none
AD-Gruppe "DnsUpdateProxy" gelöscht - Wie Standardgruppen wiederherstellen RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    in unserer Domäne wurde vor einiger Zeit versehentlich die Standard-Sicherheitsgruppe "DnsUpdateProxy" gelöscht.

    Zu diesem Zeitpunkt gab es hier noch keinen AD-Papierkorb und eine Reanimation der Gruppe ist leider nicht möglich.

    Wenn ich manuell eine neue Gruppe im Ordner "Users" anlege, bekommt diese natürlich eine neue/andere GUID und SID.

    Gibt es eine Lösung, speziell diese Standardgruppe neu einzurichten? In der DHCP-Konfiguration konnte ich nirgends eine entsprechende Einstellung finden.

    Danke!

    Montag, 25. März 2019 12:30
    |

Antworten

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Hallo computerfan3,

    welche Version wird auf dem Server ausgeführt?

    Sehen Sie sich die folgenden Artikel an, hoffentlich wird es auch in Ihrem Fall hilfreich sein:

    A Step-By-Step Guide to Restore Deleted Objects in Active Directory

    Security Groups were deleted accidentally

    Active Directory group backup and recovery tool

    Gruß

    Mihaela

    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Dienstag, 26. März 2019 11:26
    |
    Moderator
  • Question
    Anmelden
    2
    Anmelden

    Moin,

    wenn Mihaelas Ideen dich nicht weiter bringen, wäre noch die Möglichkeit eine Test Umgebung aufzusetzen und die Berechtigungen nach zuschauen. Die Gefahr ist das du etwas Übersiehst. Die andere Gefahr ist das Microsoft im Fehlerfall den Support verweigert. Eventuell könntet ihr auch bei dem Problem mal den Support anfragen. 

    Wenn ich die Recherche machen müsste, würde ich auf jeden Fall die folgenden Dinge prüfen:

    • Berechtigungen im Active Directory (Alle Partitionen und Object-Klassen)
    • Volltextsuche in den anderen Partitionen des AD (Z.B. Configuration)
    • Lokale Sicherheitsrichtlinie auf einem DC und DHCP nach dem einrichten des DHCP mit der DNSUpdateProxy Gruppe (Vielleicht kommen noch Sicherheitsoptionen)

    Vielleicht hilft die das weiter. Aber alles ohne Gewähr das es hilft.

    Viele Grüße
    Fabian Niesen
    ---
    Infrastrukturhelden.de
    LinkedIn - Xing - Twitter
    #Iwork4Dell - Opinions and Posts are my own

    Mittwoch, 27. März 2019 06:40
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    vielen Dank schon mal für die Antworten!

    bei den Domänencontrollern handelt es sich um zwei Server 2012 R2 und einen Server 2016 Standard.

    Diese Gruppe wird bei uns derzeit nicht verwendet, weil wir die DHCP-Server auf den Domänencontrollern betreibern. 

    In den lokalen Sicherheitsrichtlinien war die Gruppe nicht hinterlegt.

    Mit der Volltextsuche bin ich leider auch nicht zum Ziel gekommen. Über cmd/ldifde habe ich einen Export vom AD gemacht (auch inkl. cn=Configuration), aber die SID bzw. GUID oder der Name (Base64 kodiert) kam nirgends vor, außer in der Definition der Sicherheitsgruppe selbst.

    Ebenso war es mit dem Tool Ldp.exe.

    Hast du einen Tipp für mich, wie ich die Referenzen auf die Gruppe finden kann?

    Dienstag, 2. April 2019 10:37
    |
  • Question
    Anmelden
    2
    Anmelden

    Moin,

    ich durfte das schon ein paarmal untersuchen, aber jedesmal nicht bis in die letzte Tiefe. Meine Findings waren genau so wie Deine, woraus ich gern schlussfolgern möchte, dass die Gruppe irgendwo in den Tiefen des DHCP-Prozesses hart kodiert ist. Die Frage wäre also nur: Ist sie als Name hart kodiert (dann könntest Du sie einfach neu anlegen) oder als RID (dann hast Du verloren)?

    Ich würde sagen: Probieren geht über Studieren, und wenn das Neuanlegen nicht zum Erfolg führt, musst Du das zukünftige DHCP-Konzept überdenken oder zu dreckigen Mitteln greifen (DC offline und die Gruppe mit der "richtigen" RID in die NTDS.DIT injizieren).

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Dienstag, 2. April 2019 10:57
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    alles klar, dann muss ich wohl auf die Zuordnung über den Namen hoffen.

    Habe mir zum Test eine ntds.dit Datei vor ca. 12 Wochen aus der Sicherung geholt. Diese als Snapshot über dsamain gemountet und über separaten ldap-Port angesprochen.

    Hier ist die gelöschte Gruppe mit allen Informationen vorhanden, aber ich habe keine Möglichkeit gefunden, diese ins produktive AD zurück zu kopieren.

    Im AD befindet sich die Gruppe noch im Bereich CN=Deleted Objects" mit den Attributen isDeleted UND isRecycled = TRUE. Der AD-Papierkorb wurde erst aktiviert, nachdem die Gruppe gelöscht wurde..

    Dienstag, 2. April 2019 12:33
    |
  • Question
    Anmelden
    3
    Anmelden

    Dann schau doch mal nach zum Thema Autorisierende Wiederherstellung des AD. Damit kannst du die eine Gruppe wieder aus dem Backup einspielen. Meistens ist nur kein Backup vorhanden, oder es älter als die Tumbstone Lifetime.

    Schau mal hier: https://support.microsoft.com/de-de/help/840001/how-to-restore-deleted-user-accounts-and-their-group-memberships-in-ac

    Viele Grüße
    Fabian Niesen
    ---
    Infrastrukturhelden.de
    LinkedIn - Xing - Twitter
    #Iwork4Dell - Opinions and Posts are my own

    Dienstag, 2. April 2019 17:10
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    kann die alte ntds.dit Datei für diese Art der Wiederherstellung verwendet werden?

    Oder muss ich einen der drei DCs (virtuelle Maschinen) auf den alten Stand setzen und im Wiederherstellungsmodus booten?

    So eine Wiederherstellung im AD habe ich noch nie gemacht, deshalb kann ich die Möglichkeiten leider nicht richtig einordnen.

    Danke!

    Donnerstag, 4. April 2019 08:45
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    Hier ist eigentlich eine Schritt-für-Schritt Anleitung auf deutsch enthalten. Einfach mal lesen und dann umsetzen ;)

    Schau mal hier: https://support.microsoft.com/de-de/help/840001/how-to-restore-deleted-user-accounts-and-their-group-memberships-in-ac


    Viele Grüße
    Fabian Niesen
    ---
    Infrastrukturhelden.de
    LinkedIn - Xing - Twitter
    #Iwork4Dell - Opinions and Posts are my own

    Donnerstag, 4. April 2019 19:16
    |
  • Question
    Anmelden
    1
    Anmelden

    Moin,

    ich habe die Wiederherstellung über Methode 2 durchgeführt.

    War eigentlich ganz problemlos und die Gruppe ist jetzt wieder da!

    Vielen Dank nochmal :)

    Freitag, 5. April 2019 10:08
    |