Wiederherstellen gelöschter Benutzerkonten in Microsoft 365, Azure und Intune
Ursprüngliche KB-Nummer: 2619308
Problembeschreibung
Ein Benutzerkonto, das versehentlich aus Microsoft 365, Microsoft Azure oder Microsoft Intune gelöscht wurde, muss wiederhergestellt werden.
Lösung
Vorbereitende Schritte
Wenn Benutzer aus der Microsoft Entra-ID gelöscht werden, werden sie in den Zustand "gelöscht" verschoben und werden nicht mehr in der Benutzerliste angezeigt. Sie werden jedoch nicht vollständig entfernt und können innerhalb von 30 Tagen wiederhergestellt werden.
Verwenden Sie Microsoft 365 und das Azure Active Directory-Modul für PowerShell wie folgt, um zu bestimmen, ob ein Benutzer berechtigt ist, nach dem Status "gelöscht" wiederhergestellt zu werden:
- Suchen Sie im Microsoft 365-Portal nach Benutzerkonten, die über das Portal gelöscht wurden. Gehen Sie dazu wie folgt vor:
- Melden Sie sich beim Microsoft 365-Portal (https://portal.office.com) mit Administratoranmeldeinformationen an.
- Wählen Sie Benutzer und dann Gelöschte Benutzer aus.
- Suchen Sie den Benutzer, den Sie wiederherstellen möchten.
- Führen Sie im Azure Active Directory-Modul für Windows PowerShell die folgenden Schritte aus:
- Wählen SieAlle Programme>starten>Windows Azure Active Directory>Windows Azure Active Directory-Modul für Windows PowerShell aus.
- Geben Sie die folgenden Befehle in der Reihenfolge ein, in der sie angezeigt werden, und drücken Sie nach jedem Befehl die EINGABETASTE:
$cred = get-credential
Hinweis
Wenn Sie dazu aufgefordert werden, geben Sie Ihre Microsoft 365-Anmeldeinformationen ein.
Connect-MSOLService -credential:$cred
Get-MsolUser -ReturnDeletedUsers
Hinweis
Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Update zu Einstellungen. Nach diesem Datum beschränkt sich der Support für diese Module auf Unterstützung bei der Migration zum Microsoft Graph PowerShell SDK und auf Sicherheitskorrekturen. Die veralteten Module werden noch bis zum 30. März 2025 zur Verfügung stehen.
Es wird empfohlen, zu Microsoft Graph PowerShell zu migrieren, um mit Microsoft Entra ID (früher Azure AD) zu interagieren. Allgemeine Fragen zur Migration finden Sie in den Häufig gestellten Fragen zur Migration. Hinweis: Bei den Versionen 1.0.x von MSOnline kann es nach dem 30. Juni 2024 zu Unterbrechungen kommen.
Lösung 1: Wiederherstellen manuell gelöschter Konten mithilfe des Microsoft 365-Portals oder des Azure Active Directory-Moduls
Verwenden Sie eine der folgenden Methoden, um ein manuell gelöschtes Benutzerkonto wiederherzustellen:
Verwenden Sie das Microsoft 365-Portal, um das Benutzerkonto wiederherzustellen. Weitere Informationen dazu finden Sie unter Wiederherstellen eines Benutzers.
Verwenden Sie das Azure Active Directory-Modul für Windows PowerShell, um das Benutzerkonto wiederherzustellen. Geben Sie dazu den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
Restore-MsolUser -ObjectId <Guid> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>
Wenn dieser Befehl nicht funktioniert, probieren Sie den folgenden Befehl aus:
Restore-MsolUser -UserPrincipalName <string> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>
Hinweis
In diesen Befehlen werden die folgenden Konventionen verwendet:
- Die
UserPrincipalName
Parameter undObjectID
identifizieren das wiederherzustellende Benutzerobjekt eindeutig. - Der
AutoReconcileProxyConflicts
Parameter ist optional und wird in Szenarien verwendet, in denen einem anderen Benutzerobjekt die Proxyadresse des Zielbenutzerobjekts gewährt wird, nachdem diese Adresse gelöscht wurde. - Der
NewUserPrincipalName
Parameter wird optional in Szenarien verwendet, in denen ein anderes Benutzerobjekt mithilfe des Benutzerprinzipalnamens (UPN) des Zielbenutzerobjekts gewährt wird, nachdem dieser UPN gelöscht wurde.
- Die
Lösung 2: Wiederherstellen gelöschter Konten, da Bereichsänderungen das lokale Active Directory-Benutzerobjekt ausschließen
Um gelöschte Benutzerkonten wiederherzustellen, stellen Sie sicher, dass die Filterung der Verzeichnissynchronisierung (Bereich) so festgelegt ist, dass der Bereich die Objekte enthält, die Sie wiederherstellen möchten.
