf ENTER.
    7. Aktivieren Sie das Kontrollkästchen Synchronous (Synchron).
    8. Aktivieren Sie das Kontrollkästchen Extended (Erweitert).
    9. Klicken Sie auf RUN (AUSFÜHREN).
  10. Klicken Sie nach der Wiederherstellung der Objekte im Menü Options (Optionen) auf Controls (Steuerelemente), und klicken Sie auf Check Out (Auschecken), um (1.2.840.113556.1.4.417) aus der Liste Active Controls (Aktive Steuerelemente) zu entfernen.
  11. Setzen Sie die Kennwörter, Profile, Basisverzeichnisse und Gruppenmitgliedschaften für die gelöschten Benutzerkonten zurück.

    Beim Löschen des Objekts wurden alle Attributwerte außer SID, ObjectGUID, LastKnownParent und SAMAccountName entfernt.
  12. Aktivieren Sie das wiederhergestellte Konto in "Active Directory-Benutzer- und -Computer".

    Hinweis Das wiederhergestellte Objekt hat dieselbe primäre SID wie vor der Löschung, jedoch muss das Objekt zu denselben Sicherheitsgruppen wieder hinzugefügt werden, um dieselbe Ebene für den Zugriff auf Ressourcen zu haben. In der ersten Version von Windows Server 2003 bleibt das Attribut sIDHistory bei wiederhergestellten Benutzerkonten, Computerkonten und Sicherheitsgruppen nicht erhalten. Bei Windows Server 2003 mit Service Pack 1 bleibt das Attribut sIDHistory bei gelöschten Objekten erhalten.
  13. Entfernen Sie Microsoft Exchange-Attribute und verbinden Sie das Benutzerkonto wieder mit dem Exchange-Postfach.

    Hinweis Die Wiederherstellung gelöschter Objekte wird unterstützt, wenn die Löschung auf einem Windows Server 2003-Domänencontroller stattfindet. Die Wiederherstellung gelöschter Objekte wird nicht unterstützt, wenn die Löschung auf einem Windows 2000-Domänencontroller stattfindet, der anschließend auf Windows Server 2003 aktualisiert wird.

    Hinweis Wenn die Löschung auf einem Windows 2000-Domänencontroller in der Domäne stattfindet, wird das Attribut lastParentOf auf Windows Server 2003-Domänencontrollern nicht ausgefüllt.

Ermitteln, wann und wo eine Löschung stattgefunden hat

Wenn Benutzerkonten durch eine Massenlöschung gelöscht wurden, sollten Sie den Ausgangspunkt der Löschung ermitteln. Gehen Sie hierzu folgendermaßen vor:
  1. Wenn die Überwachung zum Nachverfolgen der Löschung von OU-Containern oder untergeordneten Objekten richtig konfiguriert wurde, verwenden Sie ein Dienstprogramm, das das Sicherheitsereignisprotokoll von Domänencontrollern in der Domäne durchsucht, in der die Löschung stattgefunden hat. Ein Dienstprogramm, das Ereignisprotokolle für eine bestimmte Gruppe von Domänencontrollern durchsucht, ist das Programm "EventCombMT". EventCombMT ist in den Windows Server 2003 Resource Kit Tools enthalten.

    Weitere Informationen dazu, wie Sie die Windows Server 2003 Resource Kit Tools beziehen, finden Sie auf folgender Microsoft-Webseite:
    http://technet.microsoft.com/de-de/windowsserver/bb693323.aspx (http://technet.microsoft.com/de-de/windowsserver/bb693323.aspx)
  2. Führen Sie die Schritte 1 bis 7 im Abschnitt "Manuelles Wiederherstellen von Objekten im Container eines gelöschten Objekts" durch, um gelöschte Sicherheitsprinzipale zu suchen. Wenn eine Struktur gelöscht wurde, führen Sie die folgenden Schritte durch, um einen übergeordneten Container des gelöschten Objekts zu suchen.
  3. Kopieren Sie den Wert des Attributs objectGUID in die Windows-Zwischenablage.

