Astuces, Windows

Restauration d’objets supprimés AD sans corbeille

By Matthieu CHARRIER

L’annuaire Active Directory regroupe des objets essentiels comme les comptes utilisateurs, ordinateurs et groupes, utilisés pour l’authentification et les autorisations. La suppression accidentelle d’objets peut paralyser des services, et plusieurs méthodes existent pour les restaurer quand la Corbeille Active Directory n’est pas disponible.

Les sections qui suivent exposent des techniques éprouvées, des outils natifs et des étapes de prévention pour limiter les dégâts. La lecture conduit directement au H2 suivant où figurent les points clés et les priorités opérationnelles.

A retenir :

  • Restauration sans corbeille avec PowerShell et LDP
  • Restauration faisant autorité via Ntdsutil et LDIF
  • Reconstruction des appartenances memberOf après restauration
  • Prévention via sauvegardes et ACLs protectrices

Restauration AD sans corbeille : méthodes immédiates

Après ce rappel synthétique, détaillons les méthodes immédiates applicables sur un contrôleur de domaine actif. Ces approches s’appliquent quand la fonctionnalité SansPoubelle n’était pas activée au préalable.

A lire également :  Le téléphone Nothing (1) est tout au sujet de ces lumières

Selon Microsoft, l’utilisation de PowerShell et de ldp.exe permet de réanimer des objets supprimés directement depuis le conteneur Deleted Objects. Ces procédures exigent des droits d’administrateur de domaine et une vérification préalable des filtres de recherche.

PowerShell pour récupérer un objet supprimé

Ce paragraphe relie la méthode scriptée aux besoins d’automatisation essentiels pour les grandes infrastructures. La commande Get-ADObject avec -IncludeDeletedObjects identifie les objets supprimés ciblés pour restauration.

Exemple pratique : tester le filtre avant restauration évite de ramener plusieurs objets indésirables. Ensuite Restore-ADObject restaure l’entrée, et ADRecupération réapplique les attributs de base essentiels.

Intitulé de la liste :

  • Étapes PowerShell rapides et reproductibles
  • Rechercher, tester, restaurer, vérifier
  • Vérifier l’attribut isDeleted et lastKnownParent

Méthode Outil Avantage Limite
Recherche et restauration PowerShell Rapide et scriptable Risque de restaurer en masse
Réanimation manuelle ldp.exe Contrôle granulaire Interface peu conviviale
Restauration partielle ADRestorePro (tiers) Automatisation avancée Outil payant
Analyse des suppressions Repadmin Source originelle identifiée Dépend de la réplication

A lire également :  Migration Android→Android sans perte de données : tutoriel pas à pas

« J’ai utilisé PowerShell pour restaurer des utilisateurs supprimés en urgence, procédure solide et rapide »

Clément M.

Restaurations faisant autorité avec Ntdsutil et LDIF

Par enchaînement logique, voici la méthode lourde adaptée aux restaurations critiques quand la réplication complique la récupération. La restauration faisant autorité nécessite un contrôleur de domaine de récupération et des sauvegardes d’état système fiables.

Selon Microsoft, Ntdsutil génère des fichiers LDIF et des rapports pour réinjecter les objets restaurés dans la forêt sans conflit. L’opération est puissante mais demande une coordination stricte des réplications.

Préparation du contrôleur de domaine de récupération

Cette partie montre comment isoler un contrôleur pour éviter la propagation de suppressions indésirables. Il faut désactiver la réplication entrante et préparer une sauvegarde d’état système récente.

Intitulé de la liste :

  • Isoler le DC recovery et désactiver réplication
  • Restaurer l’état système localement
  • Effectuer la restauration faisant autorité
A lire également :  Comment changer mot de passe Gmail ?

Étape Commande typique Objectif
Désactiver réplication repadmin /options +DISABLE_INBOUND_REPL Prévenir la propagation des suppressions
Restauration d’état système Sauvegarde et restauration locale Recréer la base NTDS
Restauration faisant autorité ntdsutil « authoritative restore » Attribuer priorité aux objets restaurés
Réplication sortante repadmin /syncall /P Diffuser les objets restaurés

« La restauration faisant autorité nous a permis de rétablir des comptes critiques après une suppression en masse »

Anne P.

Reconstruction des appartenances et prévention des pertes

Pour garder la continuité opérationnelle, la reconstruction des attributs memberOf est la phase suivante après toute récupération d’objets. Les outils LDIF et Groupadd facilitent la réinsertion des appartenances dans chaque domaine concerné.

Selon Microsoft, la reconstruction automatique dépend du niveau fonctionnel de la forêt et des catalogues globaux disponibles. Une politique de sauvegarde et des ACL protectrices réduisent considérablement les incidents futurs.

Reconstruction des memberOf et outils complémentaires

Ce point décrit l’utilisation de Ldifde et Groupadd pour restaurer les liens d’appartenance après la restauration d’objets. Ces outils génèrent des fichiers LDIF qui réappliquent membership dans chaque domaine cible.

Intitulé de la liste :

  • Utiliser Ldifde pour extraire memberOf après restauration
  • Exécuter Groupadd pour générer fichiers par domaine
  • Importer LDIF sur contrôleurs de catalogue global

Outil But Quand l’utiliser
Ldifde Exporter/importer attributs memberOf Après restauration d’objets
Groupadd.exe Créer LDIF d’appartenance groupale Pour domaines multiples
ADRestorePro Automatiser réanimation et memberships Environnements larges et sensibles
Scripts PowerShell Automatiser vérifications et ré-affectations Pour procédures répétitives

« ADRestorePro a réduit notre temps de récupération et clarifié les étapes de reconstruction »

Marc D.

« Planifier des sauvegardes régulières et limiter les droits d’administration a évité des incidents majeurs »

Laurent B.

Source : Microsoft, « Restore a deleted Active Directory object », Microsoft Docs, 2020.

Laisser un commentaire