none
AD-User aus vorab ersteller .xml wiederherstellen RRS feed

  • Frage

  • Hallo Leute,

    ich habe noch eine zweite Frage für den heutigen Tag.

    Ist es möglich mit folgender erstellten .xml

    # Read AD object & Export .xml
    Get-QADUser -IncludeAllProperties -SerializeValues -Identity $i.Name | Export-Clixml "$ArchivPath\$usrPathName.xml"

    den gelöschten AD-User Account per PS vollständig inkl. der SID und aller Account Attribute wieder herzustellen?

    VG
    Thomas


    • Bearbeitet Digiflex Freitag, 8. Juni 2012 09:30
    Freitag, 8. Juni 2012 09:29

Antworten

  • Hallo Thomas,

    das geht leider nicht. Einige Attribute sind "System protected". Die kannst Du leider nicht beschreiben. Das ist z.B die SID. Wenn das nicht so wäre, dann könnte jeder mit Schreibrechten sich eine beliebige SID an den Account hängen und dadurch auch z.B. Zugriff auf Dateien erlangen, auf die er sonst keinen Zugriff hat. Wenn es Dir nur um das Wiederherstellen von gelöschten Objekten geht, dann gibt es andere Möglichkeiten. Wenn Du ein 2008R2 basiertes Netz einsetzt, dann könntest Du auf den AD-Papierkorb zurückgreifen. Wenn es 2003 basiert ist, dann geht das über "adrestore" oder per Hand mit der LDP.exe.

    Viele Grüße

    Frank


    -- Frank Röder http://blog.iteach-online.de --

    • Als Antwort vorgeschlagen Peter Kriegel Montag, 11. Juni 2012 05:59
    • Als Antwort markiert Alex Pitulice Freitag, 15. Juni 2012 07:19
    Freitag, 8. Juni 2012 16:26
  • Frank hat vollkommen recht!
    Erschwerend kommt hinzu, daß das AD für jedes Objekt eine GUID erzeugt und das Objekt daran eindeutig wiedererkennt.
    Wenn man ein Objekt löscht ist die GUID auch weg, und das neue Objekt ist dann eben ein anderes Objekt und wird nie an den Platz des alten Objektes treten!


    Please click “Mark as Answer” if my post answers your question and click Vote as Help if my Post helps you.
    Bitte markiere hilfreiche Beiträge von mir als Hilfreich und Beiträge die deine Frage ganz oder teilweise beantwortet haben als Antwort.
    My PowerShell Blog http://www.admin-source.info
    [string](0..21|%{[char][int]([int]("{0:d}" -f 0x28)+('755964655967-86965747271757624-8796158066061').substring(($_*2),2))})-replace' '

    • Als Antwort vorgeschlagen Alex Pitulice Mittwoch, 13. Juni 2012 11:48
    • Als Antwort markiert Alex Pitulice Freitag, 15. Juni 2012 07:19
    Montag, 11. Juni 2012 05:59
  • Sollte gehen, wenn der User nur über seine Gruppen berechtigt wurde !
    Wenn der User mit seiner SID irgenwo direkt berechtigt wurde, müssen diese berechtigungen "per Hand" wieder eingerichtet werden. Besser wärs dann die User nur zu deaktivieren und in eine seperate OU zu schieben!!!!!!!!! (Die AD Datenbank ist gross genug ;-))

    Die rechte "blind" aus der XML zu übernehmen finde ich auch riskant!
    Hier wäre es eventuell auch besser, von einem vorhanden Aktiven User, die rechte zu "clonen".
    Dadurch werden Gruppen die in den 2 Jahren abwesenheit hinzugekommen / weggefallen sind, ebenfalls berücksichtigt.


    Please click “Mark as Answer” if my post answers your question and click Vote as Help if my Post helps you.
    Bitte markiere hilfreiche Beiträge von mir als Hilfreich und Beiträge die deine Frage ganz oder teilweise beantwortet haben als Antwort.
    My PowerShell Blog http://www.admin-source.info
    [string](0..21|%{[char][int]([int]("{0:d}" -f 0x28)+('755964655967-86965747271757624-8796158066061').substring(($_*2),2))})-replace' '



    Montag, 11. Juni 2012 12:27
  • Hallo Digiflex,

    ohne das getestet zu haben, aber die Gruppenmitgliedschaften könnten auch ein Problem werden. Das sind sogenannte Backlinks. Die Gruppenmitgliedschaft hängt nich am User sondern nur die Gruppe "weiß" welche Mitglieder sie hat. Deshalb vermute ich einmal, dass es auch gegen den Baum gehen wird.

