A partir de Windows 2008R2 , une nouvelle fonctionnalité Corbeille
active directory est disponible permettant
la restauration des objets active directory.
Pour activer cette fonctionnalité , il faut que tous les
contrôleurs de domaine soient installés sur des machines Windows 2008 R2 au
minimum et que le niveau fonctionnel de la forêt soit 2008 R2 au minimum.
L'activation de la corbeille active directory est
irréversible , pour faire le roll-back il faut lancer une restauration de toute la
forêt.
Les objets supprimés
avant l'activation de la corbeille active directory ne peuvent d' être restaurés
qu'à partir d'une restauration autoritaire. Il s'agit de la même chose pour les
objets modifiés.
Activation de la corbeille active directory:
Pour activer la corbeille active directory via Powershell ,il
suffit de lancer cette commande sur le contrôleur de domaine qui a le rôle
maitre d'attribution du nom de domaine:
Enable-ADOptionalFeature "Recycle Bin Feature" -Scope
ForestOrConfigurationSet -Target "lab.lan" -server dc1
Il est possible d'activer la corbeille à partir de la
console Active Directory Administrative Center sur Windows 2012/2012 R2/2016:
Pour vérifier
l'activation de la corbeille , il faut lancer la commande ci-dessous afin de
vérifier la valeur EnabledScopes :
Get-ADOptionalfeature -Filter {name -like"recycle bin feature"}
Si la valeur
EnabledScope est vide c'est que la corbeille n'est pas encore activée:
Si la valeur EnabledScopes n'est pas vide c'est que la corbeille est bien activée:
Restauration d'un objet supprimé :
Après l'activation de la corbeille active directory , les
objets supprimés seront déplacés dans un autre conteneur deleted objects, ce dernier est visible
depuis la console centre d'administration active directory installé sur Windows
2012/2012 R2/2016.
Il existe deux attributs qui déterminent l'état de l'objet
supprimé : isDeleted et isRecycled.
L'attribut isDeleted
prend la valeur TRUE une fois que l'objet est supprimé, cet attribut
existe depuis la version Windows 2000.
L'attribut isRecycled a été ajouté depuis la version Windows
2008 R2, il détermine si l'objet supprimé a dépassé la durée maximale autorisé
pour la restauration à travers la corbeille.
si l'objet supprimé (isDeleted=TRUE) a dépassé la durée msDSdeletedObjectLifetime , l'attribut isRecycled prend la valeur TRUE, et dans ce cas on ne peut pas restaurer l'objet à travers la corbeille active directory , il faut passer par une restauration autoritaire.
si l'objet supprimé (isDeleted=TRUE) a dépassé la durée msDSdeletedObjectLifetime , l'attribut isRecycled prend la valeur TRUE, et dans ce cas on ne peut pas restaurer l'objet à travers la corbeille active directory , il faut passer par une restauration autoritaire.
Par défaut la valeur de l'attribut isRecycled de tous les
objets supprimés avant l'activation de la corbeille prend la valeur TRUE , pour
cela on ne peut pas les restaurer par la corbeille active directory.
Durée de vie d'un objet supprimé:
Il existe aussi deux attributs qui détermine la durée de vie
d'un objet supprimé : msDS-deletedObjectLifetime et tombstoneLifetime.
L'attribut msDSdeletedObjectLifetime a été ajouter depuis la version Windows 2008R2, il permet de
déterminer la durée maximale pendant laquelle la restauration d'un objet
supprimé à travers la corbeille est
possible.
Par défaut, msDSdeletedObjectLifetime prend la même valeur
que tombstoneLifetime.
Il est possible de changer cette valeur à travers un compte
membre du groupe Entreprise Admin.
Pour changer la valeur de cet attribut via ADSIEDIT , on doit de se connecter sur la partition
configuration et allez chercher les
propriétés de CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=lab,DC=lan:
Il est aussi possible de modifier la valeur msDS-deletedObjectLifetime
via powershell:
Set-ADObject -Identity “CN=Directory Service,CN=Windows
NT,CN=Services,CN=Configuration,DC=contoso,DC=com” –Partition “CN=Configuration,DC=lab,DC=lan”
–Replace:@{“msDS-DeletedObjectLifetime” = 240}
L'attribut tombstoneLifetime détermine la durée de vie maximale des objets supprimés
avec l'attribut isRecycled=TRUE avant d'être supprimé définitivement .
la valeur par défaut du
tombstoneLifetime dépend de la version du premier
contrôleur de domaine installé dans la forêt:
Windows 2000
|
60j
|
Windows 2003
|
60j
|
Windows 2003 R2 sp1
|
60j
|
Windows 2003 SP1/2003 R2SP2
|
180j
|
Windows 2008/2008R2
|
180j
|
Windows 2012/2012R2
|
180j
|
Windows 2016
|
180j
|
Pour changer
la valeur de cet attribut via ADSIEDIT ,
on doit de se connecter sur la partition configuration et allez chercher les propriétés de CN=Directory
Service,CN=Windows NT,CN=Services,CN=Configuration,DC=lab,DC=lan:
Il est aussi possible de modifier la valeur tombstoneLifetime
via powershell:
Set-ADObject -Identity “CN=Directory Service,CN=Windows
NT,CN=Services,CN=Configuration,DC=contoso,DC=com” –Partition
“CN=Configuration,DC=lab,DC=lan” –Replace:@{“ tombstoneLifetime ” = 240}
Ci-dessous un exemple de restauration d'un compte
utilisateur test1 via powershell:
Il est possible aussi de restaurer le même compte via la
console Active Directory Administrative Centre sous Windows 2012/2012R2/2016:
Aucun commentaire:
Enregistrer un commentaire