Récupération des UO imbriquées dans Active Directory
Sommaire :
Que se passe-t-il lorsqu'une UO est supprimée ?Comment activer la corbeille AD ?Quels outils les administrateurs peuvent-ils utiliser ?Inconvénients des outils natifsLa méthode RecoveryManager PlusLes UO dans Active Directory (AD) aident les administrateurs à catégoriser les utilisateurs en fonction des différents services de votre organisation. Lorsqu'une UO est supprimée, l'UO et tous les objets qu'elle contient doivent être restaurés. Les informations vitales, telles que les GPO qui sont appliqués aux unités d'organisation et à tous les groupes de sécurité dont les membres de l'UO faisaient auparavant partie, doivent également être restaurées.
Cet élément détaille les différentes méthodes de restauration des unités d'organisation imbriquées et supprimées.
Que se passe-t-il lorsqu'une UO est supprimée ?
Active Directory fournit une fonction de corbeille qui est désactivée par défaut et qui doit être activée manuellement. Si la corbeille est activée dans votre environnement, elle vous donne une marge de manœuvre supplémentaire pour restaurer les unités d'organisation avec toutes les informations nécessaires.
Si la corbeille n'est pas activée, l'UO supprimée est déplacée vers le conteneur Objets supprimés et dépouillée de la plupart de ses attributs. L'UO reste dans cet état figé pendant 60 à 180 jours en fonction de la version de votre serveur Windows et de vos paramètres de configuration. Toutefois, l'UO peut toujours être restaurée avec outils natifs tels que PowerShell ou l'utilitaire LDP, mais ses attributs manquants devront être rajoutés manuellement.
Lorsque la corbeille est activée, l'UO est toujours déplacée vers le conteneur Objets supprimés, mais tous ses attributs sont conservés pendant une durée spécifiée par votre attribut msDS-deletedObjectLifetime. À ce stade, l'UO peut être restaurée avec tous ses attributs intacts.
À l'expiration de la période msDS-deletedObjectLifetime, l'objet est déplacé vers un état Objet recyclé dans lequel presque tous ses attributs sont supprimés. L'objet reste dans cet état, comme spécifié par votre attribut tombstoneLifetime. Une fois la période tombstoneLifetime expirée, l'objet est retiré de la base de données par le processus de recyclage de la mémoire et ne peut pas être restauré.
Pour conserver tous les attributs des objets supprimés, il est indispensable d'activer la corbeille AD.
Comment activer la corbeille AD ?
Avant d'activer la corbeille AD, assurez-vous que les niveaux fonctionnels du domaine et de la forêt sont au moins Windows Server 2008 R2.
Remarque : Une fois la corbeille AD activée, elle ne peut plus être désactivée.
Pour activer la corbeille AD, exécutez la commande suivante dans PowerShell.
Enable-ADOptionalFeature –Identity 'CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=www,DC=zylker'DC=com' –Scope ForestOrConfigurationSet –Target 'www.zylker.com'
Si vous utilisez Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 ou Windows Server 2012, vous pouvez utiliser le Centre d’administration Active Directory pour activer la corbeille.
- Dans la console de gestion, naviguez vers Outils > Centre d’administration Active Directory.
- Dans le panneau gauche, sélectionnez le domaine pour lequel vous voulez activer la corbeille.
- Dans les tâches du coin droit de l’écran, sélectionnez Activer la corbeille.
- Une boîte de dialogue apparaît avec un message qui explique que cette action est irréversible. Cliquez sur OK.
- Activer la Corbeille implique des changements apportés à la partition de configuration. Attendez que la réplication AD soit terminée.
- Ce processus peut prendre un certain temps si votre organisation a une grande infrastructure AD.
Quels outils peuvent utiliser les administrateurs AD ?
En tant qu'administrateur, il s'agit des outils natifs qui peuvent servir à restaurer des unités d'organisation avec tous les attributs intacts, à condition que la corbeille AD ait été activée.
- PowerShell
- Utilitaire LDP
- Centre d’administration
Considérons le scénario suivant : Un administrateur de example.com supprime accidentellement une unité organisationnelle imbriquée appelée HR_Department, qui contient les comptes d'utilisateur des employés du service RH. La suppression de l'UO entraîne la suppression d'une UO imbriquée appelée Managers, qui contient les comptes d'utilisateurs des managers qui travaillent dans le service RH. Jack, Vincent et Emma sont des comptes d'utilisateur dans l'UO HR_Department. Harry est un compte d'utilisateur dans l'UO Managers. L'illustration suivante montre la hiérarchie de l'UO HR_Department.
L'élément explique comment ces objets peuvent être restaurés avec des outils AD natifs.