    Sie können diesen Wert einfügen, wenn Sie in Schritt 4 den Befehl "Repadmin" eingeben.
  4. Geben Sie folgenden Befehl ein:
    repadmin /showmeta GUID=<objectGUID> <FQDN>
    Wenn beispielsweise der Objekt-GUID des gelöschten Objekts oder Containers "791273b2-eba7-4285-a117-aa804ea76e95" ist und der vollqualifizierte Domänenname (FQDN) "dc.contoso.com" lautet, geben Sie folgenden Befehl ein:
    repadmin /showmeta GUID=791273b2-eba7-4285-a117-aa804ea76e95 dc.contoso.com
    Die Syntax dieses Befehls muss den GUID des gelöschten Objekts oder Containers und den FQDN des Servers enthalten, den Sie als Quelle verwenden möchten.
  5. Suchen Sie in der Ausgabe des Befehls "Repadmin" Ursprungsdatum, -uhrzeit und -domäne für das Attribut isDeleted. Beispielsweise werden Informationen zum Attribut isDeleted in der fünften Zeile der folgenden Beispielausgabe angezeigt:
    Loc.USN  Originating DC                  Org.USN  Org.Time/Date       Ver  Attribute ----------------------------------------------------------------------------------------------- 134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  objectClass 134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   2  ou 134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  instanceType 134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  whenCreated 134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   1  isDeleted 134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  nTSecurityDescriptor 134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   2  name 134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   1  lastKnownParent 134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   2  objectCategory
  6. Wenn der Name des Ursprungsdomänencontrollers in der zweiten Zeile der Ausgabe als alphanumerischer GUID mit 32 Zeichen erscheint, lösen Sie ihn mit dem Befehl "Ping" in die IP-Adresse und den Namen des Domänencontrollers auf, von dem die Löschung ausging. Der Ping-Befehl verwendet folgende Syntax:
    ping –a <originating DC GUID>._msdomain controllers.<vollqualifizierter Pfad für Gesamtstrukturdomäne>
    Hinweis Bei der Option "-a" wird zwischen Groß- und Kleinschreibung unterschieden. Verwenden Sie unabhängig von der Domäne, in der sich der Ursprungsdomänencontroller befindet, den vollqualifizierten Namen der Gesamtstrukturdomäne.

    Wenn sich der Ursprungsdomänencontroller z. B. in einer Domäne in der Gesamtstruktur "Contoso.com forest" befindet und den GUID "644eb7e7-1566-4f29-a778-4b487637564b" hat, geben Sie folgenden Befehl ein:
    ping –a 644eb7e7-1566-4f29-a778-4b487637564b._msdomain controllers.contoso.com
    Die Ausgabe dieses Befehls sieht etwa so aus:
    Pinging na-dc1.contoso.com [65.53.65.101] mit 32 Bytes Daten:
    
    Antwort von 65.53.65.101: bytes=32 Zeit<1ms TTL=128 Antwort von 65.53.65.101: bytes=32 Zeit<1ms TTL=128 Antwort von 65.53.65.101: bytes=32 Zeit<1ms TTL=128 Antwort von 65.53.65.101: bytes=32 Zeit<1ms TTL=128
  7. Zeigen Sie für den Zeitpunkt oder ungefähren Zeitpunkt, der in der Ausgabe des Befehls "Repadmin" in Schritt 5 angegeben wurde, das Sicherheitsprotokoll des Domänencontrollers an, von dem die Löschung ausging.

    Berücksichtigen Sie dabei eventuelle Zeitabweichungen and Zeitzonenänderungen zwischen den Computern, um diesen Zeitpunkt zu ermitteln. Wenn die Löschüberwachung für OU-Container oder für die gelöschten Objekte aktiviert ist, achten Sie auf die relevanten Überwachungsereignisse. Wenn die Überwachung nicht aktiviert ist, achten Sie auf die Benutzer, die die Berechtigung zum Löschen von OU-Containern oder der in ihnen enthaltenen untergeordneten Objekte hatten und sich außerdem im Zeitraum vor der Löschung gegenüber dem Ursprungsdomänencontroller authentifiziert hatten.

Minimieren der Auswirkungen zukünftiger Massenlöschungen

Entscheidend für die Minimierung von Auswirkungen einer Massenlöschung von Benutzerkonten, Computerkonten und Sicherheitsgruppen ist, sicherzustellen, dass aktuelle Sicherungen des Systemstatus vorhanden sind, der Zugriff auf Benutzerkonten mit besonderen Berechtigungen streng kontrolliert wird, eine strenge Kontrolle dessen stattfindet, wozu diese Konten berechtigt sind und sich schließlich durch Tests auf eine solche Situation vorzubereiten.

