• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

Authoritative Restore von einzelnen Active Directory Objekten

Mai 20, 2014 (Letztes Update) | Posted by Tim Wanierke Administration |

 

Authoritativer und nicht-Authoritativer Restore

Einzelne Active Directory-Objekte, die versehentlich gelöscht wurden, können Sie mit einem Authoritative Restore wiederherstellen. Sie können einzelne Objekte (Organisationseinheit, Container) wiederherstellen und in das aktuelle AD integrieren. Eine Anleitung für die Vorgehensweise in unserem Tutorial.

Ein Non-authoritative Restore würde hingegen eine fehlende / gelöscht OU nicht wiederherstellen. In diesem Fall erhält der wiederhergestellten Domänencontroller die Informationen und den Status der Replikation von Active Directories. Da das Objekt nicht in diesen vorhandenen Domänencontrollern es ist einfach nicht möglich, sie wiederherzustellen.

Backup Active Directory

  1. Öffnen eines Command Fensters ( “cmd” ) auf einem Domain Controller der zu sichernden Active Directory Domäne.
  2. In diesem Fenster dann den Befehl “wbadmin start systemstatebackup -backuptarget:e:” eingeben um das Systemstatebackup zu Starten.
    Hinweis: Man kann verschiedene Backupziele angeben.

 

Tutorial: Authoritativer Restore von Active Directory Objekten

  1. Um den Authoritative Restore durchführen zu können muss man den Domain Controller in den DSRM (Directory Services Restore Mode) starten. Um in den DSRM Modus zu gelangen muss man während des Neustarts die F8 Taste drücken oder man gibt vor dem Neustart folgenden Befehl in einem Command Fenster ein “bcdedit /set safeboot dsrepair”.
  2. Wenn man während des Startens die F8 Taste gedrückt hatte muss man nun Directory Services Restore Mode im Menü auswählen.
  3. Nun muss man sich mit dem lokalen Administrator und dem DSRM password welches während der Active Directory Installation festgelegt wurde anmelden.
    Hinweis: Falls das DSRM password nicht mehr bekannt ist, kann dieses auch vor dem Neustart geändert werden. ( https://support.microsoft.com/kb/322672/en-us )
  4. Wenn wir am Server im DSRM safemode angemeldet sind, öffnen wir ein Command Fenster ( “cmd“ ).
  5. Um sich alle vorhandenen Backups anzeigen zu lassen kann man das folgendende Kommando verwenden “wbadmin get versions”.
  6. Nun können wir das Systemstate auf den Domain Controller zurücksichern. Hierzu kannn man folgendes Kommando verwenden. “wbadmin start systemstaterecovery -version:07/08/2011-02:39“.
  7. Wenn das Systemstate Backup erfolgreich zurückgesichert wurde, muss der Domain Controller erneut im DSRM safemode gestartet werden.
  8. Wenn wir nun am Domain Controller angemeldet sind können wir uns nun dem „Authoritatives Restore“ des Active Directory Objektes widmen. Hierfür werden wir das bekannte Tool ntdsutil verwenden.Für dieses Beispiel werden wir folgenden User restoren.
    CN=Test User,CN=Users,DC=home,DC=local.
    Das Kommando für den Restore sieht dann wie folgt aus:ntdsutil
    activate instance ntds
    authoritative restore
    restore object “CN=Test User,CN=Users,DC=home,DC=local”
    Hinweis: Dies Anführungszeichen sind notwendig!


  9. Nun kann der Server wieder in den “normalen” Modus gestartet werden. Um den Start im DSRM mode wieder zu deaktivieren kann folgendes Kommando verwendet werden “bcdedit /deletevalue safeboot”.An dem Objekt, welches wir „authoritativ“ restored haben wird die USN erhöht und somit wird dieses Objekt auf alle anderen Domain Controller in der Domäne repliziert.Hinweis: Nach dem Neustart des Servers kann es notwendig sein, dass der Aktivation Key für das Betriebsystem erneut eingegeben werden muss. Deshalb sollte man diese Key schon vorher zur Hand haben.
     
    In manchen Fällen kann es auch notwendig sein, dass man das Computer Password des Servers auf dem das Systemstate Backup zurückgesichert wurde zurückgesetzt werden muss. Dann taucht im Event Log folgender Event Log Eintrag auf.( Event ID : 4 / Event Source : Security-Kerberos )
    => Zurücksetzten des Computer Passwortes : https://support.microsoft.com/kb/325850/en-us
Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 25.08.2011
Tags: Authoritative Restoregelöschte AD Objekte
0

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

Wer schreibt ?

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM-, Migrations- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen umfangreichen, wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • Teams Benennungsrichtlinien definieren
  • Bitlocker-Recovery Password mit PowerShell auslesen
  • Neuen Exchange-Ordner im Postfach automatisch anlegen
  • AD Gruppenverwaltung delegieren
  • Mailversand über O365 automatisieren


FirstAttribute

AD Identity Management | Jobs

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Berechtigung Berechtigungen Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange 2016 Exchange Migration Federation FirstWare Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP lokale Gruppen Microsoft Azure Migration New-ADUser Novell NTFS O365 Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • Alex bei Powershell – Home Directory anlegen und Berechtigungen vergeben
  • Kupfer Küchenmischbatterie bei PowerShell – Gruppen-Manager Berechtigung setzen
  • Kevin bei Verschachtelung von Gruppen im AD
Login
Impressum
Datenschutzerklärung

© 2021 · Active-Directory-FAQ by firstattribute.com

Prev Next