Remarque : Lors de la restauration d'objets avec outils natifs, il est essentiel de commencer à restaurer des objets depuis le niveau le plus élevé de la hiérarchie, car les objets supprimés ne peuvent être restaurés que sur un parent actif.
PowerShell
Pour restaurer un objet supprimé, ouvrez PowerShell et tapez la commande suivante :
Restore-ADObject -Identity $dn
Ici, $dn est le nom unique de l’objet à restaurer. Pour trouver le nom unique de l'objet, utilisez le script suivant dans PowerShell :
(Get-ADObject -SearchBase (get-addomain).deletedobjectscontainer -IncludeDeletedObjects -filter "samaccountname -eq '%OLD_NAME%' ")
Pour rechercher le nom unique de l'objet et effectuer la restauration, utilisez le script suivant dans PowerShell :
(Get-ADObject -SearchBase (get-addomain).deletedobjectscontainer -IncludeDeletedObjects -filter "samaccountname -eq '%OLD_NAME%' ") | Restore-ADObject
Ici, %OLD_NAME% est le nom de l'objet avant sa suppression.
Contrairement à la restauration d'un seul objet, la restauration d'une UO et de ses objets constitutifs n'est pas un processus en une seule étape.
Dans le scénario mentionné ci-dessus, lorsque l'UO HR_Department est supprimée, tous les objets qu'elle contient, soit un total de six objets, dont les deux unités d'organisation et les quatre utilisateurs, sont déplacés vers le conteneur Objets supprimés avec leurs noms distinctifs déformés. Le conteneur Objets supprimés affiche tous les objets supprimés d'une hiérarchie plate en tant qu'enfants directs, et la hiérarchie d'origine est perdue. Si l'administrateur doit restaurer l'UO HR_Department, il doit identifier d'une manière ou d'une autre la hiérarchie d'origine de cette UO.
Pour restaurer l'UO HR_department, vous devez d'abord rechercher la hiérarchie d'origine de l'UO.
Si vous connaissez la hiérarchie d'origine de l'UO supprimée, vous pouvez utiliser l'applet de commande Restore-ADObject pour récupérer les objets supprimés, un niveau hiérarchique à la fois.
Si vous ne connaissez pas la hiérarchie d'origine, vous devez d'abord l'identifier avant de commencer le processus de restauration.
Par exemple, si vous souhaitez rechercher la hiérarchie du compte d'utilisateur Emma, l'applet de commande PowerShell doit être construite de manière à ce que l'attribut lastKnownParent d'Emma soit retourné.
Get-ADObject -SearchBase "CN=Deleted Objects,DC=validate4,DC=com" -ldapFilter:"(msDs-lastKnownRDN=Emma)" –IncludeDeletedObjects –Properties lastKnownParent
Dans la sortie renvoyée par cette applet de commande, la valeur de lastKnownParent pour Emma est HR_Department. Vous pouvez également remarquer que le nom unique de l'UO HR_Department est déformé, ce qui indique que l'objet de l'UO HR_Department lui-même a été supprimé.
Voici un exemple d'un nom unique raccourci :
OU=HR_Department\0ADEL:d662511-4bde-b24e-f665bfa96e7b,CN=Deleted Objects,DC=validate4,DC=com
Vous devez ensuite rechercher tous les objets du conteneur Objets supprimés dont la valeur lastKnownParent est HR_Department.
Get-ADObject –SearchBase "CN=Deleted Objects,DC=validate4,DC=com" -Filter {lastKnownParent -eq 'OU=HR_Department\\0ADEL:d662511-4bde-b24e-f665bfa96e7b,CN=Deleted Objects,DC=example,DC=com'} -IncludeDeletedObjects -Properties lastKnownParent | ft
Dans la sortie renvoyée par cette applet de commande, vous pouvez remarquer que Managers est une UO. Vous devez maintenant rechercher tous les objets supprimés qui étaient contenus dans l'UO Managers. Les objets de l'UO Managers contiendront un attribut lastKnownParent égal à Managers.
Get-ADObject –SearchBase "CN=Deleted Objects,DC=validate4,DC=com" -Filter {lastKnownParent -eq 'OU=Managers\\0ADEL:83fb259c-b3f6-452f-a423-37f7fb11e0d0,CN=Deleted Objects,DC= validate4,DC=com'} -IncludeDeletedObjects -Properties lastKnownParent | ft
Dans la sortie affichée par cette applet de commande, vous ne verrez que le compte d'utilisateur Harry et aucun autre objet dans l'UO. Vous avez maintenant la liste de tous les objets supprimés et vous pouvez commencer la restauration. L'UO HR_Department étant l'objet au sommet de la hiérarchie, elle doit d'abord être restaurée. Étant donné que toutes les étapes d'investigation précédentes ont été effectuées avec l'attribut lastKnownParent, qui pointe vers le parent direct de l'objet et n'indique pas si l'objet parent suivant est également supprimé, les administrateurs peuvent vérifier que la valeur de lastKnownParent pour HR_Department est bien une UO active en exécutant la commande suivante :
Get-ADObject -SearchBase "CN=Deleted Objects,DC= validate4,DC=com"
-ldapFilter:"(msDs-lastKnownRDN=HR_Department)" –IncludeDeletedObjects –Properties lastKnownParent
L'enquête est terminée et vous êtes maintenant prêt à restaurer l'UO HR_Department à sa hiérarchie et à son état d'origine.
