Wiederherstellen gelöschter Benutzerkonten und ihrer Gruppenmitgliedschaften in Active Directory

Artikel
02/19/2024

Dieser Artikel enthält Informationen zum Wiederherstellen gelöschter Benutzerkonten und Gruppenmitgliedschaften in Active Directory.

Gilt für: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Ursprüngliche KB-Nummer: 840001

Einführung

Sie können mehrere Methoden verwenden, um gelöschte Benutzerkonten, Computerkonten und Sicherheitsgruppen wiederherzustellen. Diese Objekte werden zusammen als Sicherheitsprinzipale bezeichnet.

Die gängigste Methode besteht darin, das AD-Papierkorbfeature zu aktivieren, das auf Domänencontrollern unterstützt wird, die auf Windows Server 2008 R2 und höher basieren. Weitere Informationen zu diesem Feature, einschließlich der Aktivierung und Wiederherstellung von Objekten, finden Sie unter Schrittweise Anleitung zum Active Directory-Papierkorb.

Wenn diese Methode für Sie nicht verfügbar ist, können die folgenden drei Methoden verwendet werden. In allen drei Methoden stellen Sie die gelöschten Objekte autoritativ wieder her und stellen dann Gruppenmitgliedschaftsinformationen für die gelöschten Sicherheitsprinzipale wieder her. Wenn Sie ein gelöschtes Objekt wiederherstellen, müssen Sie die früheren Werte der member Attribute und memberOf im betroffenen Sicherheitsprinzipal wiederherstellen.

Hinweis

Das Wiederherstellen gelöschter Objekte in Active Directory kann vereinfacht werden, indem das AD-Papierkorbfeature aktiviert wird, das auf Domänencontrollern basierend auf Windows Server 2008 R2 und höher unterstützt wird. Weitere Informationen zu diesem Feature, einschließlich der Aktivierung und Wiederherstellung von Objekten, finden Sie unter Schrittweise Anleitung zum Active Directory-Papierkorb.

Weitere Informationen

Die Methoden 1 und 2 bieten eine bessere Erfahrung für Domänenbenutzer und Administratoren. Diese Methoden behalten die Ergänzungen zu Sicherheitsgruppen bei, die zwischen dem Zeitpunkt der letzten Systemstatussicherung und dem Zeitpunkt des Löschvorgangs vorgenommen wurden. In Methode 3 nehmen Sie keine individuellen Anpassungen an Sicherheitsprinzipalen vor. Stattdessen führen Sie ein Rollback für Sicherheitsgruppenmitgliedschaften zum Zeitpunkt der letzten Sicherung durch.

Die meisten umfangreichen Löschungen sind versehentlich. Microsoft empfiehlt, mehrere Schritte zu unternehmen, um zu verhindern, dass andere Objekte massenweise löschen.

Hinweis

Um das versehentliche Löschen oder Verschieben von Objekten (insbesondere Organisationseinheiten) zu verhindern, können zwei Zugriffssteuerungseinträge (Deny access control entries, ACEs) zum Sicherheitsdeskriptor jedes Objekts hinzugefügt werden (DENY DELETE & DELETE TREE) und ein Deny Access Control-Eintrag (ACEs) kann dem Sicherheitsdeskriptor des ÜBERGEORDNETEn Elements jedes Objekts hinzugefügt werden (DENY DELETE CHILD). Verwenden Sie dazu Active Directory-Benutzer und -Computer, ADSIEdit, LDP oder das DSACLS-Befehlszeilentool. Sie können auch die Standardberechtigungen im AD-Schema für Organisationseinheiten ändern, sodass diese ACEs standardmäßig enthalten sind.

Um beispielsweise die organization-Einheit zu schützen, die aufgerufen CONTOSO.COM wird, vor versehentlichem Verschieben oder Löschen aus ihrer übergeordneten Organisationseinheit namens MyCompany, nehmen Sie die folgende Konfiguration vor:

Fügen Sie für die Organisationseinheit MyCompany DENY ACE for Everyone zu DELETE CHILD mit dem Bereich Nur Dieses Objekt hinzu:

DSACLS "OU=MyCompany,DC=CONTOSO,DC=COM" /D "EVERYONE:DC"/

Fügen Sie für die Organisationseinheit Benutzer DENY ACE for Everyone zu DELETE und DELETE TREE mit dem Bereich Nur Dieses Objekt hinzu:

DSACLS "OU=Users,OU=MyCompany,DC=CONTOSO,DC=COM" /D "EVERYONE:SDDT"

Das Active Directory-Benutzer und -Computer-Snap-In in Windows Server 2008 enthält auf der Registerkarte Objekt das Kontrollkästchen Objekt vor versehentlichem Löschen schützen.

Hinweis

Das Kontrollkästchen Erweiterte Features muss aktiviert sein, um diese Registerkarte anzuzeigen.

Wenn Sie eine Organisationseinheit mit Active Directory-Benutzer und -Computer in Windows Server 2008 erstellen, wird das Kontrollkästchen Container vor versehentlichem Löschen schützen angezeigt. Standardmäßig ist das Kontrollkästchen aktiviert und kann deaktiviert werden.

Obwohl Sie jedes Objekt in Active Directory mithilfe dieser ACEs konfigurieren können, eignet es sich am besten für Organisationseinheiten. Das Löschen oder Verschieben aller Blattobjekte kann große Auswirkungen haben. Diese Konfiguration verhindert solche Löschungen oder Verschiebungen. Um ein Objekt mithilfe einer solchen Konfiguration wirklich zu löschen oder zu verschieben, müssen zuerst die Verweigerungs-ACEs entfernt werden.

In diesem Artikel wird erläutert, wie Benutzerkonten, Computerkonten und deren Gruppenmitgliedschaften nach dem Löschen aus Active Directory wiederhergestellt werden. In Variationen dieses Szenarios wurden Benutzerkonten, Computerkonten oder Sicherheitsgruppen möglicherweise einzeln oder in einer Kombination gelöscht. In all diesen Fällen gelten die gleichen anfänglichen Schritte. Sie können die objekte, die versehentlich gelöscht wurden, autoritativ wiederherstellen oder authentifizierungswiederherstellungen. Einige gelöschte Objekte erfordern mehr Arbeit, um wiederhergestellt zu werden. Zu diesen Objekten gehören Objekte wie Benutzerkonten, die Attribute enthalten, die Zurücklinks der Attribute anderer Objekte sind. Zwei dieser Attribute sind managedBy und memberOf.

Wenn Sie einer Sicherheitsgruppe Sicherheitsprinzipale hinzufügen, z. B. ein Benutzerkonto, eine Sicherheitsgruppe oder ein Computerkonto, nehmen Sie die folgenden Änderungen in Active Directory vor:

Der Name des Sicherheitsprinzipals wird dem Member-Attribut jeder Sicherheitsgruppe hinzugefügt.
Für jede Sicherheitsgruppe, in der der Benutzer, der Computer oder die Sicherheitsgruppe Mitglied ist, wird dem -Attribut des memberOf Sicherheitsprinzipals ein Backlink hinzugefügt.

Wenn ein Benutzer, ein Computer oder eine Gruppe aus Active Directory gelöscht wird, werden die folgenden Aktionen ausgeführt:

Der gelöschte Sicherheitsprinzipal wird in den Container für gelöschte Objekte verschoben.
Einige Attributwerte, einschließlich des memberOf -Attributs, werden aus dem gelöschten Sicherheitsprinzipal entfernt.
Gelöschte Sicherheitsprinzipale werden aus allen Sicherheitsgruppen entfernt, in denen sie Mitglied waren. Anders ausgedrückt: Die gelöschten Sicherheitsprinzipale werden aus dem Mitgliedsattribute jeder Sicherheitsgruppe entfernt.

Wenn Sie gelöschte Sicherheitsprinzipale wiederherstellen und deren Gruppenmitgliedschaften wiederherstellen, muss jeder Sicherheitsprinzipal in Active Directory vorhanden sein, bevor Sie seine Gruppenmitgliedschaft wiederherstellen. Das Mitglied kann ein Benutzer, ein Computer oder eine andere Sicherheitsgruppe sein. Um diese Regel weiter zu restrieren, muss ein Objekt, das Attribute enthält, deren Werte Backlinks sind, in Active Directory vorhanden sein, bevor das Objekt, das diesen Vorwärtslink enthält, wiederhergestellt oder geändert werden kann.

In diesem Artikel geht es um die Wiederherstellung gelöschter Benutzerkonten und deren Mitgliedschaften in Sicherheitsgruppen. Seine Konzepte gelten auch für andere Objektlöschungen. Die Konzepte dieses Artikels gelten gleichermaßen für gelöschte Objekte, deren Attributwerte Vorwärts- und Rückwärtslinks zu anderen Objekten in Active Directory verwenden.

Sie können eine der drei Methoden verwenden, um Sicherheitsprinzipale wiederherzustellen. Wenn Sie Methode 1 verwenden, behalten Sie alle Sicherheitsprinzipale bei, die einer Sicherheitsgruppe in der Gesamtstruktur hinzugefügt wurden. Außerdem fügen Sie den Sicherheitsgruppen nur Sicherheitsprinzipale hinzu, die aus ihren jeweiligen Domänen gelöscht wurden. Beispielsweise erstellen Sie eine Systemstatussicherung, fügen einer Sicherheitsgruppe einen Benutzer hinzu und stellen dann die Sicherung des Systemstatus wieder her. Wenn Sie die Methoden 1 oder 2 verwenden, behalten Sie alle Benutzer bei, die zu Sicherheitsgruppen hinzugefügt wurden, die gelöschte Benutzer enthalten, zwischen dem Datum, an dem die Systemstatussicherung erstellt wurde, und dem Datum, an dem die Sicherung wiederhergestellt wurde. Wenn Sie Methode 3 verwenden, führen Sie für alle Sicherheitsgruppenmitgliedschaften, die gelöschte Benutzer enthalten, ein Rollback auf den Zustand zum Zeitpunkt der Systemstatussicherung durch.

Methode 1: Wiederherstellen der gelöschten Benutzerkonten und anschließendes Hinzufügen der wiederhergestellten Benutzer zu ihren Gruppen mithilfe des Ntdsutil.exe-Befehlszeilentools

Mit dem Ntdsutil.exe-Befehlszeilentool können Sie die Backlinks gelöschter Objekte wiederherstellen. Für jeden autoritativen Wiederherstellungsvorgang werden zwei Dateien generiert. Eine Datei enthält eine Liste autoritativ wiederhergestellter Objekte. Die andere Datei ist eine LDF-Datei, die mit dem Hilfsprogramm Ldifde.exe verwendet wird. Diese Datei wird verwendet, um die Backlinks für die Objekte wiederherzustellen, die autoritativ wiederhergestellt werden. Bei einer autoritativen Wiederherstellung eines Benutzerobjekts werden auch LDIF-Dateien (LDAP Data Interchange Format) mit der Gruppenmitgliedschaft generiert. Diese Methode vermeidet eine doppelte Wiederherstellung.

Wenn Sie diese Methode verwenden, führen Sie die folgenden allgemeinen Schritte aus:

Überprüfen Sie, ob beim Löschen kein globaler Katalog in der Domäne des Benutzers repliziert wurde. Und dann verhindern Sie, dass dieser globale Katalog repliziert wird. Wenn kein latenter globaler Katalog vorhanden ist, suchen Sie die aktuellste Systemstatussicherung eines globalen Katalogdomänencontrollers in der Startdomäne des gelöschten Benutzers.
Authentifizierung stellt alle gelöschten Benutzerkonten wieder her und lässt dann die End-to-End-Replikation dieser Benutzerkonten zu.
Fügen Sie alle wiederhergestellten Benutzer wieder allen Gruppen in allen Domänen hinzu, in denen die Benutzerkonten Mitglied waren, bevor sie gelöscht wurden.

Gehen Sie wie folgt vor, um Methode 1 zu verwenden:

Überprüfen Sie, ob in der Homedomäne des gelöschten Benutzers ein globaler Katalogdomänencontroller vorhanden ist, der keinen Teil des Löschvorgangs repliziert hat.

Hinweis

Konzentrieren Sie sich auf die globalen Kataloge, die die am wenigsten häufigen Replikationszeitpläne aufweisen.

