Bonjour,
Tout d’abord vous pouvez récupérer le pdf de cette procédure Recycle Bin documentation
Description
Depuis Windows Serveur 2008R2 Microsoft a introduit la corbeille Active directory. Cette corbeille va nous permettre de restaurer un objet Active directory tout en conservant l’ensemble de ses attributs. Avant Windows Serveur 2008R2 nous pouvions restaurer un objet AD principalement pour récupérer son S.I.D mais nous ne pouvions récupérer tous les attributs sans passer par une restauration de notre Active Directory. Pour exemple si nous supprimions un utilisateur nous ne pouvions récupérer l’appartenance à ses groupes sans passer par une restauration de type autoritaire.
Avantages
- Récupération de tous les attributs des objets AD
- Améliorer la disponibilité des services AD DS car nous n’avons plus besoin de passer par les restaurations pour récupérer des objets.
- Console graphique intégré depuis Windows Serveur 2012
- Fonctionne pour ADDS et AD LDS
Prérequis
- Niveau fonctionnel de la forêt en 2008R2
- Activer la corbeille car celle-ci est désactivée par défaut.
Rappel
Par défaut lorsqu’un objet Active directory est supprimé il est tout simplement déplacé vers un conteneur du nom de « CN=Deleted Objects ». De plus, la valeur de son attribut de type booléen « isDeleted » passe à « true ». Cet objet supprimé restera dans ce conteneur durant 180 jours. Cette valeur est défini par l’attribut « msDS-deletedObjectLifetime» pour un objet supprimé et par l’attribut « Tombstone lifetime » pour un objet désactivé. Ces valeurs sont modifiables. Par défaut ces valeurs sont définies sur la valeur null ce qui signifie qu’elles utilisent la valeur de 180 jours par défaut.
Si la valeur « msDS-deletedObjectLifetime » est spécifié à null alors celle-ci utilise la valeur du « tombstone lifetime ». Mais si vous spécifier une valeur manuellement sur l’attribut « msDS-deletedObjectLifetime » celui-ci devient alors totalement indépendant.
Procédure
Nous allons commencer par activer la corbeille Active Directory qui rappelons-le est désactivée par défaut. Pour cela deux méthodes s’offrent à nous. Premièrement nous pouvons utiliser « Active directory Administration Center » ou alors nous pouvons le faire en Powershell.
Une fois la corbeille Active Directory activée vous ne pourrez plus rétrograder votre niveau fonctionnel de domaine et donc de la forêt !
Pour activer la corbeille grâce à la console Active Directory Administration Center vous devez déjà vous connecter avec un compte appartenant au moins au groupe administrateurs de l’entreprise. Sinon lors de votre action vous obtiendrez le message suivant :
Une fois connecté avec le compte possédant les bons privilèges nous devons nous rendre à la racine de l’arborescence de notre domaine, puis dans le volet d’action des tâches nous cliquons sur « Activer la Corbeille »
Vous recevrez alors un message d’avertissement avant de pouvoir confirmer votre action. Si vous êtes partant appuyer sur OK.
Une fois l’opération validé, si celle-ci c’est bien déroulé vous obtiendrez le message suivant :
Pour activer la corbeille Active Directory grâce à Windows Powershell vous devez lancer la console en tant qu’administrateur avec un compte possédant au moins les droits d’administrateur de l’entreprise.
Ensuite vous devez entrer la commande suivante pour un domaine du nom de LAB.lan :
Enable-AdOptionalFeature –Identity ‘CN=Recycle Bin Feature, CN=Optional Features, CN= Directory Service, CN=Windows NT, CN=Services, CN=Configuration, DC=Lab, DC=lan’ –Scope ForestOrConfigurationSet –Target ‘Lab.lan’
Vous obtiendrez de nouveau un message d’avertissement :
Si vous êtes d’accord alors appuyez sur la touche « T ».
Bravo la corbeille Active Directory Sera alors crée.
Restauration d’objets AD supprimés
Maintenant que notre corbeille est activée, nous allons supprimer un utilisateur que nous appellerons BOB. Celui-ci sera membre du groupe Utilisateurs du domaine et Admins Hyper-V :
Nous pouvons alors restaurer l’utilisateur de deux manières. Toujours grâce à la console Active Directory Administration Center ou Windows Powershell.
Nous nous rendons sur la console ADAC puis sur le conteneur « Deleted Objects ». Nous pouvons alors apercevoir notre utilisateur supprimé :
Nous avons aussi plusieurs paramètres intéressant tels que la date de suppression ou
le dernier parent connu. Il nous faut maintenant effectuer un clic droit sur
l’utilisateur afin d’obtenir la liste des actions que l’on puisse réaliser
Nous pouvons alors par exemple choisir simplement de restaurer l’objet sur son ancien emplacement ou alors sur un nouvel emplacement. Nous avons aussi la possibilité de localiser le parent. Dans notre exemple nous cliquons sur restaurer.
Notre utilisateur Bob est revenu à son ancien emplacement et à conserver tous ses paramètres.
Nous allons de nouveau supprimer l’utilisateur BOB et le récupérer grâce à la console Powershell.
Pour récupérer un objet supprimé grâce à Windows Powershell, lancer la console en tant qu’administrateur puis taper la commande suivante :
Get-Adobject –Filter {Deleted –eq $true} –includeDeletedObjects
Nous pouvons alors voir tous les objets supprimés.
Pour récupérer un objet il faut utiliser la cmdlet « Restore-adobject »
Nous allons donc lancer cette commande pour récupérer notre utilisateur Bob
Get-adobject –Filter {Name –like ‘Bob*’} –IncludDeletedObjects | Restore-adobject
Délégation de certaines opérations de la corbeille AD
Voici les tâches qui peuvent être délégué par des administrateurs à des utilisateurs spécifiques :
- Suppression d’un Objet Active Directory
- Affichage d’un objet Active Directory supprimé
- Affichage des liens désactivés d’un objet Active Directory supprimé
- Affichage des objets Active Directory désactivés
- Récupération d’un objet Active Directory supprimé
- Recyclage manuel d’un objet Active Directory supprimé
- Gestion des fonctionnalités facultatives de la corbeille Active Directory
Afin d’obtenir certaines informations importantes concernant la délégation de certaines opérations vous pouvez vous référer au lien Technet suivant :
http://technet.microsoft.com/fr-fr/library/dd392260(v=ws.10).aspx
Je vous remercie d’avoir suivi cette procédure.
N’hésitez pas à laisser un commentaire si vous avez des questions.