Pour restaurer l'UO HR_Department avec PowerShell, effectuez les opérations suivantes dans le contrôleur de domaine.
- Cliquez sur Démarrer, puis sur Outils d'administration. Cliquez avec le bouton droit sur le module Active Directory pour Windows PowerShell, puis cliquez sur Exécuter en tant qu'administrateur.
- Restaurez l'UO HR_Department (le niveau le plus élevé de la hiérarchie des objets à restaurer) en exécutant la commande suivante :
- Restaurez les comptes d'utilisateur Jack, Vincent et Emma ainsi que l'UO Admins (les enfants directs de l'UO HR_Department dont le nom unique a été restauré en OU =HR_Department,DC =validate4, DC =com à l'étape précédente) en exécutant la commande suivante :
- Restaurez le compte d'utilisateur Harry (l'enfant direct de l'UO Admins dont le nom unique a été restauré en OU =Admins,OU =HR_Department,DC =validate4,DC =com à l'étape précédente) en exécutant la commande suivante :
Get-ADObject -ldapFilter:"(msDS-LastKnownRDN=HR_Department)" –IncludeDeletedObjects | Restore-ADObject
Get-ADObject -SearchBase "CN=Deleted Objects,DC= validate4,DC=com" -Filter {lastKnownParent -eq 'OU=HR_Department,DC= validate4,DC=com'} -IncludeDeletedObjects | Restore-ADObject
Get-ADObject -SearchBase "CN=Deleted Objects,DC=validate4,DC=com" -Filter {lastKnownParent -eq 'OU=Admins,OU=HR_Department,DC=validate4,DC=com'} -IncludeDeletedObjects | Restore-ADObject
Vous voulez un moyen plus simple de restaurer des unités d'organisation supprimées et imbriquées dans AD ?
Essayer RecoveryManager PlusEssai gratuit 30 jours
Utilitaire LDP
- 1. Ouvrez l'invite de commandes, tapez ldp.exe et appuyez sur la touche Entrée pour démarrer l'utilitaire ldp.exe.
- 2. Ouvrez la boîte de dialogue Connexion en accédant à Connexion > Connecter.
- 3. Entrez le nom de domaine et le numéro de port par défaut 389.
- 4. Cliquez sur OK.
- 5. Accédez à Connecter > Lier ou cliquez sur Ctrl + B pour ouvrir la boîte de dialogue Lier.
- 6. Sélectionnez Lier en tant qu'utilisateur actuellement connecté et cliquez sur OK.
- 7. Accédez à Options > Contrôles ou appuyez sur le raccourci Ctrl + L.
- 8. Accédez à Charger les objets prédéfinis > Renvoyer les objets supprimés, puis cliquez sur OK.
- 9. Accédez à Afficher > Arborescence. Indiquez le nom unique du conteneur d'objets supprimés dans l'espace prévu à cet effet. Dans ce cas, CN=Deleted Objects,DC=Terminator,DC=domain,dc=com
- 10. Cliquez sur OK pour afficher les objets supprimés.
- 11. Développez le conteneur dans le volet gauche.
- 12. Identifiez l'UO parente, dans ce cas, HR_Department, et localisez-la dans le volet gauche.
- 13. Cliquez avec le bouton droit sur l'UO, puis cliquez sur Modifier.
- 14. Dans la boîte de dialogue qui s'affiche, tapez IsDeleted dans le champ Modifier l'attribut d'entrée.
- 15. Sélectionnez l'option Supprimer et cliquez sur Entrée.
- 16. Tapez distinguishedName dans le champ Modifier l'attribut d'entrée et indiquez le nom unique de l'UO dans le champ Valeurs.
- 17. La case Étendu doit être cochée.
- 18. Cliquez sur Exécuter pour restaurer l'UO.
- 19. Une fois l'UO parente restaurée, répétez les étapes 12 à 18 pour restaurer tous les objets contenus dans l'UO HR_Department.