Wenn mindestens einer dieser globalen Kataloge vorhanden ist, verwenden Sie das Repadmin.exe-Befehlszeilentool, um die eingehende Replikation sofort zu deaktivieren, indem Sie die folgenden Schritte ausführen:
1. Wählen Sie Start und dann Ausführen aus.
2. Geben Sie cmd in das Feld Öffnen ein, und wählen Sie dann OK aus.
3. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
```
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
```
  Hinweis
  
  Wenn Sie den Repadmin Befehl nicht sofort ausgeben können, entfernen Sie die gesamte Netzwerkkonnektivität aus dem latenten globalen Katalog, bis Sie verwenden Repadmin können, um die eingehende Replikation zu deaktivieren, und geben Sie dann sofort die Netzwerkkonnektivität zurück.
Dieser Domänencontroller wird als Wiederherstellungsdomänencontroller bezeichnet. Wenn kein solcher globaler Katalog vorhanden ist, fahren Sie mit Schritt 2 fort.
Es empfiehlt sich, keine Änderungen an Sicherheitsgruppen in der Gesamtstruktur vorzunehmen, wenn alle folgenden Aussagen zutreffen:
- Sie verwenden Methode 1, um gelöschte Benutzer oder Computerkonten anhand ihres Distinguished Name (dn)-Pfads autoritativ wiederherzustellen.
- Der Löschvorgang wurde auf alle Domänencontroller in der Gesamtstruktur mit Ausnahme des Domänencontrollers für die latente Wiederherstellung repliziert.
- Sie stellen keine Authentifizierung für die Wiederherstellung von Sicherheitsgruppen oder deren übergeordneten Containern vor.
Wenn Sie Sicherheitsgruppen oder Organisationseinheitscontainer (OE) authentisieren, die Sicherheitsgruppen oder Benutzerkonten hosten, beenden Sie alle diese Änderungen vorübergehend.

Informieren Sie Administratoren und Helpdeskadministratoren in den entsprechenden Domänen zusätzlich zu den Domänenbenutzern in der Domäne, in der der Löschvorgang erfolgt ist, über das Beenden dieser Änderungen.
Erstellen Sie eine neue Systemstatussicherung in der Domäne, in der der Löschvorgang erfolgt ist. Sie können diese Sicherung verwenden, wenn Sie ein Rollback Für Ihre Änderungen ausführen müssen.

Hinweis

Wenn Die Systemstatussicherungen bis zum Zeitpunkt des Löschvorgangs aktuell sind, überspringen Sie diesen Schritt, und fahren Sie mit Schritt 4 fort.

Wenn Sie in Schritt 1 einen Wiederherstellungsdomänencontroller identifiziert haben, sichern Sie jetzt seinen Systemstatus.

Wenn alle globalen Kataloge in der Domäne, in der der Löschvorgang erfolgt ist, repliziert wurden, sichern Sie den Systemstatus eines globalen Katalogs in der Domäne, in der der Löschvorgang stattgefunden hat.

Wenn Sie eine Sicherung erstellen, können Sie den Wiederherstellungsdomänencontroller wieder in seinen aktuellen Zustand zurücksetzen. Und führen Sie Ihren Wiederherstellungsplan erneut aus, wenn ihr erster Versuch nicht erfolgreich ist.
Wenn Sie in der Domäne, in der der Benutzer gelöscht wurde, keinen latenten globalen Katalogdomänencontroller finden, suchen Sie die neueste Systemstatussicherung eines globalen Katalogdomänencontrollers in dieser Domäne. Diese Systemstatussicherung sollte die gelöschten Objekte enthalten. Verwenden Sie diesen Domänencontroller als Wiederherstellungsdomänencontroller.

Nur Wiederherstellungen der Domänencontroller des globalen Katalogs in der Domäne des Benutzers enthalten globale und universelle Gruppenmitgliedschaftsinformationen für Sicherheitsgruppen, die sich in externen Domänen befinden. Wenn es keine Systemstatussicherung eines globalen Katalogdomänencontrollers in der Domäne gibt, in der Benutzer gelöscht wurden, können Sie das -Attribut für wiederhergestellte Benutzerkonten nicht verwenden, um die memberOf globale oder universelle Gruppenmitgliedschaft zu bestimmen oder die Mitgliedschaft in externen Domänen wiederherzustellen. Darüber hinaus ist es eine gute Idee, die neueste Systemstatussicherung eines nicht globalen Katalogdomänencontrollers zu ermitteln.
Wenn Sie das Kennwort für das Offlineadministratorkonto kennen, starten Sie den Wiederherstellungsdomänencontroller im Disrepair-Modus. Wenn Sie das Kennwort für das Offlineadministratorkonto nicht kennen, setzen Sie das Kennwort mithilfe von ntdsutil.exe zurück, während sich der Wiederherstellungsdomänencontroller noch im normalen Active Directory-Modus befindet.

Sie können das Befehlszeilentool setpwd verwenden, um das Kennwort auf Domänencontrollern zurückzusetzen, während sie sich im Active Directory-Onlinemodus befinden.

Hinweis

Microsoft unterstützt Windows 2000 nicht mehr.

Administratoren von Domänencontrollern unter Windows Server 2003 und höher können den set dsrm password Befehl im Befehlszeilentool Ntdsutil verwenden, um das Kennwort für das Offlineadministratorkonto zurückzusetzen.

Weitere Informationen zum Zurücksetzen des Administratorkontos für den Verzeichnisdienste-Wiederherstellungsmodus finden Sie unter Zurücksetzen des Administratorkontokennworts für den Verzeichnisdienste-Wiederherstellungsmodus in Windows Server.
Drücken Sie F8 während des Startvorgangs, um den Wiederherstellungsdomänencontroller im Disrepair-Modus zu starten. Melden Sie sich mit dem Offlineadministratorkonto bei der Konsole des Wiederherstellungsdomänencontrollers an. Wenn Sie das Kennwort in Schritt 5 zurücksetzen, verwenden Sie das neue Kennwort.

Wenn der Wiederherstellungsdomänencontroller ein latenter globaler Katalogdomänencontroller ist, stellen Sie den Systemstatus nicht wieder her. Fahren Sie mit Schritt 7 fort.

Wenn Sie den Wiederherstellungsdomänencontroller mithilfe einer Systemstatussicherung erstellen, stellen Sie jetzt die aktuellste Systemstatussicherung wieder her, die auf dem Wiederherstellungsdomänencontroller erstellt wurde.
Auth stellt die gelöschten Benutzerkonten, die gelöschten Computerkonten oder die gelöschten Sicherheitsgruppen wieder her.

Hinweis

Die Begriffe Authentifizierungswiederherstellung und autorisierende Wiederherstellung beziehen sich auf den Prozess der Verwendung des autoritativen Wiederherstellungsbefehls im Ntdsutil-Befehlszeilentool, um die Versionsnummern bestimmter Objekte oder bestimmter Container und aller untergeordneten Objekte zu erhöhen. Sobald die End-to-End-Replikation erfolgt, werden die Zielobjekte in der lokalen Active Directory-Kopie des Wiederherstellungsdomänencontrollers auf allen Domänencontrollern, die diese Partition gemeinsam nutzen, autoritativ. Eine autoritative Wiederherstellung unterscheidet sich von einer Wiederherstellung des Systemzustands. Bei einer Systemzustandswiederherstellung wird die lokale Active Directory-Kopie des wiederhergestellten Domänencontrollers mit den Versionen der Objekte zum Zeitpunkt der Systemstatussicherung aufgefüllt.

Autorisierende Wiederherstellungen werden mit dem Befehlszeilentool Ntdsutil ausgeführt und verweisen auf den Domänennamenpfad (dn) der gelöschten Benutzer oder der Container, die die gelöschten Benutzer hosten.

Wenn Sie die Authentifizierung wiederherstellen, verwenden Sie DN-Pfade (Domain Name), die in der Domänenstruktur so niedrig sind, wie sie sein müssen. Der Zweck besteht darin, das Zurücksetzen von Objekten zu vermeiden, die nicht mit dem Löschen zusammenhängen. Diese Objekte können Objekte enthalten, die nach der Sicherung des Systemzustands geändert wurden.

Auth restored deleted users in the following order:
1. Auth restore the domain name (dn) path for each deleted user account, computer account, or security group.
  
  Autorisierende Wiederherstellungen bestimmter Objekte dauern länger, sind aber weniger destruktiv als autoritative Wiederherstellungen einer ganzen Teilstruktur. Auth restore the lowest common parent container that enthält the deleted objects.
  
  Ntdsutil verwendet die folgende Syntax:
```
ntdsutil "authoritative restore" "restore object <object DN path>" q q
```
  Verwenden Sie beispielsweise den folgenden Befehl, um den gelöschten Benutzer John Doe in der Organisationseinheit Mayberry der Contoso.com Domäne autoritativ wiederherzustellen:
```
ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
```
  Verwenden Sie den folgenden Befehl, um die gelöschte Sicherheitsgruppe ContosoPrintAccess in der Mayberry-Organisationseinheit der Contoso.com Domäne autoritativ wiederherzustellen:
```
ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
```
  Wichtig
  
  Die Verwendung von Anführungszeichen ist erforderlich.
  
  Für jeden Benutzer, den Sie wiederherstellen, werden mindestens zwei Dateien generiert. Diese Dateien haben das folgende Format:
  
  ar_JJMMDD-HHMMSS -_objects.txt
  Diese Datei enthält eine Liste der autoritativ wiederhergestellten Objekte. Verwenden Sie diese Datei mit dem befehl ntdsutil authoritative restore create ldif file from in jeder anderen Domäne in der Gesamtstruktur, in der der Benutzer Mitglied von Lokalen Domänengruppen war.
  
  ar_JJMMDD-HHMMSS_links_usn.loc.ldf
  Wenn Sie die Authentifizierungswiederherstellung für einen globalen Katalog durchführen, wird eine dieser Dateien für jede Domäne in der Gesamtstruktur generiert. Diese Datei enthält ein Skript, das Sie mit dem Hilfsprogramm Ldifde.exe verwenden können. Das Skript stellt die Backlinks für die wiederhergestellten Objekte wieder her. In der Heimdomäne des Benutzers stellt das Skript alle Gruppenmitgliedschaften für die wiederhergestellten Benutzer wieder her. In allen anderen Domänen in der Gesamtstruktur, in denen der Benutzer gruppenmitglied ist, stellt das Skript nur universelle und globale Gruppenmitgliedschaften wieder her. Das Skript stellt keine Lokalen Domänengruppenmitgliedschaften wieder her. Diese Mitgliedschaften werden nicht von einem globalen Katalog nachverfolgt.
2. Die Authentifizierung stellt nur die Organisationseinheiten oder Common-Name-Container (CN) wieder her, die die gelöschten Benutzerkonten oder Gruppen hosten.
  
  Autorisierende Wiederherstellungen einer gesamten Teilstruktur sind gültig, wenn die Organisationseinheit, für die der autoritative wiederherstellungsbefehl ntdsutil bestimmt ist, die meisten Objekte enthält, die Sie autoritativ wiederherstellen möchten. Im Idealfall enthält die Ziel-ORGANISATIONSeinheit alle Objekte, die Sie autoritativ wiederherstellen möchten.
  
  Bei einer autoritativen Wiederherstellung in einer Organisationseinheits-Unterstruktur werden alle Attribute und Objekte, die sich im Container befinden, wiederhergestellt. Alle Änderungen, die bis zum Zeitpunkt der Wiederherstellung einer Systemstatussicherung vorgenommen wurden, werden zum Zeitpunkt der Sicherung auf ihre Werte zurückgesetzt. Bei Benutzerkonten, Computerkonten und Sicherheitsgruppen kann dieser Rollback den Verlust der letzten Änderungen an folgenden Fällen bedeuten:
  - Kennwörter
  - das Basisverzeichnis
  - Profilpfad
  - Speicherort
  - Kontaktinformationen
  - Gruppenmitgliedschaft
  - alle Sicherheitsbeschreibungen, die für diese Objekte und Attribute definiert sind.
  Ntdsutil verwendet die folgende Syntax:
```
ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
```
  Verwenden Sie beispielsweise den folgenden Befehl, um die Organisationseinheit Mayberry der Contoso.com Domäne autoritativ wiederherzustellen:
```
ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q
```
  Hinweis
  
  Wiederholen Sie diesen Schritt für jede Peer-ORGANISATIONSeinheit, die gelöschte Benutzer oder Gruppen hostet.
  
  Wichtig
  
  Wenn Sie ein untergeordnetes Objekt einer Organisationseinheit wiederherstellen, müssen alle gelöschten übergeordneten Container der gelöschten untergeordneten Objekte explizit Authentifizierung wiederhergestellt werden.
  