    Wie Peter schon geschrieben hat: Der einzige gangbare Weg ist das Deaktivieren des Benutzers. Dem AD macht es eigentlich nichts, da es theoretisch bis zu einer Datenbankgröße von 16TB arbeiten kann.

    Viele Grüße

    Frank 


    -- Frank Röder http://blog.iteach-online.de --

    • Als Antwort markiert Alex Pitulice Freitag, 15. Juni 2012 07:19
    • Tag als Antwort aufgehoben Digiflex Freitag, 15. Juni 2012 08:24
    • Als Antwort markiert Digiflex Freitag, 15. Juni 2012 08:24
    Montag, 11. Juni 2012 15:47

Alle Antworten

  • Hallo,

    sollte eig. Möglich sein, zumindest funktioniert es mit .csv Files:

    siehe Beispiel 11:

    http://wiki.powergui.org/index.php/Get-QADUser

    MfG

    Freitag, 8. Juni 2012 10:53
  • Danke erstmal für die Info, ich werde es am Montag mal testen und mich wieder melden! ;)

    schönes WE!

    VG
    THomas

    Freitag, 8. Juni 2012 14:41
  • Hallo Thomas,

    das geht leider nicht. Einige Attribute sind "System protected". Die kannst Du leider nicht beschreiben. Das ist z.B die SID. Wenn das nicht so wäre, dann könnte jeder mit Schreibrechten sich eine beliebige SID an den Account hängen und dadurch auch z.B. Zugriff auf Dateien erlangen, auf die er sonst keinen Zugriff hat. Wenn es Dir nur um das Wiederherstellen von gelöschten Objekten geht, dann gibt es andere Möglichkeiten. Wenn Du ein 2008R2 basiertes Netz einsetzt, dann könntest Du auf den AD-Papierkorb zurückgreifen. Wenn es 2003 basiert ist, dann geht das über "adrestore" oder per Hand mit der LDP.exe.

    Viele Grüße

    Frank


    -- Frank Röder http://blog.iteach-online.de --

    • Als Antwort vorgeschlagen Peter Kriegel Montag, 11. Juni 2012 05:59
    • Als Antwort markiert Alex Pitulice Freitag, 15. Juni 2012 07:19
    Freitag, 8. Juni 2012 16:26
  • Frank hat vollkommen recht!
    Erschwerend kommt hinzu, daß das AD für jedes Objekt eine GUID erzeugt und das Objekt daran eindeutig wiedererkennt.
    Wenn man ein Objekt löscht ist die GUID auch weg, und das neue Objekt ist dann eben ein anderes Objekt und wird nie an den Platz des alten Objektes treten!


    Please click “Mark as Answer” if my post answers your question and click Vote as Help if my Post helps you.
    Bitte markiere hilfreiche Beiträge von mir als Hilfreich und Beiträge die deine Frage ganz oder teilweise beantwortet haben als Antwort.
    My PowerShell Blog http://www.admin-source.info
    [string](0..21|%{[char][int]([int]("{0:d}" -f 0x28)+('755964655967-86965747271757624-8796158066061').substring(($_*2),2))})-replace' '

    • Als Antwort vorgeschlagen Alex Pitulice Mittwoch, 13. Juni 2012 11:48
    • Als Antwort markiert Alex Pitulice Freitag, 15. Juni 2012 07:19
    Montag, 11. Juni 2012 05:59
  • Hallo zusammen, danke für die zahlreichen Antworten.. Sowas hatte ich mir schon gedacht vorallem wegen der SID. Um so verwundert war ich das es so einfach funktionieren soll/kann.

    Doch AD-Papierkorb hält doch die gelöschten Objekte nur ein gewissen Zeitraum zurück. Das wiederherstellen in meinem Fall sollte dazu dienen. Falls ein User austritt und nach ca. 1-2Jahren wieder in die selbe Position und gleicher Berechtigung wieder eintritt. Leider gibt es solche szenarios recht oft daher zieh ich jetzt bei jeder Userarchivierung nun diese xml ab in der Hoffnung man kann einer leeren Useraccount Hülle diese Informationen wieder reinpumpen.

    Ok, SID usw funzt nicht wie sieht es denn mit den anderen Attributen aus? company, mail, name, scriptpath, meberships (memberof) usw.. ?

    Ist dies möglich an Hand dieser .xml wieder reinzubringen?