Remarque : Lorsque vous restaurez les objets présents à l'intérieur de l'UO, assurez-vous que le nom unique que vous fournissez contient le nom de l'UO parente. Par exemple, si vous restaurez l'utilisateur Emma Roberts, le DN (distinguished name, nom unique) doit être CN=Emma Roberts,CN=HR,DC=Terminator,DC=com. Si l'UO parente n'est pas mentionnée, l'objet utilisateur sera restauré dans le domaine racine et vous devrez le déplacer manuellement vers l'UO RH.
Centre d’administration
Pour restaurer les UO supprimées avec le Centre d'administration, procédez comme suit :
- Ouvrez le Centre d'administration d’Active Directory depuis le menu Démarrer.
- Dans le volet gauche, cliquez sur le nom de domaine et sélectionnez le conteneur Objets supprimés en dessous.
- Pour le scénario mentionné ci-dessus, sélectionnez l'UO parente, HR_Department, puis cliquez sur le bouton Restaurer dans le volet droit.
- Sélectionnez l'UO Managers et cliquez sur le bouton Restaurer dans le volet droit.
- Sélectionnez tous les utilisateurs supprimés et cliquez sur le bouton Restaurer dans le volet droit.
La restauration doit être effectuée de manière hiérarchique et chaque objet utilisateur sera restauré dans l'UO qui le contenait avant la suppression. Tous les attributs ainsi que leurs informations d'appartenance au groupe seront restaurés.
Inconvénients des outils natifs
Les exemples ci-dessus montrent que, bien que PowerShell, l'utilitaire LDP et le Centre d'administration d’Active Directory puissent servir à restaurer des unités d'organisation supprimées, le processus de restauration n'est pas toujours simple.
Les trois outils natifs présentent quelques inconvénients communs
1. Absence de restauration hiérarchique.
2. La corbeille AD native doit être activée et la définition d'une valeur élevée pour l'attribut Durée de vie figée peut augmenter la taille de l'arbre d'informations d'annuaire (DIT).
En outre, la récupération d'UO imbriquées avec PowerShell et l'utilitaire LDP implique de nombreuses étapes, ce qui augmente la complexité si le nombre d'objets contenus dans l'UO est important.
Une option simple : La méthode RecoveryManager Plus
RecoveryManager Plus vous permet de surmonter toutes les lacunes des outils natifs tout en ajoutant plus de valeur en termes d'autres capacités.
En considérant le même cas d'utilisation que celui ci-dessus, la section suivante explique comment RecoveryManager Plus peut servir à restaurer tous les objets supprimés.
Contrairement aux outils natifs qui vous obligent à restaurer des objets depuis le niveau hiérarchique le plus élevé, RecoveryManager Plus vous permet de restaurer n'importe quel objet, quelle que soit sa hiérarchie d'origine. Lorsqu'un objet et son conteneur parent sont supprimés, la restauration de l'objet supprimé restaure automatiquement le conteneur parent, ce qui élimine le besoin de restaurer les conteneurs individuellement.
RecoveryManager Plus vous permet de restaurer des objets avec tous leurs attributs intacts, même si la corbeille native n'est pas activée. Cela est possible parce que RecoveryManager Plus est livré avec sa propre fonction de corbeille. Tous les objets AD supprimés peuvent être trouvés ici et vous pouvez même prévisualiser les attributs qui seront restaurés avec l'objet. Vous pouvez également utiliser les filtres disponibles pour limiter les résultats de la recherche au type d'objet requis (utilisateur, UO, groupe, et autres) ou rechercher l'objet supprimé par son nom.
Lorsque l'UO HR_Department est entièrement supprimée, vous pouvez trouver l'UO supprimée et tous ses objets constitutifs dans la corbeille de RecoveryManager Plus.
Si l'administrateur connaît la hiérarchie d'origine de l'UO supprimée, il peut sélectionner uniquement le conteneur parent et le recycler, ce qui restaurera automatiquement tous les objets constitutifs de l'UO.
Autres fonctions essentielles de RecoveryManager Plus
En plus de la restauration d'objets supprimés, RecoveryManager Plus est un outil polyvalent doté de plusieurs fonctions qui en font un outil indispensable pour les administrateurs souhaitant un contrôle total sur le contenu de leur AD.
| Fonctionnalités | PowerShell | Utilitaire LDP | Centre d'administration d’Active Directory | RecoveryManager Plus |
|---|---|---|---|---|
| Restaurer des objets AD actifs à l'une de leurs versions antérieures | ||||
| Retour en arrière AD | ||||
| Restauration granulaire de GPO |
En savoir plus sur les différentes fonctions offertes par RecoveryManager Plus.
Évaluez RecoveryManager Plus pour tester des fonctions telles que la sauvegarde et la récupération d'objets AD. Le support est inclus dans votre évaluation si vous avez besoin d'aide. Téléchargez dès aujourd'hui votre version d'évaluation gratuite de 30 jours entièrement fonctionnelle.