Weitere Informationen finden Sie unter Microsoft Entra Connect-Synchronisierung: Konfigurieren der Filterung.
Lösung 3: Wiederherstellen gelöschter Konten, weil das lokale Benutzerobjekt aus dem lokalen Active Directory-Schema gelöscht wurde
Um ein Element wiederherzustellen, das aus dem lokalen Active Directory-Schema gelöscht wurde, probieren Sie die folgenden Methoden aus:
Versuchen Sie, das gelöschte Element aus dem Active Directory-Papierkorb wiederherzustellen. Informationen hierzu finden Sie in der Schritt-für-Schritt-Anleitung für den Active Directory-Papierkorb.
Hinweis
- Der Active Directory-Papierkorb ist nur mit der Funktionsebene von Windows 2008 R2 oder höheren Versionen verfügbar.
- Damit der Active Directory-Papierkorb bei der Wiederherstellung eines Elements nützlich ist, muss er aktiviert sein, bevor das Element gelöscht wird.
Wenn der Active Directory-Papierkorb nicht verfügbar ist oder sich das betreffende Objekt nicht mehr im Papierkorb befindet, versuchen Sie, das gelöschte Element mithilfe des AdRestore-Tools wiederherzustellen. Gehen Sie dazu wie folgt vor:
Installieren Sie das AdRestore-Tool .
Verwenden Sie AdRestore zusammen mit einem Suchfilter, um das gelöschte lokale Benutzerobjekt zu suchen. In den folgenden Beispielen wird eine UserA-Zeichenfolge verwendet, um nach übereinstimmenden Benutzernamen zu suchen.
Verwenden Sie AdRestore, um alle Benutzerobjekte aufzulisten, deren Name die Zeichenfolge "UserA" enthält:
C:\>adrestore.exe UserA AdRestore v1.1 by Mark Russinovich Sysinternals - www.sysinternals.com Enumerating domain deleted objects: cn: MailboxA DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f distinguishedName: CN=UserA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com lastKnownParent: OU=OnPremises,DC=Domain,DC=com Found 1 item matching search criteria.
Verwenden Sie AdRestore zusammen mit dem Schalter -r , um das Benutzerobjekt wiederherzustellen.
C:\>adrestore.exe Usera -r AdRestore v1.1 by Mark Russinovich Sysinternals - www.sysinternals.com Enumerating domain deleted objects: cn: UserA DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f distinguishedName: CN=MailboxA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com lastKnownParent: OU=OnPremises,DC=Domain,DC=com Do you want to restore this object (y/n)? y Restore succeeded. Found 1 item matching search criteria.
Aktivieren Sie das Benutzerobjekt in Active Directory. Wenn das Objekt wiederhergestellt wird, wird es zunächst deaktiviert. Daher müssen Sie es aktivieren. Es wird empfohlen, zuerst das Benutzerkennwort zurückzusetzen. Führen Sie die folgenden Schritte aus, um den Benutzer zu aktivieren:
Klicken Sie in Active Directory-Benutzer und -Computer mit der rechten Maustaste auf den Benutzer, und wählen Sie dann Kennwort zurücksetzen aus.
Geben Sie in den Feldern Neues Kennwort und Kennwort bestätigen ein neues Kennwort ein, und wählen Sie dann OK aus.
Klicken Sie mit der rechten Maustaste auf den Benutzer, wählen Sie Konto aktivieren und dann OK aus.
Sie erhalten die folgende Fehlermeldung (erwartet):
Windows kann das Objekt <MailboxName> nicht aktivieren, weil: Das Kennwort kann nicht aktualisiert werden. Der für das neue Kennwort angegebene Wert erfüllt nicht die Anforderungen an Länge, Komplexität oder Verlauf der Domäne.
Nachdem Sie diese Fehlermeldung erhalten haben, setzen Sie das Kennwort des Benutzers unter Active Directory-Benutzer und -Computer zurück.
Konfigurieren des Benutzeranmeldungsnamens
Der Benutzeranmeldungsname (auch als Benutzerprinzipalname oder UPN bezeichnet) wird nicht über das wiederhergestellte Benutzerobjekt festgelegt. Sie müssen den Anmeldenamen des Benutzers aktualisieren, insbesondere, wenn der Benutzer ein Verbundkonto ist.
Führen Sie die folgenden Schritte aus, um den Benutzeranmeldungsnamen zu konfigurieren:
- Klicken Sie in Active Directory-Benutzer und -Computer mit der rechten Maustaste auf den Benutzer, und wählen Sie dann Eigenschaften aus.