    VG
    Thomas

    Montag, 11. Juni 2012 07:13
  • Sollte gehen, wenn der User nur über seine Gruppen berechtigt wurde !
    Wenn der User mit seiner SID irgenwo direkt berechtigt wurde, müssen diese berechtigungen "per Hand" wieder eingerichtet werden. Besser wärs dann die User nur zu deaktivieren und in eine seperate OU zu schieben!!!!!!!!! (Die AD Datenbank ist gross genug ;-))

    Die rechte "blind" aus der XML zu übernehmen finde ich auch riskant!
    Hier wäre es eventuell auch besser, von einem vorhanden Aktiven User, die rechte zu "clonen".
    Dadurch werden Gruppen die in den 2 Jahren abwesenheit hinzugekommen / weggefallen sind, ebenfalls berücksichtigt.


    Please click “Mark as Answer” if my post answers your question and click Vote as Help if my Post helps you.
    Bitte markiere hilfreiche Beiträge von mir als Hilfreich und Beiträge die deine Frage ganz oder teilweise beantwortet haben als Antwort.
    My PowerShell Blog http://www.admin-source.info
    [string](0..21|%{[char][int]([int]("{0:d}" -f 0x28)+('755964655967-86965747271757624-8796158066061').substring(($_*2),2))})-replace' '



    Montag, 11. Juni 2012 12:27
  • Hallo Digiflex,

    ohne das getestet zu haben, aber die Gruppenmitgliedschaften könnten auch ein Problem werden. Das sind sogenannte Backlinks. Die Gruppenmitgliedschaft hängt nich am User sondern nur die Gruppe "weiß" welche Mitglieder sie hat. Deshalb vermute ich einmal, dass es auch gegen den Baum gehen wird.

    Wie Peter schon geschrieben hat: Der einzige gangbare Weg ist das Deaktivieren des Benutzers. Dem AD macht es eigentlich nichts, da es theoretisch bis zu einer Datenbankgröße von 16TB arbeiten kann.

    Viele Grüße

    Frank 


    -- Frank Röder http://blog.iteach-online.de --

    • Als Antwort markiert Alex Pitulice Freitag, 15. Juni 2012 07:19
    • Tag als Antwort aufgehoben Digiflex Freitag, 15. Juni 2012 08:24
    • Als Antwort markiert Digiflex Freitag, 15. Juni 2012 08:24
    Montag, 11. Juni 2012 15:47
  • Hallo Thomas,

    Wir gehen davon aus, dass die Antworten Dir weitergeholfen haben.
    Wenn ja, wäre es hilfreich wenn Du diese Lösung bestätigen würdest, sodass andere Leute von derselben Situation profitieren können.
    Wenn nein, neue Rückfragen oder Ergänzungen zu diesem Thread bleiben weiterhin möglich.

    Danke und viele Grüße,
    Alex


    Alex Pitulice, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Freitag, 15. Juni 2012 07:20
  • Hallo Alex,

    sorry war ein paar Tage beruflich unterwegs..So wirklich ist dies für mich noch nicht geklärt. Fakt ist, das die SID darüber nicht wiederhergestellt werden kann. Doch wie kann ich den rest wieder in ein leeren Useraccount importieren?

    VG
    Thomas

    Freitag, 15. Juni 2012 08:24
  • wie gesagt das beste ist das deaktivieren! Was spricht dagegen? Das AD ist definitiv für sehr sehr sehr grosse Datenbanken geeignet!
    Alles andere wäre dann das selbe, als wenn du einen neuen User anlegst uns seine Attribute füllst!
    Was ist daran unklar?

    Please click “Mark as Answer” if my post answers your question and click Vote as Help if my Post helps you.
    Bitte markiere hilfreiche Beiträge von mir als Hilfreich und Beiträge die deine Frage ganz oder teilweise beantwortet haben als Antwort.
    My PowerShell Blog http://www.admin-source.info
    [string](0..21|%{[char][int]([int]("{0:d}" -f 0x28)+('755964655967-86965747271757624-8796158066061').substring(($_*2),2))})-replace' '

    Freitag, 15. Juni 2012 09:33
  • wie gesagt das beste ist das deaktivieren! Was spricht dagegen? Das AD ist definitiv für sehr sehr sehr grosse Datenbanken geeignet!
    Alles andere wäre dann das selbe, als wenn du einen neuen User anlegst uns seine Attribute füllst!
    Was ist daran unklar?

    Hallo Peter, ich habe das schon verstanden. Ich verstehe auch deine strategischen Argumente. Mich hätte einfach mal der technische Aspekt interessiert wie dies funktioniert. Not more..

    Aber kein Problem..war der Vermutung das sich jemand schonmal mit diesem Thema beschäftigt hat. Dennoch Danke für eure Antworten! :)

    Viele Grüße
    Thomas

    Montag, 18. Juni 2012 13:38