  Für jede Organisationseinheit, die Sie wiederherstellen, werden mindestens zwei Dateien generiert. Diese Dateien haben das folgende Format:
  
  ar_JJMMDD-HHMMSS -_objects.txt
  Diese Datei enthält eine Liste der autoritativ wiederhergestellten Objekte. Verwenden Sie diese Datei mit dem autoritativen Ntdsutil-Wiederherstellungsbefehl create ldif file from in jeder anderen Domäne in der Gesamtstruktur, in der die wiederhergestellten Benutzer Mitglieder von Lokalen Domänengruppen waren.
  
  ar_JJMMDD-HHMMSS_links_usn.loc.ldf
  Diese Datei enthält ein Skript, das Sie mit dem Hilfsprogramm Ldifde.exe verwenden können. Das Skript stellt die Backlinks für die wiederhergestellten Objekte wieder her. In der Heimdomäne des Benutzers stellt das Skript alle Gruppenmitgliedschaften für die wiederhergestellten Benutzer wieder her.
Wenn gelöschte Objekte auf dem Wiederherstellungsdomänencontroller aufgrund einer Systemzustandswiederherstellung wiederhergestellt wurden, entfernen Sie alle Netzwerkkabel, die netzwerkkonnektivität für alle anderen Domänencontroller in der Gesamtstruktur bereitstellen.
Starten Sie den Wiederherstellungsdomänencontroller im normalen Active Directory-Modus neu.
Geben Sie den folgenden Befehl ein, um die eingehende Replikation auf dem Wiederherstellungsdomänencontroller zu deaktivieren:
```
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
```
Aktivieren Sie die Netzwerkkonnektivität zurück zum Wiederherstellungsdomänencontroller, dessen Systemstatus wiederhergestellt wurde.
Ausgehende Replikation der wiederhergestellten Objekte vom Wiederherstellungsdomänencontroller auf die Domänencontroller in der Domäne und in der Gesamtstruktur.

Während die eingehende Replikation auf den Wiederherstellungsdomänencontroller deaktiviert bleibt, geben Sie den folgenden Befehl ein, um die mit der Authentifizierung wiederhergestellten Objekte an alle standortübergreifenden Replikatdomänencontroller in der Domäne und an alle globalen Kataloge in der Gesamtstruktur zu pushen:
```
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
```
Wenn alle folgenden Anweisungen true sind, werden Gruppenmitgliedschaftslinks mit der Wiederherstellung und der Replikation der gelöschten Benutzerkonten neu erstellt. Fahren Sie mit Schritt 14 fort.

Hinweis

Wenn eine oder mehrere der folgenden Anweisungen nicht zutrifft, fahren Sie mit Schritt 12 fort.
- Ihre Gesamtstruktur wird auf der Gesamtstrukturfunktionsebene von Windows Server 2003 und höher oder höher oder auf der Funktionsebene der Zwischengesamtstruktur unter Windows Server 2003 und höher ausgeführt.
- Nur Benutzerkonten oder Computerkonten wurden gelöscht, keine Sicherheitsgruppen.
- Die gelöschten Benutzer wurden sicherheitsgruppen in allen Domänen in der Gesamtstruktur hinzugefügt, nachdem die Gesamtstruktur auf Windows Server 2003 und höher oder eine spätere Gesamtstrukturfunktionsebene umgestellt wurde.
Verwenden Sie auf der Konsole des Wiederherstellungsdomänencontrollers das Hilfsprogramm Ldifde.exe und die Datei ar_YYYMMDD-HHMMSS_links_usn.loc.ldf, um die Gruppenmitgliedschaften des Benutzers wiederherzustellen. Gehen Sie dazu wie folgt vor:
- Wählen Sie Start aus, wählen Sie Ausführen aus, geben Sie cmd in das Feld Öffnen ein, und wählen Sie dann OK aus.
- Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
```
ldifde -i -f ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf
```
Aktivieren Sie die eingehende Replikation auf dem Wiederherstellungsdomänencontroller mithilfe des folgenden Befehls:
```
repadmin /options <recovery dc name> -DISABLE_INBOUND_REPL
```
Wenn gelöschte Benutzer lokalen Gruppen in externen Domänen hinzugefügt wurden, führen Sie eine der folgenden Aktionen aus:
- Fügen Sie die gelöschten Benutzer manuell zu diesen Gruppen hinzu.
- Stellen Sie den Systemstatus und die Authentifizierung jeder lokalen Sicherheitsgruppe wieder her, die die gelöschten Benutzer enthält.
Überprüfen Sie die Gruppenmitgliedschaft in der Domäne des Wiederherstellungsdomänencontrollers und in globalen Katalogen in anderen Domänen.
Erstellen Sie eine neue Systemstatussicherung von Domänencontrollern in der Domäne des Wiederherstellungsdomänencontrollers.
Benachrichtigen Sie alle Gesamtstrukturadministratoren, delegierten Administratoren, Helpdeskadministratoren in der Gesamtstruktur und Benutzer in der Domäne, dass die Benutzerwiederherstellung abgeschlossen ist.

Helpdeskadministratoren müssen möglicherweise die Kennwörter von wiederhergestellten Benutzerkonten und Computerkonten zurücksetzen, deren Domänenkennwort nach dem Erstellen des wiederhergestellten Systems geändert wurde.

Benutzer, die ihre Kennwörter geändert haben, nachdem die Systemstatussicherung erstellt wurde, werden feststellen, dass ihr neuestes Kennwort nicht mehr funktioniert. Lassen Sie diese Benutzer versuchen, sich mit ihren vorherigen Kennwörtern anzumelden, wenn sie sie kennen. Andernfalls müssen Helpdeskadministratoren das Kennwort zurücksetzen und das Kontrollkästchen Benutzer muss Kennwort bei der nächsten Anmeldung ändern aktivieren. Führen Sie dies vorzugsweise auf einem Domänencontroller am gleichen Active Directory-Standort aus, an dem sich der Benutzer befindet.

Methode 2: Wiederherstellen der gelöschten Benutzerkonten und anschließendes Hinzufügen der wiederhergestellten Benutzer zu ihren Gruppen

Wenn Sie diese Methode verwenden, führen Sie die folgenden allgemeinen Schritte aus:

Überprüfen Sie, ob beim Löschen kein globaler Katalog in der Domäne des Benutzers repliziert wurde. Und dann verhindern Sie, dass dieser globale Katalog repliziert wird. Wenn kein latenter globaler Katalog vorhanden ist, suchen Sie die aktuellste Systemstatussicherung eines globalen Katalogdomänencontrollers in der Heimdomäne des gelöschten Benutzers.
Authentifizierung stellt alle gelöschten Benutzerkonten wieder her und lässt dann die End-to-End-Replikation dieser Benutzerkonten zu.
Fügen Sie alle wiederhergestellten Benutzer wieder allen Gruppen in allen Domänen hinzu, in denen die Benutzerkonten Mitglied waren, bevor sie gelöscht wurden.

Gehen Sie wie folgt vor, um Methode 2 zu verwenden:

Überprüfen Sie, ob in der Homedomäne des gelöschten Benutzers ein globaler Katalogdomänencontroller vorhanden ist, der keinen Teil des Löschvorgangs repliziert hat.

Hinweis

Konzentrieren Sie sich auf die globalen Kataloge, die die am wenigsten häufigen Replikationszeitpläne aufweisen.

Wenn einer oder mehrere dieser globalen Kataloge vorhanden sind, verwenden Sie das Repadmin.exe-Befehlszeilentool, um die eingehende Replikation sofort zu deaktivieren. Gehen Sie dazu wie folgt vor:
1. Wählen Sie Start und dann Ausführen aus.
2. Geben Sie cmd in das Feld Öffnen ein, und wählen Sie dann OK aus.
3. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
```
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
```
Hinweis

Wenn Sie den Befehl Repadmin nicht sofort ausführen können, entfernen Sie die gesamte Netzwerkkonnektivität aus dem latenten globalen Katalog, bis Sie repadmin verwenden können, um die eingehende Replikation zu deaktivieren, und geben Sie dann sofort die Netzwerkkonnektivität zurück.

Dieser Domänencontroller wird als Wiederherstellungsdomänencontroller bezeichnet. Wenn kein solcher globaler Katalog vorhanden ist, fahren Sie mit Schritt 2 fort.
Entscheiden Sie, ob Ergänzungen, Löschungen und Änderungen an Benutzerkonten, Computerkonten und Sicherheitsgruppen vorübergehend beendet werden müssen, bis alle Wiederherstellungsschritte abgeschlossen sind.

Um den flexibelsten Wiederherstellungspfad beizubehalten, beenden Sie vorübergehend änderungen an den folgenden Elementen. Zu den Änderungen gehören Kennwortzurücksetzungen durch Domänenbenutzer, Helpdeskadministratoren und Administratoren in der Domäne, in der der Löschvorgang erfolgte, sowie Änderungen der Gruppenmitgliedschaft in den Gelöschten Benutzergruppen. Erwägen Sie das Anhalten von Ergänzungen, Löschungen und Änderungen an den folgenden Elementen:
1. Benutzerkonten und Attribute für Benutzerkonten
2. Computerkonten und -attribute für Computerkonten
3. Dienstkonten
4. Sicherheitsgruppen
Es empfiehlt sich, keine Änderungen an Sicherheitsgruppen in der Gesamtstruktur vorzunehmen, wenn alle folgenden Aussagen zutreffen:
- Sie verwenden Methode 2, um gelöschte Benutzer oder Computerkonten autoritativ anhand ihres Domänennamens (dn)-Pfads wiederherzustellen.
- Der Löschvorgang wurde auf alle Domänencontroller in der Gesamtstruktur mit Ausnahme des Domänencontrollers für die latente Wiederherstellung repliziert.
- Sie stellen keine Authentifizierung für die Wiederherstellung von Sicherheitsgruppen oder deren übergeordneten Containern vor.
Wenn Sie Sicherheitsgruppen oder Organisationseinheitscontainer (OE) authentisieren, die Sicherheitsgruppen oder Benutzerkonten hosten, beenden Sie alle diese Änderungen vorübergehend.

Informieren Sie Administratoren und Helpdeskadministratoren in den entsprechenden Domänen zusätzlich zu den Domänenbenutzern in der Domäne, in der der Löschvorgang erfolgt ist, über das Beenden dieser Änderungen.
Erstellen Sie eine neue Systemstatussicherung in der Domäne, in der der Löschvorgang erfolgt ist. Sie können diese Sicherung verwenden, wenn Sie ein Rollback Für Ihre Änderungen ausführen müssen.

Hinweis

Wenn Die Systemstatussicherungen bis zum Zeitpunkt des Löschvorgangs aktuell sind, überspringen Sie diesen Schritt, und fahren Sie mit Schritt 4 fort.

Wenn Sie in Schritt 1 einen Wiederherstellungsdomänencontroller identifiziert haben, sichern Sie jetzt seinen Systemstatus.

Wenn alle globalen Kataloge in der Domäne, in der der Löschvorgang erfolgt ist, repliziert wurden, sichern Sie den Systemstatus eines globalen Katalogs in der Domäne, in der der Löschvorgang stattgefunden hat.

Wenn Sie eine Sicherung erstellen, können Sie den Wiederherstellungsdomänencontroller wieder in seinen aktuellen Zustand zurücksetzen. Und führen Sie Ihren Wiederherstellungsplan erneut aus, wenn ihr erster Versuch nicht erfolgreich ist.
Wenn Sie in der Domäne, in der der Benutzer gelöscht wurde, keinen latenten globalen Katalogdomänencontroller finden, suchen Sie die neueste Systemstatussicherung eines globalen Katalogdomänencontrollers in dieser Domäne. Diese Systemstatussicherung sollte die gelöschten Objekte enthalten. Verwenden Sie diesen Domänencontroller als Wiederherstellungsdomänencontroller.

