DamTech.fr

Tutoriels, Scripts et Astuces pour Admins IT – PowerShell, Microsoft 365 & plus

Comment récupérer des objets supprimés dans Active Directory

admin011 mins

En tant que service d’annuaire d’authentification global fournissant une gestion centralisée des ressources de l’infrastructure informatique, Active Directory (AD) est l’une des applications métier les plus critiques. Cela signifie qu’en cas de perturbation, une récupération rapide est essentielle pour réduire le temps d’arrêt du service. AD contient généralement une multitude d’objets organisés de manière hiérarchique, avec certains objets dépendant d’autres. Le processus de récupération peut être long car il faut récupérer une structure hiérarchique complexe et recréer manuellement certaines données. Cet article de blog explique comment récupérer les objets Active Directory qui ont été supprimés.

Les bases de la récupération des objets Active Directory

Vous pouvez commencer le processus de récupération AD en utilisant l’outil de sauvegarde intégré de Windows Server ou un autre utilitaire tiers pris en charge. Active Directory propose deux principales méthodes de récupération :

Récupération non autoritative : C’est la méthode par défaut pour récupérer Active Directory. Cette méthode ramène simplement le domaine à son état au moment où la sauvegarde a été effectuée et permet à la réplication régulière d’écraser tout changement apporté aux objets et aux conteneurs par la suite.

Récupération autoritative : Elle comprend deux parties : la récupération non autoritative à partir de la sauvegarde suivie de la récupération autoritative. La principale différence est que cette méthode peut apporter des modifications autoritaires aux objets et à leurs attributs dans tout le répertoire. Ce type de récupération peut affecter les comptes d’ordinateur, les relations de confiance et l’appartenance aux groupes.

Choisir la bonne méthode de récupération AD

Pour sélectionner la méthode de récupération AD appropriée, tenez compte des points suivants :

  • La cause de la défaillance : S’agit-il d’une suppression ou modification accidentelle ou malveillante des objets, qui a été répliquée à tous les contrôleurs de domaine ou d’une défaillance complète de la machine virtuelle entière ? En cas de suppression/modification, vous avez besoin d’une récupération autoritative.
  • Les rôles et fonctions du serveur Active Directory défaillant.

En suivant ces lignes directrices, vous pourrez choisir la méthode de récupération la plus adaptée à votre situation spécifique et minimiser les interruptions de service.

Outils natifs pour restaurer des objets AD supprimés

Les objets supprimés d’Active Directory ne sont pas toujours visibles dans le composant logiciel enfichable Active Directory Users and Computers. Vous pouvez voir le conteneur des objets supprimés avec les objets AD supprimés et les restaurer uniquement en utilisant des outils spéciaux.

Il existe deux approches pour restaurer des objets supprimés dans Active Directory (AD) en utilisant les outils natifs de Microsoft, y compris les outils intégrés de Windows Server : avec la Corbeille Active Directory et sans celle-ci. Il y a une grande différence entre les deux approches.

Récupération sans la Corbeille AD

Lorsque la Corbeille AD est désactivée, le processus de suppression et de restauration des objets AD est le suivant :

  1. Suppression d’un objet : Lorsqu’un objet est supprimé, il devient une tombstone.
  2. Stockage de l’objet tombstone : L’objet tombstone est stocké dans le conteneur des objets supprimés pendant la période définie dans tombstoneLifetime pour le domaine actuel. La plupart des attributs sont perdus lorsque l’objet devient une tombstone, ce qui est également appelé objet supprimé.
  3. Récupération pendant la durée de vie de la tombstone : Pendant la période de durée de vie de la tombstone, vous pouvez récupérer l’objet AD mais sans aucune information supplémentaire enregistrée dans ses attributs.
  4. Suppression physique : Lorsque la durée de vie de la pierre tombale expire, l’objet est supprimé physiquement sans possibilité de le récupérer.

En utilisant ces méthodes, vous pouvez gérer efficacement la récupération des objets AD supprimés selon les fonctionnalités disponibles et les configurations de votre environnement Active Directory.

Utilisez la commande suivante pour afficher la valeur actuelle de tombstoneLifetime :

Get-ADObject -SearchBase "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<Domaine>,DC=<Com> " -Filter * -Property tombstoneLifetime | Select-Object -Property tombstoneLifetime

Pour modifier le tombstoneLifetime :

Set-ADObject -Identity "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<Domaine>,DC=<Com>" -Partition "CN=Configuration,DC=<Domaine>,DC=<Com>" -Replace @{tombstoneLifetime=180}

Cette commande définit le tombstoneLifetime à 180 jours. Ajustez la valeur selon vos besoins.

Récupération à partir de la Corbeille AD

La situation change lorsque vous activez la Corbeille Active Directory :

  1. Suppression logique de l’objet AD : Lorsqu’un objet AD est supprimé, son état passe à « supprimé logiquement ». Les attributs de l’objet sont conservés pendant la période définie dans l’attribut Deleted Object Lifetime (msDS-deletedObjectLifetime), qui est égale à la période de durée de vie de l’objet recyclé par défaut (180 jours). Vous pouvez restaurer les objets supprimés dans Active Directory pendant cette période.
  2. Attributs isDeleted et isRecycled : L’attribut isDeleted est défini sur True. L’attribut isRecycled est défini sur False.
  3. Changement d’état après expiration de la durée de vie de l’objet supprimé : Après l’expiration de la période de Deleted Object Lifetime, l’état de l’objet passe de « supprimé logiquement » à « objet recyclé ». L’objet recyclé est similaire à l’objet tombstone lorsque la Corbeille AD est désactivée.
  4. Conservation de l’objet recyclé : Cet objet recyclé est toujours situé dans le conteneur des objets supprimés jusqu’à ce que la durée de vie de l’objet recyclé définie dans l’attribut tombstoneLifetime expire. Par défaut, cette période est de 180 jours. L’attribut isRecycled est défini sur True. La plupart des attributs de l’objet, qui sont encore préservés à l’état « supprimé logiquement », sont supprimés.
  5. Suppression physique après expiration de la durée de vie de l’objet recyclé : Lorsque la durée de vie de l’objet recyclé (tombstoneLifetime) expire, le mécanisme de collecte des ordures d’Active Directory nettoie complètement l’objet recyclé, et cet objet est supprimé physiquement. La récupération de l’objet devient alors impossible.

En utilisant la Corbeille Active Directory, vous pouvez restaurer les objets supprimés avec leurs attributs intacts pendant la période définie, offrant une solution plus robuste pour la récupération des données.