AD-RecycleBin / AD-Tombstone
Dieser Artikel ist aus dem Grund entstanden, dass ich bei vielen Kundenterminen zum Thema “AD-Security” und “AD-Upgrade” (= Forest-/Domain-Level – Upgrade) unweigerlich auf die Funktion “AD-Papierkorb” (engl. “AD-RecycleBin”) angesprochen werde. Beim ersten Mal, als ich mich selbst damit genauer beschäftigt habe, bin ich auf diese Beschreibung gestoßen, welche ich auch aufgrund der Grafiken als sehr gut einstufe: From the Field: The Case of the Unreanimatable Tombstone Objects – The things that are better left unspoken .
Daher wird sich mein Artikel daran orientieren und das AD-Feature auf deutsch beschreiben – also los geht’s …
Die Ausgangslage / Das Problem
Ein Objekt (bspw. ein Benutzeraccount oder ein Computerkonto) wurde versehentlich gelöscht. Es gibt zwar die Möglichkeit mit diversen Drittanbieter-Tools solche Objekte wiederherzustellen, bei größeren Organisationen liegt die Backupverantwortlichkeit gerne auch mal in einem anderen Team. Je nach Uhrzeit kann es dann auch durchaus mal dauern, bis vom Backup-Team jemand erreicht; zumal man nicht unbedingt die Kollegen nachts um 2 Uhr aus’m Bett klingeln möchte, nur weil man einen Service-Account gelöscht hat.
Wie funktioniert der AD-RecycleBin?
Hierzu schauen wir uns an, wie es sich mit gelöschten AD-Objekten verhält, wenn das Feature nicht aktiviert ist – und dann mit aktiviertem Feature.
Ohne AD-RecycleBin
In einer Umgebung ohne aktivierten Active Directory-Papierkorb wird ein gelöschtes Objekt für die Dauer der Tombstone-Lebensdauer als Tombstone markiert. Dadurch wird sichergestellt, dass Domänencontroller die Möglichkeit haben, diese Änderung zu replizieren. Im Rahmen des Tombstoning-Prozesses werden alle Link- und Nicht-Link-Attribute des Objekts entfernt, sodass es nicht mehr als Gruppenmitglied usw. angezeigt wird. Nach Ablauf der Tombstone-Lebensdauer löscht der lokal ausgeführte Garbage Collection-Prozess das Tombstone-Objekt auf jedem Domänencontroller separat aus der Datenbank.
Dieser Vorgang hier grafisch dargestellt:
Mit AD-RecycleBin
Nachdem die Active Directory-Papierkorbfunktion aktiviert wurde, ändert sich der Löschvorgang für Objekte erheblich, wie die untere Abbildung zeigt:
- Eine “gelöschte Lebensdauer” wurde eingeführt
Nachdem der Active Directory-Papierkorb aktiviert wurde, behält das System beim Löschen eines Objekts alle Link- und Nicht-Link-Attribute des Objekts bei, und das Objekt wird logisch gelöscht, was einen neuen Status darstellt. Ein gelöschtes Objekt wird in den Container „Deleted Objects“ verschoben, und sein definierter Name wird verändert. Ein gelöschtes Objekt verbleibt während seiner gesamten Lebensdauer im logisch gelöschten Zustand im Container „Deleted Objects“. Innerhalb der Lebensdauer des gelöschten Objekts können Sie ein gelöschtes Objekt mit dem Active Directory-Papierkorb wiederherstellen und es wieder in ein aktives Active Directory-Objekt umwandeln. Innerhalb der Lebensdauer des gelöschten Objekts können Sie ein gelöschtes Objekt auch durch eine autoritative Wiederherstellung wiederherstellen. - Die Tombstone-Lebensdauer wurde durch eine recycelte Lebensdauer ersetzt
Nach Ablauf der Lebensdauer des gelöschten Objekts wird das logisch gelöschte Objekt in ein “recylced“-Objekt umgewandelt und die meisten seiner Attribute werden entfernt. Nach Ablauf der Lebensdauer des “recycled”-Objekts wird das “recycled”-Active Directory-Objekt durch den Garbage Collection-Prozess physisch aus der Datenbank gelöscht.
AD-RecycleBin aktivieren
Der AD-RecycleBin ist ab Forest-/Domain-Level 2008 R2 verfügbar, muss aber manuell aktiviert werden. Häufig habe ich bei Kunden gesehen, dass dieser Schritt vergessen wurde.
Das Aktivieren kann über folgende Wege durchgeführt werden:
- per GUI: im AD-Admincenter
- per PowerShell
Beide Verfahren sind unumkehrbar – d.h. einmal aktiviert, kann dieses Feature nicht wieder deaktiviert werden.
per GUI
Hierfür wird das sog. “AD-Admincenter” (voller Name ist “Active Directory Administrative Center”) geöffnet und dort links auf den Namen der ADDS gehen (in meinem Fall “TEST.local”). Dann rechts bei “Tasks” auf den Link “Enable Recycle Bin …”.
Die Abfrage, ob man sich sicher ist, mit einem Klick auf den Button [OK] bestätigen. Es folgt eine Bestätigung, welche mit einem Klick auf den Button [OK] zur Kenntnis genommen werden kann. Der Link “Enable Recycle Bin” ist dann ausgegraut und deaktiviert.
per PowerShell
Die PowerShell wird administrativ geöffnet. Dann kann erstmal geprüft werden, ob
- das notwendige Forestlevel (Windows Server 2008 R2) läuft
- das Feature bereits aktiviert wurde oder nicht
Das AD-RecycleBin kann mit folgendem Befehl aktiviert werden:
Enable-ADOptionalFeature -Identity <ADOptionalFeature> -Scope <ADOptionalFeatureScope> -Target <ADEntity>In meinem Fall ist das also:
Enable-ADOptionalFeature -Identity 'CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=TEST,DC=adloc' -Scope ForestOrConfigurationSet -Target TEST.adlocDie Abfrage, ob man es wirklich aktivieren möchte, wird mit [Y] oder [A] bestägtigt, anschließend kann geprüft werden, ob die Aktivierung erfolgreich war.
This is a great article, i am simply a fun, keep up the good work, just finish reading – and your work is fantastic. i will be checking your content again if you make next update or post. Thank you