Nur Wiederherstellungen der Domänencontroller des globalen Katalogs in der Domäne des Benutzers enthalten globale und universelle Gruppenmitgliedschaftsinformationen für Sicherheitsgruppen, die sich in externen Domänen befinden. Wenn es keine Systemstatussicherung eines globalen Katalogdomänencontrollers in der Domäne gibt, in der Benutzer gelöscht wurden, können Sie das memberOf Attribut für wiederhergestellte Benutzerkonten nicht verwenden, um die globale oder universelle Gruppenmitgliedschaft zu bestimmen oder die Mitgliedschaft in externen Domänen wiederherzustellen. Darüber hinaus ist es eine gute Idee, die neueste Systemstatussicherung eines nicht globalen Katalogdomänencontrollers zu ermitteln.
Wenn Sie das Kennwort für das Offlineadministratorkonto kennen, starten Sie den Wiederherstellungsdomänencontroller im Disrepair-Modus. Wenn Sie das Kennwort für das Offlineadministratorkonto nicht kennen, setzen Sie das Kennwort zurück, während sich der Wiederherstellungsdomänencontroller noch im normalen Active Directory-Modus befindet.

Sie können das Befehlszeilentool setpwd verwenden, um das Kennwort auf Domänencontrollern zurückzusetzen, auf denen Windows 2000 Service Pack 2 (SP2) und höher ausgeführt wird, während sie sich im Active Directory-Onlinemodus befinden.

Hinweis

Microsoft unterstützt Windows 2000 nicht mehr.

Administratoren von Domänencontrollern unter Windows Server 2003 und höher können den set dsrm password Befehl im Befehlszeilentool Ntdsutil verwenden, um das Kennwort für das Offlineadministratorkonto zurückzusetzen.

Weitere Informationen zum Zurücksetzen des Administratorkontos für den Verzeichnisdienste-Wiederherstellungsmodus finden Sie unter Zurücksetzen des Administratorkontokennworts für den Verzeichnisdienste-Wiederherstellungsmodus in Windows Server.
Drücken Sie F8 während des Startvorgangs, um den Wiederherstellungsdomänencontroller im Disrepair-Modus zu starten. Melden Sie sich mit dem Offlineadministratorkonto bei der Konsole des Wiederherstellungsdomänencontrollers an. Wenn Sie das Kennwort in Schritt 5 zurücksetzen, verwenden Sie das neue Kennwort.

Wenn der Wiederherstellungsdomänencontroller ein latenter globaler Katalogdomänencontroller ist, stellen Sie den Systemstatus nicht wieder her. Fahren Sie mit Schritt 7 fort.

Wenn Sie den Wiederherstellungsdomänencontroller mithilfe einer Systemstatussicherung erstellen, stellen Sie jetzt die aktuellste Systemstatussicherung wieder her, die auf dem Wiederherstellungsdomänencontroller erstellt wurde.
Auth stellt die gelöschten Benutzerkonten, die gelöschten Computerkonten oder die gelöschten Sicherheitsgruppen wieder her.

Hinweis

Die Begriffe Authentifizierungswiederherstellung und autorisierende Wiederherstellung beziehen sich auf den Prozess der Verwendung des autoritativen Wiederherstellungsbefehls im Ntdsutil-Befehlszeilentool, um die Versionsnummern bestimmter Objekte oder bestimmter Container und aller untergeordneten Objekte zu erhöhen. Sobald die End-to-End-Replikation erfolgt, werden die Zielobjekte in der lokalen Active Directory-Kopie des Wiederherstellungsdomänencontrollers auf allen Domänencontrollern, die diese Partition gemeinsam nutzen, autoritativ. Eine autoritative Wiederherstellung unterscheidet sich von einer Wiederherstellung des Systemzustands. Bei einer Systemzustandswiederherstellung wird die lokale Active Directory-Kopie des wiederhergestellten Domänencontrollers mit den Versionen der Objekte zum Zeitpunkt der Systemstatussicherung aufgefüllt.

Autorisierende Wiederherstellungen werden mit dem Befehlszeilentool Ntdsutil ausgeführt und verweisen auf den Domänennamenpfad (dn) der gelöschten Benutzer oder der Container, die die gelöschten Benutzer hosten.

Wenn Sie die Authentifizierung wiederherstellen, verwenden Sie DN-Pfade (Domain Name), die in der Domänenstruktur so niedrig sind, wie sie sein müssen. Der Zweck besteht darin, das Zurücksetzen von Objekten zu vermeiden, die nicht mit dem Löschen zusammenhängen. Diese Objekte können Objekte enthalten, die nach der Sicherung des Systemzustands geändert wurden.

Auth restored deleted users in the following order:
1. Auth restore the domain name (dn) path for each deleted user account, computer account, or security group.
  
  Autorisierende Wiederherstellungen bestimmter Objekte dauern länger, sind aber weniger destruktiv als autoritative Wiederherstellungen einer ganzen Teilstruktur. Auth restore the lowest common parent container that enthält the deleted objects.
  
  Ntdsutil verwendet die folgende Syntax:
```
ntdsutil "authoritative restore" "restore object <object DN path>" q q
```
  Verwenden Sie beispielsweise den folgenden Befehl, um den gelöschten Benutzer John Doe in der Organisationseinheit Mayberry der Contoso.com Domäne autoritativ wiederherzustellen:
```
ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
```
  Verwenden Sie den folgenden Befehl, um die gelöschte Sicherheitsgruppe ContosoPrintAccess in der Mayberry-Organisationseinheit der Contoso.com Domäne autoritativ wiederherzustellen:
```
ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
```
  Wichtig
  
  Die Verwendung von Anführungszeichen ist erforderlich.
  
  Hinweis
  
  Diese Syntax ist nur in Windows Server 2003 und höher verfügbar. Die einzige Syntax in Windows 2000 besteht darin, Folgendes zu verwenden:
```
ntdsutil "authoritative restore" "restore subtree object DN path"
```
  Hinweis
  
  Der autorisierende Ntdsutil-Wiederherstellungsvorgang ist nicht erfolgreich, wenn der Distinguished Name Path (DN) erweiterte Zeichen oder Leerzeichen enthält. Damit die skriptbasierte Wiederherstellung erfolgreich ist, muss der restore object <DN path> Befehl als vollständige Zeichenfolge übergeben werden.
  
  Um dieses Problem zu umgehen, umschließen Sie den DN, der erweiterte Zeichen und Leerzeichen enthält, mit Escapesequenzen mit umgekehrtem Schrägstrich mit doppeltem Anführungszeichen. Hier ein Beispiel:
```
ntdsutil "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry NC,DC=contoso,DC=com\"" q q
```
  Hinweis
  
  Der Befehl muss weiter geändert werden, wenn der DN der wiederhergestellten Objekte Kommas enthält. Sehen Sie sich folgendes Beispiel an:
```
ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry NC,DC=contoso,DC=com\"" q q
```
  Hinweis
  
  Wenn die Objekte vom Band wiederhergestellt wurden, als autoritativ markiert wurden und die Wiederherstellung nicht wie erwartet funktioniert hat und dann dasselbe Band erneut verwendet wird, um die NTDS-Datenbank wiederherzustellen, muss die USN-Version der objekte, die autoritativ wiederhergestellt werden sollen, höher als der Standardwert von 100000 erhöht werden, andernfalls werden die Objekte nach der zweiten Wiederherstellung nicht mehr repliziert. Die folgende Syntax ist erforderlich, um ein Skript für eine höhere Versionsnummer als 100000 (Standard) zu erstellen:
```
ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry NC,DC=contoso,DC=com\" verinc 150000\"" q q
```
  Hinweis
  
  Wenn das Skript für jedes wiederhergestellte Objekt zur Bestätigung auffordert, können Sie die Eingabeaufforderungen deaktivieren. Die Syntax zum Deaktivieren der Eingabeaufforderung lautet:
```
ntdsutil "popups off" "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry NC,DC=contoso,DC=com\" verinc 150000\"" q q
```
2. Die Authentifizierung stellt nur die Organisationseinheiten oder Common-Name-Container (CN) wieder her, die die gelöschten Benutzerkonten oder Gruppen hosten.
  
  Autorisierende Wiederherstellungen einer gesamten Teilstruktur sind gültig, wenn die Organisationseinheit, für die der autoritative wiederherstellungsbefehl ntdsutil bestimmt ist, die meisten Objekte enthält, die Sie autoritativ wiederherstellen möchten. Im Idealfall enthält die Ziel-ORGANISATIONSeinheit alle Objekte, die Sie autoritativ wiederherstellen möchten.
  
  Bei einer autoritativen Wiederherstellung in einer Organisationseinheits-Unterstruktur werden alle Attribute und Objekte, die sich im Container befinden, wiederhergestellt. Alle Änderungen, die bis zum Zeitpunkt der Wiederherstellung einer Systemstatussicherung vorgenommen wurden, werden zum Zeitpunkt der Sicherung auf ihre Werte zurückgesetzt. Bei Benutzerkonten, Computerkonten und Sicherheitsgruppen kann dieses Rollback den Verlust der letzten Änderungen an Kennwörtern, am Basisverzeichnis, am Profilpfad, an Speicherort und Kontaktinformationen, an gruppenmitgliedschaft und für alle Sicherheitsbeschreibungen bedeuten, die für diese Objekte und Attribute definiert sind.
  
  Ntdsutil verwendet die folgende Syntax:
```
ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
```
  Verwenden Sie beispielsweise den folgenden Befehl, um die Organisationseinheit Mayberry der Contoso.com Domäne autoritativ wiederherzustellen:
```
ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q
```
  Hinweis
  
  Wiederholen Sie diesen Schritt für jede Peer-ORGANISATIONSeinheit, die gelöschte Benutzer oder Gruppen hostet.
  
  Wichtig
  
  Wenn Sie ein untergeordnetes Objekt einer Organisationseinheit wiederherstellen, müssen alle gelöschten übergeordneten Container der gelöschten untergeordneten Objekte explizit Authentifizierung wiederhergestellt werden.
Wenn gelöschte Objekte auf dem Wiederherstellungsdomänencontroller aufgrund einer Systemzustandswiederherstellung wiederhergestellt wurden, entfernen Sie alle Netzwerkkabel, die netzwerkkonnektivität für alle anderen Domänencontroller in der Gesamtstruktur bereitstellen.
Starten Sie den Wiederherstellungsdomänencontroller im normalen Active Directory-Modus neu.
Geben Sie den folgenden Befehl ein, um die eingehende Replikation auf dem Wiederherstellungsdomänencontroller zu deaktivieren:
```
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
```
Aktivieren Sie die Netzwerkkonnektivität zurück zum Wiederherstellungsdomänencontroller, dessen Systemstatus wiederhergestellt wurde.
Ausgehende Replikation der wiederhergestellten Objekte vom Wiederherstellungsdomänencontroller auf die Domänencontroller in der Domäne und in der Gesamtstruktur.

Während die eingehende Replikation auf den Wiederherstellungsdomänencontroller deaktiviert bleibt, geben Sie den folgenden Befehl ein, um die mit der Authentifizierung wiederhergestellten Objekte an alle standortübergreifenden Replikatdomänencontroller in der Domäne und an alle globalen Kataloge in der Gesamtstruktur zu pushen:
```
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
```
Wenn alle folgenden Anweisungen true sind, werden Gruppenmitgliedschaftslinks mit der Wiederherstellung und der Replikation der gelöschten Benutzerkonten neu erstellt. Fahren Sie mit Schritt 14 fort.

Hinweis

Wenn eine oder mehrere der folgenden Anweisungen nicht zutrifft, fahren Sie mit Schritt 12 fort.
- Ihre Gesamtstruktur wird auf der Gesamtstrukturfunktionsebene von Windows Server 2003 und höher oder auf der Funktionsebene der Zwischengesamtstruktur von Windows Server 2003 und höher ausgeführt.
- Nur Benutzerkonten oder Computerkonten wurden gelöscht, keine Sicherheitsgruppen.
- Die gelöschten Benutzer wurden sicherheitsgruppen in allen Domänen in der Gesamtstruktur hinzugefügt, nachdem die Gesamtstruktur auf windows Server 2003 und höher die Gesamtstrukturfunktionsebene umgestellt wurde.
Ermitteln Sie, in welchen Sicherheitsgruppen die gelöschten Benutzer Mitglieder waren, und fügen Sie sie dann diesen Gruppen hinzu.

Hinweis

Bevor Sie Benutzer zu Gruppen hinzufügen können, müssen die Benutzer, die Sie in Schritt 7 authentifiziert haben und die Sie in Schritt 11 ausgehend repliziert haben, auf die Domänencontroller in der Domäne des Domänencontrollers, auf die verwiesen wird, und auf alle Domänencontroller des globalen Katalogs in der Gesamtstruktur repliziert haben.

