mardi 2 novembre 2021

Corbeille Active directory

A partir de Windows 2008R2 , une nouvelle fonctionnalité Corbeille active directory est disponible  permettant la restauration  des objets  active directory.
Pour activer cette fonctionnalité , il faut que tous les contrôleurs de domaine soient installés sur des machines Windows 2008 R2 au minimum et que le niveau fonctionnel de la forêt soit 2008 R2 au minimum.
L'activation de la corbeille active directory est irréversible , pour faire le roll-back  il faut lancer une restauration de toute la forêt.
 Les objets supprimés avant l'activation de la corbeille active directory ne peuvent d' être restaurés qu'à partir d'une restauration autoritaire. Il s'agit de la même chose pour les objets modifiés.  
Activation de la corbeille active directory:
Pour activer la corbeille active directory via Powershell ,il suffit de lancer cette commande sur le contrôleur de domaine qui a le rôle maitre d'attribution du nom de domaine:
Enable-ADOptionalFeature "Recycle Bin Feature" -Scope ForestOrConfigurationSet -Target "lab.lan" -server dc1


Il est possible d'activer la corbeille à partir de la console Active Directory Administrative Center  sur Windows 2012/2012 R2/2016:



Pour  vérifier l'activation de la corbeille , il faut lancer la commande ci-dessous afin de vérifier la valeur EnabledScopes :
Get-ADOptionalfeature -Filter  {name -like"recycle bin feature"}
 Si la valeur EnabledScope est vide c'est que la corbeille n'est pas  encore activée:


Si la valeur EnabledScopes n'est pas vide c'est que  la corbeille est bien activée:



Restauration d'un objet supprimé :
Après l'activation de la corbeille active directory , les objets supprimés seront déplacés dans un autre conteneur  deleted objects, ce dernier est visible depuis la console centre d'administration active directory installé sur Windows 2012/2012 R2/2016.
Il existe deux attributs qui déterminent l'état de l'objet supprimé : isDeleted et isRecycled.
L'attribut isDeleted  prend la valeur TRUE une fois que l'objet est supprimé, cet attribut existe depuis la version Windows 2000.
L'attribut isRecycled a été ajouté depuis la version Windows 2008 R2, il détermine si l'objet supprimé a dépassé la durée maximale autorisé pour la restauration à travers la corbeille.
si l'objet supprimé (isDeleted=TRUE) a dépassé la durée msDSdeletedObjectLifetime , l'attribut isRecycled prend la valeur TRUE, et dans ce cas on ne peut pas restaurer l'objet à travers la corbeille active directory , il faut passer par une restauration autoritaire.
Par défaut la valeur de l'attribut isRecycled de tous les objets supprimés avant l'activation de la corbeille prend la valeur TRUE , pour cela on ne peut pas les restaurer par la corbeille active directory.

Durée de vie d'un objet supprimé:
Il existe aussi deux attributs qui détermine la durée de vie d'un objet supprimé : msDS-deletedObjectLifetime et tombstoneLifetime.
L'attribut msDSdeletedObjectLifetime a été ajouter  depuis la version Windows 2008R2, il permet de déterminer la durée maximale pendant laquelle la restauration d'un objet supprimé à travers  la corbeille est possible.
Par défaut, msDSdeletedObjectLifetime prend la même valeur que tombstoneLifetime.
Il est possible de changer cette valeur à travers un compte membre du groupe Entreprise Admin.
Pour changer la valeur de cet attribut via ADSIEDIT  , on doit de se connecter sur la partition configuration et allez chercher  les propriétés de CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=lab,DC=lan:


Il est aussi possible de modifier la valeur msDS-deletedObjectLifetime via powershell:
Set-ADObject -Identity “CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com” –Partition “CN=Configuration,DC=lab,DC=lan” –Replace:@{“msDS-DeletedObjectLifetime” = 240}
L'attribut tombstoneLifetime détermine  la durée de vie maximale des objets supprimés avec l'attribut isRecycled=TRUE avant d'être supprimé définitivement .
la valeur par défaut du  tombstoneLifetime dépend de la version du premier contrôleur de domaine installé dans la forêt:

Windows 2000
60j
Windows 2003
60j
Windows 2003 R2 sp1
60j
Windows 2003 SP1/2003 R2SP2
180j
Windows 2008/2008R2
180j
Windows 2012/2012R2
180j
Windows 2016
180j

Pour changer la valeur de cet attribut via ADSIEDIT  , on doit de se connecter sur la partition configuration et allez chercher  les propriétés de CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=lab,DC=lan:


Il est aussi possible de modifier la valeur tombstoneLifetime via powershell:

Set-ADObject -Identity “CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com” –Partition “CN=Configuration,DC=lab,DC=lan” –Replace:@{“ tombstoneLifetime ” = 240}


Ci-dessous un exemple de restauration d'un compte utilisateur test1 via powershell:


Il est possible aussi de restaurer le même compte via la console Active Directory Administrative Centre sous Windows 2012/2012R2/2016:




Aucun commentaire:

Enregistrer un commentaire