- Wählen Sie Konto aus, geben Sie einen Namen in das Feld Benutzeranmeldungsname ein, und wählen Sie dann OK aus.
Wenn Sie das gelöschte Benutzerkonto nicht über den Active Directory-Papierkorb oder mithilfe des AdRestore-Tools wiederherstellen können, führen Sie schließlich eine autoritative Wiederherstellung der gelöschten Benutzerobjekte in Active Directory aus.
Warnungen und Warnungen
Stellen Sie sicher, dass nur die Benutzerobjekte, die Sie wiederherstellen möchten, als autoritativ gekennzeichnet sind. Active Directory-Objekte, die im Wiederherstellungsprozess als autoritativ gekennzeichnet sind, können viele Active Directory-Dienstprobleme verursachen.
Weitere Informationen zum Ausführen einer autoritativen Wiederherstellung von Active Directory-Objekten finden Sie unter Ausführen einer autorisierenden Wiederherstellung von Active Directory-Objekten.
Nachdem Sie das Objekt mithilfe einer Methode der Auflösung 3 wiederhergestellt haben, werden möglicherweise nicht alle Dienstattribute (z. B. Exchange Online und Skype for Business Online) automatisch wiederhergestellt.
Für einen Benutzer, der früher in Exchange Online E-Mail aktiviert war, können Sie beispielsweise Windows PowerShell-Cmdlets verwenden, um die Exchange Online-Attribute erneut aufzufüllen.
Im folgenden Beispiel wird das User1-Objekt mithilfe von Exchange Online-Attributen für den contoso.onmicrosoft.com Mandanten neu aufgefüllt:
Enable-RemoteMailbox -Identity User1 -RemoteRoutingAddress user1@contoso.mail.onmicrosoft.com
Wenn die folgenden Bedingungen erfüllt sind, funktioniert Auflösung 3 nicht:
- Das Wiederherstellen des Objekts mithilfe des Active Directory-Papierkorbs ist keine verfügbare Option.
- Das Wiederherstellen des Objekts mit dem AdRestore-Tool ist keine verfügbare Option.
- Die autorisierende Active Directory-Wiederherstellung ist keine verfügbare Option.
Wenden Sie sich in diesem Fall an den Microsoft 365-Support, um Hilfe zu benötigen.
Weitere Informationen
Nach dem Löschen des Benutzers und vor der Wiederherstellung des Benutzers können die folgenden Ereignisse auftreten und Konflikte verursachen, die die Benutzererfahrung ändern können:
- Ein neuer Benutzer verfügt über einen eindeutigen Benutzer-ID-Wert, der dem gelöschten Benutzer zuvor zugewiesen wurde.
- Ein neuer Benutzer verfügt über einen eindeutigen E-Mail-Adresswert, der dem gelöschten Benutzer zuvor zugewiesen wurde.
Wenn diese Konflikte auftreten, müssen die in Konflikt stehenden Attribute aktualisiert werden, um den Konflikt zu entfernen, bevor die Benutzerwiederherstellung abgeschlossen werden kann. Wenn während der Benutzerwiederherstellung ein Konflikt auftritt, gibt Windows PowerShell eine der folgenden Fehlermeldungen zurück:
Fehler 1
Restore-MsolUser: Das angegebene Benutzerkonto kann aufgrund des folgenden Fehlers nicht wiederhergestellt werden: Fehlertyp UserPrincipalName
Fehler 2
Restore-MsolUser: Das angegebene Benutzerkonto kann aufgrund des folgenden Fehlers nicht wiederhergestellt werden: Fehlertyp proxyAddress
Um Benutzer in diesem Zustand wiederherzustellen, können Sie den Konflikt mithilfe der folgenden Parameter beheben, wenn Sie das Cmdlet Restore-MSOLUser ausführen:
AutoReconcileProxyConflicts
NewUserPrincipalName
Hinweis
Wenn Sie den AutoReconcileProxyConflicts
Parameter verwenden, werden alle in Konflikt stehenden E-Mail-Adressen vom gelöschten Benutzer entfernt, damit Sie den Wiederherstellungsvorgang fortsetzen können.
Im Microsoft 365-Portal werden die entsprechenden Fehlermeldungen in Form der zuvor erwähnten Windows PowerShell-Fehlerzustände angezeigt. Sie erhalten beispielsweise die folgende Meldung:
Benutzernamenkonflikt Der Benutzer, den Sie wiederherstellen möchten, hat denselben Benutzernamen.
Um Benutzer in diesem Zustand wiederherzustellen, füllen Sie die im Formular angeforderten Informationen aus.
Benötigen Sie weitere Hilfe? Besuchen Sie die Microsoft Community oder die Microsoft Entra Foren-Website.