Wenn Sie ein Hilfsprogramm für die Gruppenbereitstellung bereitgestellt haben, um die Mitgliedschaft für Sicherheitsgruppen erneut aufzufüllen, verwenden Sie dieses Hilfsprogramm, um gelöschte Benutzer in den Sicherheitsgruppen wiederherzustellen, deren Mitglieder sie vor dem Löschen waren. Tun Sie dies, nachdem alle direkten und transitiven Domänencontroller in der Domäne und auf den globalen Katalogservern der Gesamtstruktur die wiederhergestellten Benutzer und alle wiederhergestellten Container eingehend repliziert haben.

Wenn Sie nicht über das Hilfsprogramm verfügen, können die Ldifde.exe Befehlszeilentools und Groupadd.exe diese Aufgabe für Sie automatisieren, wenn sie auf dem Wiederherstellungsdomänencontroller ausgeführt werden. Diese Tools sind über die Microsoft-Produktsupportdienste verfügbar. In diesem Szenario erstellt Ldifde.exe eine LDIF-Informationsdatei (LDAP Data Interchange Format), die die Namen der Benutzerkonten und deren Sicherheitsgruppen enthält. Sie beginnt bei einem Organisationseinheitscontainer, den der Administrator angibt. Groupadd.exe liest dann das memberOf Attribut für jedes Benutzerkonto, das in der LDF-Datei aufgeführt ist. Anschließend werden separate und eindeutige LDIF-Informationen für jede Domäne in der Gesamtstruktur generiert. Diese LDIF-Informationen enthalten die Namen der Sicherheitsgruppen, die den gelöschten Benutzern zugeordnet sind. Verwenden Sie die LDIF-Informationen, um die Informationen den Benutzern wieder hinzuzufügen, damit ihre Gruppenmitgliedschaften wiederhergestellt werden können. Führen Sie die folgenden Schritte für diese Phase der Wiederherstellung aus:
1. Melden Sie sich bei der Konsole des Wiederherstellungsdomänencontrollers mit einem Benutzerkonto an, das Mitglied der Sicherheitsgruppe des Domänenadministrators ist.
2. Verwenden Sie den Befehl Ldifde, um die Namen der zuvor gelöschten Benutzerkonten und deren memberOf Attribute abzuspeichern, beginnend beim obersten Organisationseinheitscontainer, in dem der Löschvorgang erfolgt ist. Der Ldifde-Befehl verwendet die folgende Syntax:
```
ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=user)" -l memberof -p subtree -f user_membership_after_restore.ldf
```
  Verwenden Sie die folgende Syntax, wenn gelöschte Computerkonten zu Sicherheitsgruppen hinzugefügt wurden:
```
ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=computer)" -l memberof -p subtree -f computer_membership_after_restore.ldf
```
3. Führen Sie den Groupadd Befehl aus, um weitere LDF-Dateien zu erstellen, die die Namen von Domänen und die Namen globaler und universeller Sicherheitsgruppen enthalten, in denen die gelöschten Benutzer Mitglied waren. Der Groupadd Befehl verwendet die folgende Syntax:
```
Groupadd / after_restore users_membership_after_restore.ldf
```
  Wiederholen Sie diesen Befehl, wenn gelöschte Computerkonten zu Sicherheitsgruppen hinzugefügt wurden.
4. Importieren Sie jede Groupadd_fully.qualified.domain.name.ldf-Datei, die Sie in Schritt 12c erstellt haben, in einen einzelnen globalen Katalogdomänencontroller, der der LDF-Datei jeder Domäne entspricht. Verwenden Sie die folgende Ldifde-Syntax:
```
Ldifde -i -k -f Groupadd_<fully.qualified.domain.name>.ldf
```
  Führen Sie die LDF-Datei für die Domäne aus, aus der die Benutzer gelöscht wurden, auf jedem Domänencontroller mit Ausnahme des Wiederherstellungsdomänencontrollers aus.
5. In der Konsole jedes Domänencontrollers, der zum Importieren der datei Groupadd_<fully.qualified.domain.name.ldf> für eine bestimmte Domäne verwendet wird, werden die Gruppenmitgliedschaften zu den anderen Domänencontrollern in der Domäne und zu den Domänencontrollern des globalen Katalogs in der Gesamtstruktur ausgehend repliziert. Verwenden Sie dazu den folgenden Befehl:
```
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
```
Um die ausgehende Replikation zu deaktivieren, geben Sie den folgenden Text ein, und drücken Sie dann die EINGABETASTE:
```
repadmin /options +DISABLE_OUTBOUND_REPL
```
Hinweis

Um die ausgehende Replikation wieder zu aktivieren, geben Sie den folgenden Text ein, und drücken Sie dann die EINGABETASTE:
```
repadmin /options -DISABLE_OUTBOUND_REPL
```
Wenn gelöschte Benutzer lokalen Gruppen in externen Domänen hinzugefügt wurden, führen Sie eine der folgenden Aktionen aus:
- Fügen Sie die gelöschten Benutzer manuell zu diesen Gruppen hinzu.
- Stellen Sie den Systemstatus und die Authentifizierung jeder lokalen Sicherheitsgruppe wieder her, die die gelöschten Benutzer enthält.
Überprüfen Sie die Gruppenmitgliedschaft in der Domäne des Wiederherstellungsdomänencontrollers und in globalen Katalogen in anderen Domänen.
Erstellen Sie eine neue Systemstatussicherung von Domänencontrollern in der Domäne des Wiederherstellungsdomänencontrollers.
Benachrichtigen Sie alle Gesamtstrukturadministratoren, delegierten Administratoren, Helpdeskadministratoren in der Gesamtstruktur und Benutzer in der Domäne, dass die Benutzerwiederherstellung abgeschlossen ist.

Helpdeskadministratoren müssen möglicherweise die Kennwörter von wiederhergestellten Benutzerkonten und Computerkonten zurücksetzen, deren Domänenkennwort nach dem Erstellen des wiederhergestellten Systems geändert wurde.

Benutzer, die ihre Kennwörter geändert haben, nachdem die Systemstatussicherung erstellt wurde, werden feststellen, dass ihr neuestes Kennwort nicht mehr funktioniert. Lassen Sie diese Benutzer versuchen, sich mit ihren vorherigen Kennwörtern anzumelden, wenn sie sie kennen. Andernfalls müssen Helpdeskadministratoren das Kennwort zurücksetzen und das Kontrollkästchen Benutzer muss Kennwort bei der nächsten Anmeldung ändern aktivieren. Führen Sie dies vorzugsweise auf einem Domänencontroller am gleichen Active Directory-Standort aus, an dem sich der Benutzer befindet.

Methode 3: Zwei Mal autoritatives Wiederherstellen der gelöschten Benutzer und der Sicherheitsgruppen der gelöschten Benutzer

Wenn Sie diese Methode verwenden, führen Sie die folgenden allgemeinen Schritte aus:

Überprüfen Sie, ob beim Löschen kein globaler Katalog in der Domäne des Benutzers repliziert wurde. Und verhindern Sie dann, dass dieser Domänencontroller den Löschvorgang eingehender repliziert. Wenn kein latenter globaler Katalog vorhanden ist, suchen Sie die aktuellste Systemstatussicherung eines globalen Katalogdomänencontrollers in der Heimdomäne des gelöschten Benutzers.
Stellen Sie alle gelöschten Benutzerkonten und alle Sicherheitsgruppen in der Domäne des gelöschten Benutzers autoritativ wieder her.
Warten Sie auf die End-to-End-Replikation der wiederhergestellten Benutzer und der Sicherheitsgruppen auf alle Domänencontroller in der Domäne des gelöschten Benutzers und auf die Domänencontroller des globalen Katalogs der Gesamtstruktur.
Wiederholen Sie die Schritte 2 und 3, um gelöschte Benutzer und Sicherheitsgruppen autoritativ wiederherzustellen. (Sie stellen den Systemzustand nur einmal wieder her.)
Wenn die gelöschten Benutzer Mitglieder von Sicherheitsgruppen in anderen Domänen waren, stellen Sie autoritativ alle Sicherheitsgruppen wieder her, deren Mitglieder die gelöschten Benutzer in diesen Domänen waren. Wenn Systemstatussicherungen aktuell sind, können Sie alle Sicherheitsgruppen in diesen Domänen autoritativ wiederherstellen. Um die Anforderung zu erfüllen, dass gelöschte Gruppenmitglieder vor Sicherheitsgruppen wiederhergestellt werden müssen, um Gruppenmitgliedschaftslinks zu korrigieren, stellen Sie beide Objekttypen in dieser Methode zweimal wieder her. Bei der ersten Wiederherstellung werden alle Benutzerkonten und Gruppenkonten eingerichtet. Die zweite Wiederherstellung stellt gelöschte Gruppen wieder her und repariert die Gruppenmitgliedschaftsinformationen, einschließlich Der Mitgliedschaftsinformationen für geschachtelte Gruppen.

Gehen Sie wie folgt vor, um Methode 3 zu verwenden:

Überprüfen Sie, ob ein globaler Katalogdomänencontroller in der Privaten Domäne der gelöschten Benutzer vorhanden ist und in keinem Teil des Löschvorgangs repliziert wurde.

Hinweis

Konzentrieren Sie sich auf globale Kataloge in der Domäne mit den am wenigsten häufigen Replikationszeitplänen. Wenn diese Domänencontroller vorhanden sind, verwenden Sie das Repadmin.exe-Befehlszeilentool, um die eingehende Replikation sofort zu deaktivieren. Gehen Sie dazu wie folgt vor:
1. Wählen Sie Start und dann Ausführen aus.
2. Geben Sie cmd in das Feld Öffnen ein, und wählen Sie dann OK aus.
3. Geben Sie repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL an der Eingabeaufforderung ein, und drücken Sie dann die EINGABETASTE.
Hinweis

Wenn Sie den Befehl Repadmin nicht sofort ausgeben können, entfernen Sie die gesamte Netzwerkkonnektivität vom Domänencontroller, bis Sie repadmin verwenden können, um die eingehende Replikation zu deaktivieren, und geben Sie dann sofort die Netzwerkkonnektivität zurück.

Dieser Domänencontroller wird als Wiederherstellungsdomänencontroller bezeichnet.
Vermeiden Sie Ergänzungen, Löschungen und Änderungen an den folgenden Elementen, bis alle Wiederherstellungsschritte abgeschlossen sind. Zu den Änderungen gehören Kennwortzurücksetzungen durch Domänenbenutzer, Helpdeskadministratoren und Administratoren in der Domäne, in der der Löschvorgang erfolgte, sowie Änderungen der Gruppenmitgliedschaft in den Gelöschten Benutzergruppen.
1. Benutzerkonten und Attribute für Benutzerkonten
2. Computerkonten und -attribute für Computerkonten
3. Dienstkonten
4. Sicherheitsgruppen
  
  Hinweis
  
  Vermeiden Sie insbesondere Änderungen an der Gruppenmitgliedschaft für Benutzer, Computer, Gruppen und Dienstkonten in der Gesamtstruktur, in der der Löschvorgang erfolgt ist.
5. Benachrichtigen Sie alle Gesamtstrukturadministratoren, die delegierten Administratoren und die Helpdeskadministratoren in der Gesamtstruktur über den vorübergehenden Ausfall. Dieser Ausfall ist in Methode 2 erforderlich, da Sie alle Sicherheitsgruppen der gelöschten Benutzer autoritativ wiederherstellen. Daher gehen alle Änderungen, die nach dem Datum der Systemstatussicherung an Gruppen vorgenommen werden, verloren.
Erstellen Sie eine neue Systemstatussicherung in der Domäne, in der der Löschvorgang erfolgt ist. Sie können diese Sicherung verwenden, wenn Sie ein Rollback Für Ihre Änderungen ausführen müssen.

Hinweis

Wenn Ihre Systemstatussicherungen bis zum Zeitpunkt des Löschvorgangs aktuell sind, überspringen Sie diesen Schritt, und fahren Sie mit Schritt 4 fort.

Wenn Sie in Schritt 1 einen Wiederherstellungsdomänencontroller identifiziert haben, sichern Sie jetzt seinen Systemstatus.

Wenn alle globalen Kataloge, die sich in der Domäne befinden, in der der Löschvorgang erfolgt ist, den Löschvorgang repliziert haben, sichern Sie den Systemstatus eines globalen Katalogs in der Domäne, in der der Löschvorgang stattgefunden hat.