Der Systemstatus ändert sich täglich. Diese Änderungen können Kennwortrücksetzungen für Benutzer- und Computerkonten sein, außerdem Änderungen von Gruppenmitgliedschaften und sonstige Attributänderungen bei Benutzerkonten, Computerkonten und Sicherheitsgruppen. Wenn Probleme mit Ihrer Hardware oder Software auftreten oder es zu sonstigen Notfällen an Ihrem Standort kommt, benötigen Sie zur Wiederherstellung die Sicherungen, die nach allen wesentlichen Änderungen in den einzelnen Active Directory-Domänen und -Standorten in der Gesamtstruktur durchgeführt wurden. Wenn Sie Ihre Sicherungen nicht aktuell halten, können eventuell Daten verloren gehen, oder Sie müssen wiederhergestellte Objekte verwenden.

Microsoft empfiehlt die folgenden Maßnahmen zur Vermeidung von Massenlöschungen:
  1. Geben Sie das Kennwort für die vordefinierten Administratorkonten nicht weiter und lassen Sie keine allgemein genutzten Administratorkonten zu. Wenn das Kennwort für das vordefinierte Administratorkonto bekannt ist, ändern Sie das Kennwort und definieren Sie einen internen Prozess, um seiner Verwendung entgegenzuwirken. Überwachungsereignisse für gemeinsam genutzte Benutzerkonten machen es unmöglich, die Identität des Benutzers zu ermitteln, der Änderungen in Active Directory durchführt. Deshalb sollten gemeinsam genutzte Benutzerkonten nicht verwendet werden.
  2. Es kommt nur sehr selten vor, dass Benutzerkonten, Computerkonten und Sicherheitsgruppen absichtlich gelöscht werden. Das gilt insbesondere für Löschungen von Strukturen. Trennen Sie die Fähigkeit der Servicemitarbeiter und delegierten Administratoren, diese Objekte zu löschen, von der Fähigkeit, Benutzerkonten, Computerkonten, Sicherheitsgruppen, OU-Container und deren Attribute anzulegen und zu verwalten. Gewähren Sie nur Benutzern mit hohen Berechtigungen oder Sicherheitsgruppen die Berechtigung, Strukturen zu löschen. Zu diesen Benutzerkonten mit besonderen Berechtigungen können z. B. Organisationsadministratoren gehören.
  3. Gewähren Sie delegierten Administratoren nur auf die Objektklasse Zugriff, die diese Administratoren verwalten dürfen. Beispielsweise ist es besser, wenn ein Helpdesk-Administrator, dessen Hauptaufgabe es ist, Eigenschaften von Benutzerkonten zu ändern, keine Berechtigung zum Anlegen und Löschen von Computerkonten, Sicherheitsgruppen oder OU-Containern hat. Diese Einschränkung gilt auch für Löschberechtigungen für die Administratoren anderer spezifischer Objektklassen.
  4. Experimentieren Sie in einer Testdomäne mit Überwachungseinstellungen zum Nachverfolgen von Löschvorgängen. Wenn Sie mit den Ergebnissen zufrieden sind, übernehmen Sie die beste Lösung für Ihre Produktionsdomäne.
  5. Umfangreiche Änderungen bei der Zugriffssteuerung und Überwachung für Container, die Zehntausende von Objekten enthalten, können zu einem beträchtlichen Anwachsen der Active Directory-Datenbank führen, insbesondere in Windows 2000-Domänen. Verwenden Sie eine Testdomäne, die die Produktionsdomäne widerspiegelt, um eventuelle Änderungen zur Freigabe von Speicherplatz zu evaluieren. Überprüfen Sie die Volumes des Festplattenlaufwerks, die die Ntds.dit-Dateien und die Protokolldateien von Domänencontrollern in der Produktionsdomäne enthalten, auf freien Speicherplatz. Vermeiden Sie Änderungen bei der Zugriffssteuerung und Überwachung auf dem Domänen-Netzwerkcontroller. Solche Änderungen würden unnötigerweise für alle Objekte aller Klassen in allen Containern der Partition gelten. Vermeiden Sie es z. B., die DNS- und DLT-Eintragsregistrierung im Ordner CN=SYSTEM der Domänenpartition zu ändern (DNS = Domain Name System, DLT = Distributed Link Tracking/Überwachung verteilter Verknüpfungen).
  6. Verwenden Sie die empfohlene Organisationseinheitenstruktur zur Trennung von Benutzerkonten, Computerkonten, Sicherheitsgruppen und Dienstkonten in eigene Organisationseinheiten. Wenn Sie eine solche Struktur verwenden, können Sie für die delegierte Administration DACLs (Discretionary Access Control Lists/Zugriffssteuerungslisten) auf Objekte einer einzelnen Klasse anwenden, und Objekte können bei Bedarf nach Objektklasse wiederhergestellt werden. Die empfohlene Struktur der Organisationseinheit wird im Abschnitt "Creating an Organizational Unit Design" des Whitepapers Best Practice Active Directory Design for Managing Windows Networks beschrieben. Sie finden dieses Whitepaper auf der folgenden Website von Microsoft:
    http://technet.microsoft.com/de-de/library/Bb727085.aspx (http://technet.microsoft.com/de-de/library/Bb727085.aspx)
  7. Testen Sie Massenlöschungen in einer Testumgebung, die Ihre Produktionsdomäne widerspiegelt. Wählen Sie die Wiederherstellungsmethode, die Ihnen sinnvoll erscheint, und passen Sie sie an die Anforderungen Ihrer Organisation an. Folgendes sollten Sie festlegen:
    • Die Namen der Domänencontroller in jeder Domäne, die regelmäßig gesichert wird
    • Den Ort, an dem Sicherungskopien gespeichert werden

