Nous utilisons des cookies et d’autres technologies sur notre site web pour vous proposer l’ensemble de nos fonctionnalités. Ils peuvent également être mis en place à des fins d’analyse. En continuant à utiliser notre site web, vous acceptez l’utilisation de cookies. Pour plus d’informations, notamment sur la manière de les désactiver, veuillez consulter notre politique de confidentialité.
Comment récupérer un objet supprimé dans Active Directory ?
Aujourd’hui, la plupart des organisations continuent d’utiliser un Active Directory OnPrem comme solution de gestion des identités et des accès. De nombreuses entreprises le synchronisent également avec des annuaires en cloud dans le cadre d’une configuration hybride. La récupération d’Active Directory et des objets supprimés est une partie importante d’une stratégie globale de reprise après sinistre – voyons donc comment récupérer un compte Active Directory supprimé, étape par étape.
La récupération après un sinistre dans Active Directory est extrêmement importante
Les entreprises doivent accorder l’attention nécessaire à Active Directory dans le cadre de leur stratégie globale de récupération après un sinistre. Active Directory étant généralement la solution centrale de gestion des identités et des accès dans le datacenter de l’entreprise, la perte d’accès à cette solution peut entraîner des problèmes majeurs.
Si la plupart des entreprises utilisent Active Directory OnPrem, elles synchronisent leurs annuaires avec des annuaires en ligne comme Microsoft Entra ID. Il est donc important de maintenir l’accès aux services de domaine Active Directory. Les applications internes peuvent utiliser des connexions SQL Server, qui s’appuient sur Microsoft Active Directory pour les noms des principaux services. En cas de panne d’Active Directory, ces applications risquent de rencontrer des problèmes.
La corbeille Active Directory
La corbeille Active Directory est un élément clé d’une stratégie visant à récupérer facilement des objets Active Directory ayant été supprimés. Toutefois, elle doit d’abord être activée. Qu’est-ce qu’une corbeille Active Directory exactement ? La corbeille Active Directory est un conteneur spécial au sein d’Active Directory qui a été introduit avec Windows Server 2008 R2 et les contrôleurs de domaine plus récents. Lorsque vous l’activez, les objets Active Directory supprimés sont stockés dans la corbeille pendant la durée que vous avez configurée.
Combien de temps les objets restent-ils dans la corbeille ?
Il est important de savoir combien de temps les objets restent dans la corbeille Active Directory au cas où vous auriez besoin de les récupérer. Un attribut configuré dans Active Directory détermine la durée pendant laquelle les objets restent dans la corbeille. Il s’agit de l’attribut tombstoneLifetime. Vous pouvez lui attribuer une valeur personnalisée. Cependant, les valeurs par défaut de cet attribut sont les suivantes :
- Windows Server 2008 R2 et versions ultérieures: la durée de vie par défaut de tombstoneLifetime est de 180 jours.
- Anciennes versions: la durée de vie par défaut de la tombstoneLifetime est de 60 jours.
Vous pouvez vérifier la valeur configurée pour votre domaine à l’aide de PowerShell. Exécutez la commande suivante à partir de l’un de vos contrôleurs de domaine, en remplaçant la section « domaine » par les valeurs correspondant à votre domaine :
Get-ADObject -SearchBase « CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=yourdomain,DC=com » -Filter * -Property tombstoneLifetime | Select-Object -ExpandProperty tombstoneLifetime
Ci-dessous, vous pouvez voir la valeur de 180 jours dans le domaine du test.
Il faut bien noter que la corbeille ne conservera pas les objets indéfiniment. Vous devrez décider si vous voulez ou non restaurer ces objets pendant l’intervalle de vie de tombstoneLifetime.
Configuration de la corbeille Active Directory
Voyons maintenant brièvement comment configurer la corbeille Active Directory. Tout d’abord, ouvrez le Centre d’administration Active Directory. Ensuite, sur le côté droit, sous le volet Tâches, vous verrez l’option Activer la corbeille.
Une fois que vous avez cliqué sur l’option Activer la corbeille, la boîte de dialogue Confirmation de l’activation de la corbeille s’affiche. Cliquez sur OK pour l’activer. Comme l’indique le message, il est important de noter qu’une fois activée, la corbeille ne peut plus être désactivée.
Si vous avez plusieurs contrôleurs de domaine, vous devrez laisser le temps à la réplication de reproduire les modifications sur l’ensemble de votre domaine.
Une fois la corbeille activée, si vous actualisez l’interface du Centre d’administration Active Directory, vous verrez que le lien Activer la corbeille est grisé :
Maintenant que la corbeille Active Directory est activée, nous allons voir comment l’utiliser pour récupérer un objet AD supprimé.