Wenn Sie eine Sicherung erstellen, können Sie den Wiederherstellungsdomänencontroller wieder in seinen aktuellen Zustand zurücksetzen. Und führen Sie Ihren Wiederherstellungsplan erneut aus, wenn ihr erster Versuch nicht erfolgreich ist.
Wenn Sie in der Domäne, in der der Benutzer gelöscht wurde, keinen latenten globalen Katalogdomänencontroller finden, suchen Sie die neueste Systemstatussicherung eines globalen Katalogdomänencontrollers in dieser Domäne. Diese Systemstatussicherung sollte die gelöschten Objekte enthalten. Verwenden Sie diesen Domänencontroller als Wiederherstellungsdomänencontroller.

Nur Datenbanken der Domänencontroller des globalen Katalogs in der Domäne des Benutzers enthalten Gruppenmitgliedschaftsinformationen für externe Domänen in der Gesamtstruktur. Wenn es keine Systemstatussicherung eines globalen Katalogdomänencontrollers in der Domäne gibt, in der Benutzer gelöscht wurden, können Sie das -Attribut für wiederhergestellte Benutzerkonten nicht verwenden, um die memberOf globale oder universelle Gruppenmitgliedschaft zu bestimmen oder die Mitgliedschaft in externen Domänen wiederherzustellen. Fahren Sie mit dem nächsten Schritt fort. Wenn ein externer Datensatz der Gruppenmitgliedschaft in externen Domänen vorhanden ist, fügen Sie die wiederhergestellten Benutzer zu Sicherheitsgruppen in diesen Domänen hinzu, nachdem die Benutzerkonten wiederhergestellt wurden.
Wenn Sie das Kennwort für das Offlineadministratorkonto kennen, starten Sie den Wiederherstellungsdomänencontroller im Disrepair-Modus. Wenn Sie das Kennwort für das Offlineadministratorkonto nicht kennen, setzen Sie das Kennwort zurück, während sich der Wiederherstellungsdomänencontroller noch im normalen Active Directory-Modus befindet.

Sie können das Befehlszeilentool setpwd verwenden, um das Kennwort auf Domänencontrollern zurückzusetzen, auf denen Windows 2000 SP2 und höher ausgeführt wird, während sie sich im Active Directory-Onlinemodus befinden.

Hinweis

Microsoft unterstützt Windows 2000 nicht mehr.

Administratoren von Domänencontrollern unter Windows Server 2003 und höher können den set dsrm password Befehl im Befehlszeilentool Ntdsutil verwenden, um das Kennwort für das Offlineadministratorkonto zurückzusetzen.

Weitere Informationen zum Zurücksetzen des Administratorkontos für den Verzeichnisdienste-Wiederherstellungsmodus finden Sie unter Zurücksetzen des Administratorkontokennworts für den Verzeichnisdienste-Wiederherstellungsmodus in Windows Server.
Drücken Sie F8 während des Startvorgangs, um den Wiederherstellungsdomänencontroller im Disrepair-Modus zu starten. Melden Sie sich mit dem Offlineadministratorkonto bei der Konsole des Wiederherstellungsdomänencontrollers an. Wenn Sie das Kennwort in Schritt 5 zurücksetzen, verwenden Sie das neue Kennwort.

Wenn der Wiederherstellungsdomänencontroller ein latenter globaler Katalogdomänencontroller ist, stellen Sie den Systemstatus nicht wieder her. Fahren Sie direkt mit Schritt 7 fort.

Wenn Sie den Wiederherstellungsdomänencontroller mithilfe einer Systemstatussicherung erstellen, stellen Sie jetzt die aktuellste Systemstatussicherung wieder her, die auf dem Wiederherstellungsdomänencontroller erstellt wurde, der die gelöschten Objekte enthält.
Auth stellt die gelöschten Benutzerkonten, die gelöschten Computerkonten oder die gelöschten Sicherheitsgruppen wieder her.

Hinweis

Die Begriffe Authentifizierungswiederherstellung und autorisierende Wiederherstellung beziehen sich auf den Prozess der Verwendung des autoritativen Wiederherstellungsbefehls im Ntdsutil-Befehlszeilentool, um die Versionsnummern bestimmter Objekte oder bestimmter Container und aller untergeordneten Objekte zu erhöhen. Sobald die End-to-End-Replikation erfolgt, werden die Zielobjekte in der lokalen Active Directory-Kopie des Wiederherstellungsdomänencontrollers auf allen Domänencontrollern, die diese Partition gemeinsam nutzen, autoritativ. Eine autoritative Wiederherstellung unterscheidet sich von einer Wiederherstellung des Systemzustands. Bei einer Systemzustandswiederherstellung wird die lokale Active Directory-Kopie des wiederhergestellten Domänencontrollers mit den Versionen der Objekte zum Zeitpunkt der Systemstatussicherung aufgefüllt.

Autorisierende Wiederherstellungen werden mit dem Befehlszeilentool Ntdsutil durchgeführt, indem auf den Domänennamenpfad (dn) der gelöschten Benutzer oder der Container verwiesen wird, in denen die gelöschten Benutzer gehostet werden.

Verwenden Sie bei der Authentifizierungswiederherstellung Domänennamenpfade, die in der Domänenstruktur so niedrig sind, wie sie sein müssen. Der Zweck besteht darin, das Zurücksetzen von Objekten zu vermeiden, die nicht mit dem Löschen zusammenhängen. Diese Objekte können Objekte enthalten, die nach der Sicherung des Systemzustands geändert wurden.

Auth restored deleted users in the following order:
1. Auth restore the domain name (dn) path for each deleted user account, computer account, or deleted security group.
  
  Autorisierende Wiederherstellungen bestimmter Objekte dauern länger, sind aber weniger destruktiv als autoritative Wiederherstellungen einer ganzen Teilstruktur. Auth restore the lowest common parent container that enthält the deleted objects.
  
  Ntdsutil verwendet die folgende Syntax:
```
ntdsutil "authoritative restore" "restore object <object DN path>" q q
```
  Verwenden Sie beispielsweise den folgenden Befehl, um den gelöschten Benutzer John Doe in der Organisationseinheit Mayberry der Contoso.com Domäne autoritativ wiederherzustellen:
```
ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
```
  Verwenden Sie den folgenden Befehl, um die gelöschte Sicherheitsgruppe ContosoPrintAccess in der Mayberry-Organisationseinheit der Contoso.com Domäne autoritativ wiederherzustellen:
```
ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
```
  Wichtig
  
  Die Verwendung von Anführungszeichen ist erforderlich.
  
  Mit diesem Ntdsutil-Format können Sie auch die autoritative Wiederherstellung vieler Objekte in einer Batchdatei oder einem Skript automatisieren.
  
  Hinweis
  
  Diese Syntax ist nur in Windows Server 2003 und höher verfügbar. Die einzige Syntax in Windows 2000 ist, zu verwenden: ntdsutil "authoritative restore" "restore subtree object DN path".
2. Die Authentifizierung stellt nur die Organisationseinheiten oder Common-Name-Container (CN) wieder her, die die gelöschten Benutzerkonten oder Gruppen hosten.
  
  Autorisierende Wiederherstellungen einer gesamten Teilstruktur sind gültig, wenn die Organisationseinheit, für die der Ntdsutil Authoritative restore-Befehl verwendet wird, die meisten Objekte enthält, die Sie autoritativ wiederherstellen möchten. Im Idealfall enthält die Ziel-ORGANISATIONSeinheit alle Objekte, die Sie autoritativ wiederherstellen möchten.
  
  Bei einer autoritativen Wiederherstellung für eine Organisationseinheitsunterstruktur werden alle Attribute und Objekte im Container wiederhergestellt. Alle Änderungen, die bis zum Zeitpunkt der Wiederherstellung einer Systemstatussicherung vorgenommen wurden, werden zum Zeitpunkt der Sicherung auf ihre Werte zurückgesetzt. Bei Benutzerkonten, Computerkonten und Sicherheitsgruppen kann dieses Rollback den Verlust der letzten Änderungen an Kennwörtern, am Basisverzeichnis, am Profilpfad, an Speicherort und Kontaktinformationen, an gruppenmitgliedschaft und für alle Sicherheitsbeschreibungen bedeuten, die für diese Objekte und Attribute definiert sind.
  
  Ntdsutil verwendet die folgende Syntax:
```
ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
```
  Verwenden Sie beispielsweise den folgenden Befehl, um die Organisationseinheit Mayberry der Contoso.com Domäne autoritativ wiederherzustellen:
```
ntdsutil "authoritative restore" "restore subtree ou=Mayberry,dc=contoso,dc=com" q q
```
  Hinweis
  
  Wiederholen Sie diesen Schritt für jede Peer-ORGANISATIONSeinheit, die gelöschte Benutzer oder Gruppen hostet.
  
  Wichtig
  
  Wenn Sie ein untergeordnetes Objekt einer Organisationseinheit wiederherstellen, müssen alle übergeordneten Container der gelöschten untergeordneten Objekte explizit Authentifizierung wiederhergestellt werden.
Starten Sie den Wiederherstellungsdomänencontroller im normalen Active Directory-Modus neu.
Ausgehende Replikation der autoritativ wiederhergestellten Objekte vom Wiederherstellungsdomänencontroller auf die Domänencontroller in der Domäne und in der Gesamtstruktur.

Während die eingehende Replikation auf dem Wiederherstellungsdomänencontroller deaktiviert bleibt, geben Sie den folgenden Befehl ein, um die autoritativen wiederhergestellten Objekte an alle standortübergreifenden Replikatdomänencontroller in der Domäne und an globale Kataloge in der Gesamtstruktur zu pushen:
```
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
```
Nachdem alle direkten und transitiven Domänencontroller in der Domäne und den globalen Katalogservern der Gesamtstruktur in den autoritativ wiederhergestellten Benutzern und allen wiederhergestellten Containern repliziert wurden, fahren Sie mit Schritt 11 fort.

Wenn alle folgenden Aussagen zutreffen, werden Gruppenmitgliedschaftslinks mit der Wiederherstellung der gelöschten Benutzerkonten neu erstellt. Fahren Sie mit Schritt 13 fort.
- Ihre Gesamtstruktur wird auf der Gesamtstrukturfunktionsebene von Windows Server 2003 und höher oder auf der Funktionsebene der Zwischengesamtstruktur von Windows Server 2003 und höher ausgeführt.
- Nur Sicherheitsgruppen wurden nicht gelöscht.
- Alle gelöschten Benutzer wurden allen Sicherheitsgruppen in allen Domänen in der Gesamtstruktur hinzugefügt.
Erwägen Sie die Verwendung des Repadmin Befehls, um die ausgehende Replikation von Benutzern vom wiederhergestellten Domänencontroller zu beschleunigen.

Wenn gruppen ebenfalls gelöscht wurden oder Sie nicht garantieren können, dass alle gelöschten Benutzer nach dem Übergang zur Zwischen- oder Gesamtstrukturfunktionsebene von Windows Server 2003 und höher allen Sicherheitsgruppen hinzugefügt wurden, fahren Sie mit Schritt 12 fort.
Wiederholen Sie die Schritte 7, 8 und 9, ohne den Systemzustand wiederherzustellen, und fahren Sie dann mit Schritt 11 fort.
Wenn gelöschte Benutzer lokalen Gruppen in externen Domänen hinzugefügt wurden, führen Sie eine der folgenden Aktionen aus:
- Fügen Sie die gelöschten Benutzer manuell zu diesen Gruppen hinzu.
- Stellen Sie den Systemstatus und die Authentifizierung jeder lokalen Sicherheitsgruppe wieder her, die die gelöschten Benutzer enthält.
Überprüfen Sie die Gruppenmitgliedschaft in der Domäne des Wiederherstellungsdomänencontrollers und in globalen Katalogen in anderen Domänen.
Verwenden Sie den folgenden Befehl, um die eingehende Replikation auf dem Wiederherstellungsdomänencontroller zu aktivieren:
```
repadmin /options recovery dc name -DISABLE_INBOUND_REPL
```
Erstellen Sie eine neue Systemstatussicherung von Domänencontrollern in der Domäne des Wiederherstellungsdomänencontrollers und in globalen Katalogen in anderen Domänen in der Gesamtstruktur.
Benachrichtigen Sie alle Gesamtstrukturadministratoren, die delegierten Administratoren, die Helpdeskadministratoren in der Gesamtstruktur und die Benutzer in der Domäne, dass die Benutzerwiederherstellung abgeschlossen ist.

Helpdeskadministratoren müssen möglicherweise die Kennwörter von wiederhergestellten Benutzerkonten und Computerkonten zurücksetzen, deren Domänenkennwort nach dem Erstellen des wiederhergestellten Systems geändert wurde.

Benutzer, die ihre Kennwörter geändert haben, nachdem die Systemstatussicherung erstellt wurde, werden feststellen, dass ihr neuestes Kennwort nicht mehr funktioniert. Lassen Sie diese Benutzer versuchen, sich mit ihren vorherigen Kennwörtern anzumelden, wenn sie sie kennen. Andernfalls müssen Helpdeskadministratoren das Kennwort zurücksetzen, wobei das Kontrollkästchen Benutzer muss kennwort bei der nächsten Anmeldung ändern aktiviert ist. Führen Sie dies vorzugsweise auf einem Domänencontroller am gleichen Active Directory-Standort aus, an dem sich der Benutzer befindet.

Wiederherstellen gelöschter Benutzer auf einem Domänencontroller, wenn Sie nicht über eine gültige Systemstatussicherung verfügen

Wenn In einer Domäne, in der Benutzerkonten oder Sicherheitsgruppen gelöscht wurden, keine aktuellen Systemstatussicherungen vorhanden sind und der Löschvorgang in Domänen erfolgt ist, die Domänencontroller unter Windows Server 2003 und höher enthalten, führen Sie die folgenden Schritte aus, um gelöschte Objekte aus dem Container für gelöschte Objekte manuell zu reanimieren:

Führen Sie die Schritte im folgenden Abschnitt aus, um gelöschte Benutzer, Computer, Gruppen oder alle von ihnen wiederzubeleben:
Manuelles Wiederherstellen von Objekten in einem Container für gelöschte Objekte
Verwenden Sie Active Directory-Benutzer und -Computer, um das Konto von deaktiviert in aktiviert zu ändern. (Das Konto wird in der ursprünglichen Organisationseinheit angezeigt.)
Verwenden Sie die Massenzurücksetzungsfeatures in Windows Server 2003 und höher von Active Directory-Benutzer und -Computer, um Massenzurücksetzungen für das Kennwort durchzuführen, das bei der nächsten Anmeldung geändert werden muss, im Basisverzeichnis, im Profilpfad und bei der Gruppenmitgliedschaft für das gelöschte Konto. Sie können auch eine programmgesteuerte Entsprechung dieser Features verwenden.
Wenn Microsoft Exchange 2000 oder höher verwendet wurde, reparieren Sie das Exchange-Postfach für den gelöschten Benutzer.
Wenn Exchange 2000 oder höher verwendet wurde, zuordnen Sie den gelöschten Benutzer erneut dem Exchange-Postfach.
Vergewissern Sie sich, dass sich der wiederhergestellte Benutzer anmelden und auf lokale Verzeichnisse, freigegebene Verzeichnisse und Dateien zugreifen kann.

Sie können einige oder alle dieser Wiederherstellungsschritte mithilfe der folgenden Methoden automatisieren:

Schreiben Sie ein Skript, das die in Schritt 1 aufgeführten manuellen Wiederherstellungsschritte automatisiert. Wenn Sie ein solches Skript schreiben, sollten Sie das gelöschte Objekt nach Datum, Uhrzeit und letztem bekannten übergeordneten Container eingrenzen und dann die Reanimation des gelöschten Objekts automatisieren. Um die Reanimation zu automatisieren, ändern Sie das isDeleted Attribut von TRUE in FALSE, und ändern Sie den relativen Distinguished Name in den Wert, der lastKnownParent entweder im -Attribut oder in einem neuen Organisationseinheits- oder CN-Container definiert ist, der vom Administrator angegeben wird. (Der relative Distinguished Name wird auch als RDN bezeichnet.)
Rufen Sie ein Nicht-Microsoft-Programm ab, das die Reanimation gelöschter Objekte auf Domänencontrollern unter Windows Server 2003 und höher unterstützt. Ein solches Hilfsprogramm ist AdRestore. AdRestore verwendet die Grundtypen von Windows Server 2003 und höher, um Objekte einzeln wiederhergestellt zu machen. Aelita Software Corporation und Commvault Systems bieten auch Produkte an, die die Wiederherstellen von Funktionen auf Windows Server 2003 und späteren Domänencontrollern unterstützen.

Informationen zum Abrufen von AdRestore finden Sie unter AdRestore v1.1.

Die Kontaktinformationen zu den in diesem Artikel erwähnten Drittanbietern sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Microsoft garantiert nicht die Richtigkeit dieser Kontaktinformationen von Drittanbietern.

Manuelles Wiederherstellen von Objekten im Container eines gelöschten Objekts

Führen Sie die folgenden Schritte aus, um Objekte im Container eines gelöschten Objekts manuell rückgängig zu machen:

Wählen Sie Start aus, wählen Sie Ausführen aus, und geben Sie dann ldp.exeein.

ldp.exe ist verfügbar:
- Auf Computern, auf denen die Domänencontrollerrolle installiert wurde.
- Auf Computern, auf denen Remoteserver-Verwaltungstools (REMOTE Server Administration Tools, RSAT) installiert wurden.
Verwenden Sie das Menü Verbindung in Ldp, um die Verbindungs- und Bindungsvorgänge an einen Domänencontroller unter Windows Server 2003 und höher auszuführen.

Geben Sie die Anmeldeinformationen des Domänenadministrators während des Bindungsvorgangs an.
Wählen Sie im Menü Optionendie Option Steuerelemente aus.
Wählen Sie in der Liste Vordefinierten Laden die Option Gelöschte Objekte zurückgeben aus.

Hinweis

Das 1.2.840.113556.1.4.417-Steuerelement wird in das Fenster Aktive Steuerelemente verschoben.
Wählen Sie unter Steuerelementtyp die Option Server und dann OK aus.
Wählen Sie im Menü Ansicht die Option Struktur aus, geben Sie den Distinguished Name-Pfad des Containers für gelöschte Objekte in der Domäne ein, in der der Löschvorgang erfolgt ist, und wählen Sie dann OK aus.

Hinweis

Der Distinguished Name-Pfad wird auch als DN-Pfad bezeichnet. Wenn der Löschvorgang z. B. in der contoso.com Domäne erfolgt, lautet der DN-Pfad wie folgt:
cn=deleted Objects,dc=contoso,dc=com
Doppelklicken Sie im linken Bereich des Fensters auf den Container für gelöschte Objekte.

Hinweis

Als Suchergebnis der Idap-Abfrage werden standardmäßig nur 1000 Objekte zurückgegeben. Wenn im Container "Gelöschte Objekte" mehr als 1000 Objekte vorhanden sind, werden nicht alle Objekte in diesem Container angezeigt. Wenn Ihr Zielobjekt nicht angezeigt wird, verwenden Sie ntdsutil, und legen Sie dann die maximale Anzahl fest, indem Sie maxpagesize verwenden, um die Suchergebnisse abzurufen.
Doppelklicken Sie auf das Objekt, das Sie wiederherstellen oder reanimieren möchten.
Klicken Sie mit der rechten Maustaste auf das Objekt, das Sie reanimieren möchten, und wählen Sie dann Ändern aus.

Ändern Sie den Wert für das isDeleted Attribut und den DN-Pfad in einem einzelnen LDAP-Änderungsvorgang (Lightweight Directory Access Protocol). Führen Sie die folgenden Schritte aus, um das Dialogfeld Ändern zu konfigurieren:
1. Geben Sie im Feld Eintragsattribut bearbeiten den Wert isDeleted ein. Lassen Sie das Feld Wert leer.
2. Wählen Sie die Optionsschaltfläche Löschen und dann die EINGABETASTE aus, um den ersten von zwei Einträgen im Dialogfeld Eintragsliste zu erstellen.
  
  Wichtig
  
  Wählen Sie nicht Ausführen aus.
3. Geben Sie im Feld Attributden Namen distinguishedName ein.
4. Geben Sie im Feld Werte den neuen DN-Pfad des reanimierten Objekts ein.
  
  Verwenden Sie beispielsweise den folgenden DN-Pfad, um das JohnDoe-Benutzerkonto mit der Organisationseinheit Mayberry zu reanimieren: cn= JohnDoe,ou= Mayberry,dc= contoso,dc= com
  
  Hinweis
  
  Wenn Sie ein gelöschtes Objekt im ursprünglichen Container reanimieren möchten, fügen Sie den Wert des lastKnownParent-Attributs des gelöschten Objekts an den CN-Wert an, und fügen Sie dann den vollständigen DN-Pfad in das Feld Werte ein.
5. Wählen Sie im Feld Vorgang die Option ERSETZEN aus.
6. Drücken Sie die EINGABETASTE.
7. Aktivieren Sie das Kontrollkästchen Synchron .
8. Aktivieren Sie das Kontrollkästchen Erweitert .
9. Wählen Sie AUSFÜHREN aus.
Nachdem Sie die Objekte wiederbelebt haben, wählen Sie steuerelemente im Menü Optionen aus, und wählen Sie die Schaltfläche Auschecken aus, um (1.2.840.113556.1.4.417) aus der Feldliste Aktive Steuerelemente zu entfernen.
Zurücksetzen von Benutzerkontenkennwörtern, Profilen, Basisverzeichnissen und Gruppenmitgliedschaften für die gelöschten Benutzer.

Beim Löschen des Objekts wurden alle Attributwerte mit Ausnahme SIDvon , ObjectGUID, LastKnownParentund SAMAccountName entfernt.
Aktivieren Sie das reanimierte Konto in Active Directory-Benutzer und -Computer.

Hinweis

Das reanimierte Objekt verfügt über die gleiche primäre SID wie vor dem Löschen, aber das Objekt muss erneut denselben Sicherheitsgruppen hinzugefügt werden, um die gleiche Zugriffsebene auf Ressourcen zu erhalten. In der ersten Version von Windows Server 2003 und höher wird das sIDHistory Attribut für reanimierte Benutzerkonten, Computerkonten und Sicherheitsgruppen nicht beibehalten. Windows Server 2003 und höher mit Service Pack 1 behält das sIDHistory Attribut für gelöschte Objekte bei.
Entfernen Sie Microsoft Exchange-Attribute, und verbinden Sie den Benutzer erneut mit dem Exchange-Postfach.

Hinweis

Die Reanimation gelöschter Objekte wird unterstützt, wenn der Löschvorgang auf einem Domänencontroller unter Windows Server 2003 und höher erfolgt. Die Reanimation gelöschter Objekte wird nicht unterstützt, wenn der Löschvorgang auf einem Windows 2000-Domänencontroller erfolgt, der anschließend auf Windows Server 2003 und höher aktualisiert wird.

Hinweis

Wenn der Löschvorgang auf einem Windows 2000-Domänencontroller in der Domäne erfolgt, wird das lastParentOf Attribut auf Domänencontrollern unter Windows Server 2003 und höher nicht aufgefüllt.

So bestimmen Sie, wann und wo ein Löschvorgang erfolgt ist

Wenn Benutzer aufgrund eines Massenlöschvorgangs gelöscht werden, möchten Sie möglicherweise erfahren, woher der Löschvorgang stammt. Führen Sie hierfür die folgenden Schritte aus:

Führen Sie die Schritte 1 bis 7 im Abschnitt Manuelles Wiederherstellen von Objekten im Container eines gelöschten Objekts aus, um nach gelöschten Sicherheitsprinzipalen zu suchen. Wenn eine Struktur gelöscht wurde, führen Sie die folgenden Schritte aus, um einen übergeordneten Container des gelöschten Objekts zu suchen.
Kopieren Sie den Wert des objectGUID Attributs in die Windows-Zwischenablage. Sie können diesen Wert einfügen, wenn Sie den Repadmin Befehl in Schritt 4 eingeben.
Führen Sie in der Befehlszeile den folgenden Befehl aus:
```
repadmin /showmeta GUID=<objectGUID> <FQDN>
```
Wenn der des gelöschten Objekts oder Containers beispielsweise objectGUID 791273b2-eba7-4285-a117-aa804ea76e95 ist und der vollqualifizierte Domänenname (FQDN) lautet dc.contoso.com, führen Sie den folgenden Befehl aus:
```
repadmin /showmeta GUID=791273b2-eba7-4285-a117-aa804ea76e95 dc.contoso.com
```
Die Syntax dieses Befehls muss die GUID des gelöschten Objekts oder Containers und den FQDN des Servers enthalten, von dem Sie eine Quelle erhalten möchten.