      Im Idealfall werden diese Kopien auf einer separaten Festplatte gespeichert, die sich lokal in einem globalen Katalog in den einzelnen Domänen der Gesamtstruktur befindet.
    • Welche Mitglieder der Helpdesk-Organisation als Ansprechpartner fungieren
    • Wie man am besten Kontakt aufnimmt
  8. Die meisten Massenlöschungen von Benutzerkonten, Computerkonten und Sicherheitsgruppen, von denen Microsoft erfährt, geschehen unabsichtlich. Besprechen Sie dieses Szenario mit Ihren IT-Mitarbeitern, und entwickeln Sie einen internen Aktionsplan. Konzentrieren Sie sich zunächst auf die frühzeitige Erkennung des Problems und die schnellstmögliche Wiederherstellung der Funktionalität für Ihre Domänenbenutzer und Ihren Geschäftsbetrieb. Sie können auch Vorsichtsmaßnahmen zur Verhinderung von versehentlichen Massenlösungen ergreifen, indem Sie die Zugriffssteuerungslisten (Access Control Lists = ACLs) von Organisationseinheiten bearbeiten. Weitere Informationen dazu, wie Sie mit Windows-Schnittstellentools versehentliche Massenlöschungen verhindern können, finden Sie auf der folgenden Microsoft-Website unter "Guarding Against Accidental Bulk Deletions in Active Directory" (Schutzmaßnahmen vor versehentlichen Massenlöschungen Active Directory):
    http://technet.microsoft.com/de-de/library/cc773347(WS.10).aspx (http://technet.microsoft.com/de-de/library/cc773347(WS.10).aspx)
    Weitere Informationen dazu, wie Sie mit dem Befehlszeilenprogramm "Dsacls.exe" oder mithilfe eines Skripts versehentliche Massenlöschungen verhindern können, finden Sie auf der folgenden Microsoft-Website unter "Script to Protect Organizational Units (OUs) from Accidental Deletion" (Skript zum Schutz von Organisationseinheiten vor versehentlichen Massenlöschungen):
    http://go.microsoft.com/fwlink/?LinkId=162623 (http://go.microsoft.com/fwlink/?LinkId=162623)

Tools und Skripts für die Wiederherstellung von Objekten nach Massenlöschungen

Das Befehlszeilenprogramm "Groupadd.exe" liest das Attribut memberOf für eine Sammlung von Benutzern in einer Organisationseinheit und erstellt eine LDF-Datei, die jedes wiederhergestellte Benutzerkonto zu den Sicherheitsgruppen in den einzelnen Domänen der Gesamtstruktur hinzufügt.

