Restauration d'objets supprimés dans Active Directory.

Dans AD, vous pouvez utiliser les outils suivants pour restaurer des objets supprimés :

• PowerShell
• Utilitaire LDP
• Centre d'administration d’Active Directory (applicable pour Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 et Windows Server 2012)

Pour que l'une des méthodes ci-dessus fonctionne, la corbeille AD native doit être activée. Si la corbeille n'est pas activée, la plupart des attributs d'objet seront supprimés lors de la suppression des objets. Les objets peuvent toujours être restaurés, mais les attributs manquants devront être rajoutés manuellement.

D'autre part, si la corbeille est activée, les objets et tous leurs attributs sont conservés pendant la période de durée de vie figée, qui peut être définie en modifiant l'attribut msDS-deletedObjectLifetime.

Avant d'activer la corbeille AD, vérifiez que le domaine et les niveaux fonctionnels sont au moins basés sur Windows Server 2008 R2.

Remarque : Une fois la corbeille AD activée, elle ne peut plus être désactivée.

Pour activer la corbeille AD, exécutez la commande suivante dans PowerShell :

Si vous utilisez Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 ou Windows Server 2012, vous pouvez utiliser le Centre d’administration Active Directory pour activer la corbeille.

• Dans la console de gestion, naviguez vers Outils ➝ Active Directory, Centre d’administration.
• Dans le panneau gauche, sélectionnez le Domaine pour lequel vous voulez activer la corbeille.
• Dans les tâches du coin droit de l’écran, sélectionnez Activer la corbeille.
• Une boîte de dialogue apparaît avec un message qui explique que cette action est irréversible. Cliquez sur OK. 
• Activer la corbeille apportera des changements à la partition de configuration. Attendez que la réplication AD soit terminée. Ce processus peut prendre un certain temps si votre organisation a une grande infrastructure AD.

Pour restaurer un objet supprimé, ouvrez PowerShell et tapez la commande suivante :

Ici, $dn est le nom unique de l’objet à restaurer. Pour trouver le nom unique de l'objet, utilisez le script suivant dans PowerShell :

Pour rechercher le nom unique de l'objet et effectuer la restauration, utilisez le script suivant dans PowerShell :

Ici, %OLD_NAME% est le nom de l'objet avant sa suppression.

• Ouvrez l'invite de commande. Tapez ldp.exe et appuyez sur la touche Entrée pour démarrer l'utilitaire ldp.exe. 
• Ouvrez la boîte de dialogue Connexion en accédant à Connexion > Connecter.
• Entrez le nom de domaine et le numéro de port par défaut (389).
• Cliquez sur OK.
• Accédez à Connecter ➝ Lier ou cliquez sur Ctrl + B pour ouvrir la boîte de dialogue Lier.
• Sélectionnez Lier en tant qu'utilisateur actuellement connecté et cliquez sur OK.
• Accédez à Options ➝ Contrôles ou appuyez sur le raccourci Ctrl + L.
• Accédez à Charger la prédéfinition ➝ Renvoyer les objets supprimés et cliquez sur OK.
• Accédez à Affichage ➝ Arborescence. Indiquez le nom unique du conteneur d'objets supprimés dans l'espace prévu à cet effet. Dans ce cas, CN=Deleted Objects,DC=zylker,dc=com.
• Cliquez sur OK pour afficher les objets supprimés.
• Développez le conteneur dans le volet gauche.
• Localisez l'objet supprimé dans le volet gauche.
• Cliquez avec le bouton droit sur l'objet, puis cliquez sur Modifier.
• Dans la boîte de dialogue qui s'affiche, tapez IsDeleted dans le champ Modifier l'attribut d'entrée.
• Sélectionnez l'option Supprimer et cliquez sur Entrée.
• Tapez distinguishedName dans le champ Modifier l'attribut d'entrée et indiquez le nom unique de l'objet dans le champ Valeurs.
• La case Étendu doit être cochée.
• Cliquez sur Exécuter pour restaurer l'objet. 

Remarque : Lorsque vous restaurez les objets présents à l'intérieur de l'UO (unité d'organisation), le nom unique que vous fournissez doit contenir le nom de l'UO parente. Si l'UO parente n'est pas mentionnée, l'objet sera restauré dans le domaine racine, vous devrez le déplacer manuellement vers l'UO RH.

• Ouvrez le Centre d'administration d’Active Directory depuis le menu Démarrer.
• Dans le volet gauche, cliquez sur le nom de domaine et sélectionnez le conteneur Objets supprimés en dessous. 
• Sélectionnez l'objet supprimé, puis cliquez sur le bouton Restaurer dans le volet droit.

• La recherche d'objets supprimés spécifiques avec PowerShell et de l'utilitaire LDP prend beaucoup de temps.
• Par défaut, les objets utilisateur et ordinateur figés ne contiennent pas le mot de passe (Unicode-pwd) et, par conséquent, les mots de passe des comptes utilisateur et ordinateur restaurés ne sont pas restaurés. Les mots de passe des comptes d'utilisateurs restaurés doivent être réinitialisés et les objets ordinateurs doivent être rajoutés manuellement au domaine par l'administrateur système. Pour restaurer les mots de passe des utilisateurs et des ordinateurs, la valeur de l'attribut searchFlag sur l'objet schéma Unicode-pwd doit être modifiée de 0 à 8.
• La corbeille native doit être activée pour effectuer des restaurations complètes, ce qui peut augmenter la taille de l'arborescence d'informations d'annuaire (DIT, Directory Information Tree).
• Les objets qui ont dépassé la durée du cycle de vie figée ne peuvent pas être restaurés.

RecoveryManager Plus de ManageEngine vous permet de surmonter tous les inconvénients des outils natifs tout en ajoutant plus de valeur avec l'ajout de ses autres fonctions.

Avec RecoveryManager Plus, vous pouvez restaurer des objets avec tous leurs attributs intacts, même si la corbeille native n'est pas activée, cela est possible car RecoveryManager Plus est fourni avec sa propre fonction de corbeille. Tous les objets AD supprimés s'y trouvent, et vous pouvez même prévisualiser les attributs qui seront restaurés avec l'objet. Vous pouvez également utiliser les filtres disponibles pour limiter les résultats de la recherche au type d'objet requis (utilisateur, UO, groupe, et autres) ou rechercher l'objet supprimé par son nom.

RecoveryManager Plus est une meilleure alternative aux outils natifs : pas de script PowerShell sans fin, pas besoin de passer au crible d'innombrables entrées pour trouver l'objet supprimé, comme dans l'utilitaire LDP.

En plus de la restauration d'objets supprimés, RecoveryManager Plus est un outil polyvalent doté de plusieurs fonctions qui en font un outil indispensable pour les sysdamins souhaitant un contrôle total sur le contenu de leur AD.

En savoir plus sur les différentes fonctions offertes par RecoveryManager Plus.