Suchen Sie in der Repadmin Befehlsausgabe nach dem Ursprünglichen Datum, der Uhrzeit und dem Domänencontroller für das isDeleted Attribut. Informationen für das isDeleted Attribut werden beispielsweise in der fünften Zeile der folgenden Beispielausgabe angezeigt:

Loc.USN	Ursprungs-DC	Org.USN	Org.Time/Date	Ver	Attribut
134759	Default-First-Site-Name\NA-DC1	134759	DateTime	1	Objectclass
134760	Default-First-Site-Name\NA-DC1	134760	DateTime	2	Organisationseinheit
134759	Default-First-Site-Name\NA-DC1	134759	DateTime	1	instanceType
134759	Default-First-Site-Name\NA-DC1	134759	DateTime	1	whenCreated
134760	Default-First-Site-Name\NA-DC1	134760	DateTime	1	isDeleted
134759	Default-First-Site-Name\NA-DC1	134759	DateTime	1	Ntsecuritydescriptor
134760	Default-First-Site-Name\NA-DC1	134760	DateTime	2	name
134760	Default-First-Site-Name\NA-DC1	134760	DateTime	1	lastKnownParent
134760	Default-First-Site-Name\NA-DC1	134760	DateTime	2	objectCategory

Wenn der Name des ursprünglichen Domänencontrollers als alphanumerische GUID mit 32 Zeichen angezeigt wird, verwenden Sie den Befehl Ping, um die GUID in die IP-Adresse und den Namen des Domänencontrollers aufzulösen, der den Löschvorgang ausgelöst hat. Der Ping-Befehl verwendet die folgende Syntax:
```
ping -a <originating DC GUID>._msdomain controllers.<fully qualified path for forest root domain>
```
Hinweis

Bei der Option -a wird die Groß-/Kleinschreibung beachtet. Verwenden Sie den vollqualifizierten Domänennamen der Stammdomäne der Gesamtstruktur, unabhängig von der Domäne, in der sich der ursprüngliche Domänencontroller befindet.

Wenn sich der ursprüngliche Domänencontroller beispielsweise in einer beliebigen Domäne in der Contoso.com Gesamtstruktur befindet und die GUID 644eb7e7-1566-4f29-a778-4b487637564b aufweist, führen Sie den folgenden Befehl aus:
```
ping -a 644eb7e7-1566-4f29-a778-4b487637564b._msdomain controllers.contoso.com
```
Die von diesem Befehl zurückgegebene Ausgabe ähnelt der folgenden:
```
Pinging na-dc1.contoso.com [65.53.65.101] with 32 bytes of data:

Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
```

So minimieren Sie die Auswirkungen von Massenlöschungen in Zukunft

Die Schlüssel zum Minimieren der Auswirkungen des Massenlöschens von Benutzern, Computern und Sicherheitsgruppen sind:

Stellen Sie sicher, dass Sie über aktuelle Systemstatussicherungen verfügen.
Steuern Sie den Zugriff auf privilegierte Benutzerkonten eng.
Steuern Sie genau, was diese Konten tun können.
Üben Sie die Wiederherstellung nach Massenlöschungen.

Systemstatusänderungen treten jeden Tag auf. Diese Änderungen können Folgendes umfassen:

Kennwortzurücksetzungen für Benutzerkonten und Computerkonten
Änderungen an der Gruppenmitgliedschaft
Andere Attributänderungen für Benutzerkonten, Computerkonten und Sicherheitsgruppen.

Wenn Ihre Hardware oder Software ausfällt oder ihr Standort zu einem weiteren Notfall kommt, sollten Sie die Sicherungen wiederherstellen, die nach jeder wichtigen Gruppe von Änderungen in jeder Active Directory-Domäne und jedem Standort in der Gesamtstruktur vorgenommen wurden. Wenn Sie keine aktuellen Sicherungen verwalten, gehen möglicherweise Daten verloren oder müssen wiederhergestellte Objekte zurückgesetzt werden.

Microsoft empfiehlt, die folgenden Schritte auszuführen, um Massenlöschungen zu verhindern:

Geben Sie das Kennwort für die integrierten Administratorkonten nicht frei, und lassen Sie die Freigabe gängiger Administratorbenutzerkonten nicht zu. Wenn das Kennwort für das integrierte Administratorkonto bekannt ist, ändern Sie das Kennwort, und definieren Sie einen internen Prozess, der von der Verwendung abhält. Überwachungsereignisse für freigegebene Benutzerkonten machen es unmöglich, die Identität des Benutzers zu ermitteln, der Änderungen in Active Directory vornimmt. Daher muss von der Verwendung gemeinsam genutzter Benutzerkonten abgeraten werden.
Es kommt selten vor, dass Benutzerkonten, Computerkonten und Sicherheitsgruppen absichtlich gelöscht werden. Dies gilt insbesondere für Baumlöschungen. Heben Sie die Zuordnung von Dienst- und delegierten Administratoren zum Löschen dieser Objekte von der Möglichkeit auf, Benutzerkonten, Computerkonten, Sicherheitsgruppen, Organisationseinheitscontainer und deren Attribute zu erstellen und zu verwalten. Gewähren Sie nur den privilegiertesten Benutzerkonten oder Sicherheitsgruppen das Recht, Baumlöschungen durchzuführen. Zu diesen privilegierten Benutzerkonten können Unternehmensadministratoren gehören.
Gewähren Sie delegierten Administratoren nur Zugriff auf die Objektklasse, die diese Administratoren verwalten dürfen. Beispielsweise besteht die primäre Aufgabe eines Helpdeskadministrators darin, Eigenschaften für Benutzerkonten zu ändern. Er hat keine Berechtigungen zum Erstellen und Löschen von Computerkonten, Sicherheitsgruppen oder Organisationseinheitencontainern. Diese Einschränkung gilt auch für Löschberechtigungen für Administratoren anderer spezifischer Objektklassen.
Experimentieren Sie mit Überwachungseinstellungen, um Löschvorgänge in einer Labdomäne nachzuverfolgen. Nachdem Sie mit den Ergebnissen vertraut sind, wenden Sie Ihre beste Lösung auf die Produktionsdomäne an.
Umfassende Zugriffssteuerungs- und Überwachungsänderungen an Containern, die Zehntausende von Objekten hosten, können dazu führen, dass die Active Directory-Datenbank erheblich wächst, insbesondere in Windows 2000-Domänen. Verwenden Sie eine Testdomäne, die die Produktionsdomäne spiegelt, um potenzielle Änderungen an freiem Speicherplatz auszuwerten. Überprüfen Sie die Festplattenvolumes, auf denen die Ntds.dit-Dateien gehostet werden, und die Protokolldateien von Domänencontrollern in der Produktionsdomäne auf freien Speicherplatz. Vermeiden Sie das Festlegen der Zugriffssteuerung und Überwachen von Änderungen am Domänencontrollerhaupt. Das Vornehmen dieser Änderungen würde unnötigerweise für alle Objekte aller Klassen in allen Containern in der Partition gelten. Vermeiden Sie beispielsweise Änderungen an der Registrierung von DNS-Einträgen (Domain Name System) und Distributed Link Tracking (DLT) im Ordner CN=SYSTEM der Domänenpartition.
Verwenden Sie die bewährte Organisationseinheitsstruktur, um Benutzerkonten, Computerkonten, Sicherheitsgruppen und Dienstkonten in ihrer eigenen Organisationseinheit zu trennen. Wenn Sie diese Struktur verwenden, können Sie DACLs (Discretionary Access Control Lists) auf Objekte einer einzelnen Klasse für die delegierte Verwaltung anwenden. Und Sie ermöglichen die Wiederherstellung von Objekten entsprechend der Objektklasse, wenn sie wiederhergestellt werden müssen. Die bewährte Organisationseinheitsstruktur wird im Abschnitt Erstellen eines Organisationseinheitsentwurfs des folgenden Artikels erläutert:
Best Practice Active Directory-Entwurf für die Verwaltung von Windows-Netzwerken
Testen Sie Massenlöschungen in einer Labumgebung, die Ihre Produktionsdomäne widerspiegelt. Wählen Sie die für Sie sinnvolle Wiederherstellungsmethode aus, und passen Sie sie dann an Ihre organization an. Möglicherweise möchten Sie Folgendes identifizieren:
- Die Namen der Domänencontroller in jeder Domäne, die regelmäßig gesichert wird
- Speicherort von Sicherungsimages
  Idealerweise werden diese Images auf einer zusätzlichen Festplatte gespeichert, die lokal in einem globalen Katalog in jeder Domäne in der Gesamtstruktur gespeichert ist.
- An welche Mitglieder des Helpdesks organization sie sich wenden können
- Die beste Möglichkeit, diesen Kontakt zu erstellen
Die meisten Massenlöschungen von Benutzerkonten, Computerkonten und Sicherheitsgruppen, die Microsoft als versehentlich betrachtet. Besprechen Sie dieses Szenario mit Ihren IT-Mitarbeitern, und entwickeln Sie einen internen Aktionsplan. Konzentrieren Sie sich auf die Früherkennung. Und geben Sie so schnell wie möglich Funktionen an Ihre Domänenbenutzer und Ihr Unternehmen zurück. Sie können auch Maßnahmen ergreifen, um versehentliche Massenlöschungen zu verhindern, indem Sie die Zugriffssteuerungslisten (Access Control Lists, ACLs) von Organisationseinheiten bearbeiten.

Weitere Informationen zur Verwendung von Windows-Schnittstellentools zum Verhindern versehentlicher Massenlöschungen finden Sie unter Schutz vor versehentlichen Massenlöschungen in Active Directory.

Tools und Skripts, die Ihnen bei der Wiederherstellung nach Massenlöschungen helfen können

Das Groupadd.exe Befehlszeilen-Hilfsprogramm liest das memberOf Attribut für eine Sammlung von Benutzern in einer Organisationseinheit und erstellt eine LDF-Datei, die jedes wiederhergestellte Benutzerkonto den Sicherheitsgruppen in jeder Domäne in der Gesamtstruktur hinzufügt.

Groupadd.exe ermittelt automatisch die Domänen und Sicherheitsgruppen, in denen gelöschte Benutzer Mitglieder waren, und fügt sie diesen Gruppen wieder hinzu. Dieser Prozess wird in Schritt 11 von Methode 1 ausführlicher erläutert.

Groupadd.exe wird auf Domänencontrollern unter Windows Server 2003 und höher ausgeführt.

Groupadd.exe verwendet die folgende Syntax:

groupadd / after_restore ldf_file [/ before_restore ldf_file ]

Hier stellt den Namen der LDF-Datei dar, ldf_file die mit dem vorherigen Argument verwendet werden soll, after_restore stellt die Datenquelle der Benutzerdatei dar und before_restore stellt die Benutzerdaten aus der Produktionsumgebung dar. (Die Datenquelle der Benutzerdatei ist die gute Benutzerdaten.)

Wenden Sie sich an den Microsoft-Produktsupport, um Groupadd.exe zu erhalten.

Die in diesem Artikel genannten Drittanbieterprodukte stammen von Herstellern, die von Microsoft unabhängig sind. Microsoft gewährt keine implizite oder sonstige Garantie in Bezug auf die Leistung oder Zuverlässigkeit dieser Produkte.

References

Weitere Informationen zur Verwendung des AD-Papierkorbfeatures in Windows Server 2008 R2 finden Sie unter Schrittweise Anleitung zum Active Directory-Papierkorb.

Wiederherstellen gelöschter Benutzerkonten und ihrer Gruppenmitgliedschaften in Active Directory

Einführung

Weitere Informationen

Methode 1: Wiederherstellen der gelöschten Benutzerkonten und anschließendes Hinzufügen der wiederhergestellten Benutzer zu ihren Gruppen mithilfe des Ntdsutil.exe-Befehlszeilentools

Methode 2: Wiederherstellen der gelöschten Benutzerkonten und anschließendes Hinzufügen der wiederhergestellten Benutzer zu ihren Gruppen

Methode 3: Zwei Mal autoritatives Wiederherstellen der gelöschten Benutzer und der Sicherheitsgruppen der gelöschten Benutzer

Wiederherstellen gelöschter Benutzer auf einem Domänencontroller, wenn Sie nicht über eine gültige Systemstatussicherung verfügen

Manuelles Wiederherstellen von Objekten im Container eines gelöschten Objekts

So bestimmen Sie, wann und wo ein Löschvorgang erfolgt ist

So minimieren Sie die Auswirkungen von Massenlöschungen in Zukunft

Tools und Skripts, die Ihnen bei der Wiederherstellung nach Massenlöschungen helfen können

References

Feedback

Feedback

Zusätzliche Ressourcen