Groupadd.exe erkennt die Domänen und Sicherheitsgruppen automatisch, in denen die gelöschten Benutzerkonten Mitglieder waren, und fügt sie wieder zu diesen Gruppen hinzu. Dieser Prozess wird in Schritt 11 von Methode 1 genauer erläutert.

Groupadd.exe kann auf folgenden Domänencontrollern ausgeführt werden:
  • Windows Server 2003-Domänencontroller
  • Windows 2000-Domänencontroller, auf denen das .NET 1.1 Framework installiert ist
"Groupadd.exe" verwendet folgende Syntax:
groupadd /nach_Wiederherstellung ldf_Datei [/vor_Wiederherstellung ldf_Datei]
Hier steht ldf_Datei für den Namen der mit dem vorherigen Argument zu verwendenden LDF-Datei, nach_Wiederherstellung für die Datenquelle der Benutzerdatei und vor_Wiederherstellung für die Benutzerdaten aus der Produktionsumgebung. (Die Datenquelle der Benutzerdatei enthält die richtigen Benutzerdaten).

Wenden Sie sich an Microsoft Product Support Services, um die Datei "Groupadd.exe" zu beziehen.

Die in diesem Artikel genannten Fremdanbieterprodukte stammen von Herstellern, die von Microsoft unabhängig sind. Microsoft gewährt keine implizite oder sonstige Garantie in Bezug auf die Leistung oder Zuverlässigkeit dieser Produkte.

Informationsquellen

Weitere Informationen zur Wiederherstellung eines Objekts, das erweiterte Zeichen enthält, finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
886689  (http://support.microsoft.com/kb/886689/de/ ) Der autorisierende Wiederherstellungsvorgang Ntdsutil ist nicht erfolgreich, wenn der Pfad des definierten Namens erweiterte Zeichen in Windows Server 2003 und Windows 2000 enthält
Weitere Informationen finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
824684  (http://support.microsoft.com/kb/824684/de/ ) Beschreibung der Standardterminologie, die zum Beschreiben von Microsoft-Softwareupdates verwendet wird
910823  (http://support.microsoft.com/kb/910823/de/ ) Fehlermeldung beim Importieren von LDF-Dateien auf einem Computer, auf dem Windows Server 2003 mit Service Pack 1 ausgeführt wird: "Fehler in Zeile LineNumber: Kein solches Objekt"
937855  (http://support.microsoft.com/kb/937855/de/ ) Nachdem Sie gelöschte Objekte wiederherstellen, indem Sie eine autorisierende Wiederherstellung auf einem Windows Server 2003-basierten Domänencontroller ausführen, werden die verknüpften Attribute von Objekten nicht auf andere Domänencontroller repliziert

Weitere Informationen dazu, wie Sie das Feature "AD Papierkorb" verwenden, das in Windows Server 2008 R2 enthalten ist, finden Sie unter "Schrittweise Anleitung zum Active Directory-Papierkorb" auf der folgenden Microsoft-Website:http://technet.microsoft.com/de-de/library/dd392261(WS.10).aspx (http://technet.microsoft.com/de-de/library/dd392261(WS.10).aspx)
Hinweis Dies ist ein Artikel, der im Schnellverfahren direkt von der Microsoft-Supportorganisation erstellt wurde. Die hierin enthaltenen Informationen werden als Reaktion auf neue Probleme wie besehen bereitgestellt. Da dieser Artikel im Schnellverfahren erstellt wurde, kann er Tippfehler enthalten und zu einem späteren Zeitpunkt ohne vorherige Ankündigung überarbeitet werden. Weitere zu berücksichtigende Informationen finden Sie in den Nutzungsbedingungen (http://go.microsoft.com/fwlink/?LinkId=151500) .

Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
Keywords: 
kbhowto kbwinservds kbactivedirectory KB840001
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Freigeben
Weitere Supportoptionen
Microsoft Community-Supportforen
Kontaktieren Sie uns direkt
Zertifizierten Partner finden
Microsoft Store
Folgen Sie uns: