> Tech > Dossier Restauration : La corbeille Active Directory sous Windows 2008 R2

Dossier Restauration : La corbeille Active Directory sous Windows 2008 R2

Tech - Par iTPro.fr - Publié le 11 avril 2011
email

Windows Server 2008 R2 contient une fonctionnalité qui ravira plus d’un administrateur : une corbeille pour les objets Active Directory !

En effet, il est désormais possible de restaurer un objet Active Directory effacé, ainsi que tous ses attributs liés, sans nécessairement faire appel à votre dernier jeu de sauvegarde, ni même nécessiter un arrêt de service d’un de vos contrôleurs de domaine avec toute la lourdeur des tâches associées (redémarrage du serveur en mode DSRM, utilisation de la commande NTDSUTIL etc...).

Dossier Restauration : La corbeille Active Directory sous Windows 2008 R2

Il est désormais ainsi possible, grâce à cette fonctionnalité, de restaurer un objet créé par exemple après votre dernière sauvegarde de l’Active Directory. A noter que depuis Windows 2003 Server, il est possible d’utiliser la réanimation d’objets effacés (durant 180 jours par défaut). L’inconvénient majeur de cette solution est qu’elle ne restaure pas certains attributs à valeur liée et non liée.

Concrètement cela signifie que la restauration d’un compte utilisateur par cette méthode, ne restaure notamment pas ses appartenances aux groupes de sécurité et il faut donc connaître ces informations pour les ajouter dans un second temps. La corbeille Active Directory vous simplifiera donc grandement la tâche !

Avant de voir plus en détail la façon dont la corbeille peut être implémentée, concentrons-nous dans un premier temps sur son principe de fonctionnement.

La fonctionnalité de corbeille Active Directory repose sur 4 attributs Active Directory qui sont isDeleted, isRecycled, msDS-DeletedObjectLifeTime et TombstoneLifeTime.

isDeleted
− Cet attribut existe depuis Windows 2000 Server.
− Il est présent sur tous les objets de l’annuaire.
− Indique qu’un objet est effacé mais peut être restauré.

isRecycled
− Cet attribut existe depuis Windows Server 2008 R2.
− Il est présent sur tous les objets supprimés une fois que la fonction de Corbeille AD est activée.
− Indique qu’un objet peut être restauré via la fonction de Corbeille AD.

msDS-DeletedObjectLifetime
− Cet attribut existe depuis Windows Server 2008 R2.
− Sa valeur détermine le temps (en jours) pendant lequel un objet effacé pourra être restauré.
− Par défaut sa valeur est égale à la valeur de l’attribut TombstoneLifetime.

TombstoneLifetime
− Cet attribut existe depuis Windows 2000 Server.
− Depuis Windows Server 2003 SP1, sa valeur par défaut est de 180 jours.
− Ce nombre de jours sert à la propagation de l’information sur un objet effacé à tous les contrôleurs du domaine.

Voyons donc ce qu’il se passe lorsqu’un objet (un compte utilisateur par exemple) est supprimé de l’AD :

1. Lorsqu’un objet est supprimé, celui-ci est déplacé dans le conteneur CN=Deleted Objects,DC=masociete, DC=local et l’attribut isDeleted prend la valeur TRUE. L’administrateur possède alors le nombre de jours défini à l’attribut msDS-deletedOjectLifetime pour pouvoir restaurer l’objet à l’aide de la fonctionnalité de la Corbeille AD. Par défaut, sa valeur est égale à la valeur de l’attribut TombstoneLifetime soit 180 jours dans la plupart des situations. En clair, par défaut, un objet peut être restauré par la corbeille Active Directory 180 jours après sa suppression.

2. Une fois le nombre de jours défini à l’attribut msDSDeletedObjectLifetime dépassé, l’attribut isRecycled prend à son tour également la valeur TRUE.

L’objet entre donc dans un nouvel état crée depuis 2008 R2 nommé « Recycled object » (pardonnez le terme anglophone). A ce moment là, l’objet ne peut plus du tout être restauré (ni via la corbeille AD, ni via une restauration autoritaire) et il perd certains de ses attributs à valeur liée et non liée. L’objet reste alors dans cet état durant la valeur définie à l’attribut TombstoneLifetime soit à nouveau 180 jours. Le principal intérêt de cet état est de prévenir les autres contrôleurs de domaine qu’un objet a été supprimé.

3. Une fois le nombre de jours défini à l’attribut TombstonedLifetime dépassé (donc au final 180 + 180 soit 360 jours après la suppression de l’utilisateur), l’objet est « réellement » supprimé de l’Active Directory.

Téléchargez cette ressource

Guide de Sécurité IA et IoT

Guide de Sécurité IA et IoT

Compte tenu de l'ampleur des changements que l'IA est susceptible d'entraîner, les organisations doivent élaborer une stratégie pour se préparer à adopter et à sécuriser l'IA. Découvrez dans ce Livre blanc Kaspersky quatre stratégies efficaces pour sécuriser l'IA et l'IoT.

Tech - Par iTPro.fr - Publié le 11 avril 2011