Récupération d’un objet AD supprimé
Supposons qu’un administrateur ait accidentellement ou intentionnellement supprimé les mauvais utilisateurs d’Active Directory. Ou bien qu’un script automatisé n’ait pas été testé et ait ciblé les mauvais utilisateurs. Les objets sont supprimés. Souvent, les événements de récupération après un sinistre ne sont pas le fait d’utilisateurs ou de comportements malveillants, mais de suppressions accidentelles et d’autres actions.
Si nous retournons au niveau du centre d’administration d’Active Directory, nous constaterons qu’un dossier appelé Objets supprimés se trouve sous le domaine. Il s’agit du conteneur spécial créé lorsque la corbeille Active Directory a été activée.
Si nous double-cliquons sur le dossier, nous verrons tous les objets qui ont été supprimés dans l’intervalle de 180 jours (dans cet exemple de domaine). Si nous double-cliquons sur le dossier spécial dans le centre administratif, nous voyons les deux objets qui ont été supprimés.
Si nous cliquons et sélectionnons les utilisateurs, puis cliquons avec le bouton droit de la souris, nous obtenons les options « restaurer » ou « restaurer vers » :
- L’option Restaurer – permet de restaurer les objets au même endroit dans Active Directory
- L’option Restaurer vers – vous permet de sélectionner l’endroit où vous souhaitez restaurer les objets
Si nous choisissons de les restaurer, les objets disparaîtront car ils auront été restaurés à leur emplacement d’origine.
Avant d’actualiser Active Directory Users and Computers, nous constatons que testuser et testuser1 n’y figurent pas :
Après avoir actualisé la vue de l’OU dans ADUC, nous pouvons voir que les deux utilisateurs apparaissent à nouveau.
Utiliser PowerShell pour la corbeille
Nous pouvons également utiliser PowerShell pour interagir avec la corbeille Active Directory. Vous pouvez utiliser la cmdlet ci-dessous pour parcourir les objets :
Get-ADObject -Filter ‘isDeleted -eq $true’ -IncludeDeletedObjects -Property * | Format-List Name,ObjectGUID,Deleted,DistinguishedName
Vous obtiendrez ainsi une liste d’objets supprimés que vous pourrez ensuite utiliser pour restaurer ces derniers à l’aide de PowerShell. Vous pouvez restaurer un objet avec PowerShell en utilisant l’ObjectGUID ou le Distinguished Name à l’aide des cmdlets suivantes.
Restore-ADObject -Identity <ObjectGUID>
Restore-ADObject -Identity « CN=Votre Utilisateur,OU=Users,DC=votredomaine,DC=com »
Les limites de la corbeille Active Directory
La corbeille AD présente quelques limites qu’il convient de connaître lorsque vous l’utilisez pour une récupération après un sinistre dans votre environnement. Il s’agit notamment des limitations suivantes :
- La corbeille AD n’est pas activée par défaut. Par conséquent, si elle n’est pas activée avant l’événement de suppression, elle ne vous sera d’aucune aide
- Elle ne vous protège pas contre les défaillances matérielles de vos contrôleurs de domaine
- Elle ne stocke aucun ensemble de différentes « versions » de l’objet
- Elle ne stocke que la dernière version de l’objet supprimé et ne permet pas de revenir sur les modifications des attributs de l’objet
Les entreprises doivent avoir conscience de ces limites et disposer des moyens de sauvegarder et de restaurer leur infrastructure Active Directory à l’aide d’autres outils de protection des données. Bien qu’il ne s’agisse pas d’une sauvegarde de votre Active Directory, la corbeille peut fonctionner en conjonction avec les sauvegardes comme un moyen rapide et facile de récupérer des objets en cas de besoin.
Assurez la sécurité de votre Active Directory
La récupération d’objets Active Directory est une tâche extrêmement importante à laquelle les entreprises peuvent être confrontées de temps à autre. La corbeille d’Active Directory est un outil intégré que vous pouvez activer et qui permet de récupérer rapidement les objets AD. Vous pouvez facilement l’activer dans le Centre d’administration Active Directory et récupérer des objets à partir de cet outil. Comme prévu, vous pouvez également utiliser PowerShell pour interagir avec la corbeille Active Directory. Gardez bien en tête les limites de la corbeille AD, comme l’absence de versions différentes des objets et le fait que vous ne pouvez pas restaurer les attributs de manière granulaire.
En plus de vous assurer que vous sauvegardez vos objets Active Directory et que vous utilisez des outils comme la corbeille AD, le renforcement de la sécurité des mots de passe est un excellent moyen de sécuriser votre environnement Active Directory. Specops Password Policy scanne votre Active Directory en continu en le confrontant à notre base de données de 4 milliards de mots de passe uniques compromis connus, alertant les utilisateurs finaux s’ils utilisent des informations d’identification compromises. Essayez une démonstration en direct et voyez comment Specops Password Policy pourrait s’adapter à votre organisation.
Vous avez des questions sur la sécurisation de votre Active Directory ? Nous serions heureux de vous aider – échangez avec un expert dès aujourd’hui.
(Dernière mise à jour le 17/03/2025)