> Tech > Restauration d’un objet spécifique

Restauration d’un objet spécifique

Tech - Par Renaud ROSSET - Publié le 11 avril 2011
email


Maintenant que la Corbeille Active Directory est activée, voyons comment l'utiliser en reproduisant différents scénarii possibles en Production.

Prenons l'exemple d'un utilisateur Active Directory supprimé par mégarde. La réplication s'est faite sur tous les contrôleurs de domaine et vous n'auriez eu, en temps normal,

Restauration d’un objet spécifique

plus d'autres choix que d'utiliser une sauvegarde de votre Active Directory pour restaurer ce compte utilisateur et ses attributs liés et non liés.

Grâce à la corbeille AD, vous pourrez réaliser cette opération en quelques secondes et sans aucune coupure de service.

1. Dans notre exemple, l'utilisateur effacé se nomme "Freddy Elmaleh" et son compte se trouvait dans l'unité d'organisation "Siège". Ce compte utilisateur était également membre de plusieurs groupes de sécurité.

2. Utilisez PowerShell afin d'afficher les objets effacés pouvant être restaurés :

Get-ADObject -filter 'isdeleted -eq $true -and name -ne "Deleted
Objects"' -includeDeletedObjects -property * | Format-List
samAccountName,displayName,lastknownParent

L'option "| Format-List" permet d'interpréter le résultat de la commande Get-Object et d'afficher uniquement certains des attributs retournés dans un format facilement lisible. Si vous supprimez les arguments de la ligne de commande ci-dessus à partir du pipe (caractère "|"), PowerShell vous affichera tous les attributs qui seront restaurés pour les objets qui peuvent l'être.

Ce peut être intéressant à titre informatif mais rapidement trop verbeux en environnement de Production dans lequel vous aurez plusieurs dizaines d'objets potentiellement restaurables. A noter qu'un objet ne peut être restauré que s'il a été effacé après l'activation de la corbeille Active Directory. Si un objet a été effacé avant, il ne pourra pas être restauré.

3. Une fois l'objet identifié, vous pouvez le restaurer à l'aide de la commande PowerShell Restore-ADObject suivante:

Get-ADObject -Filter 'samaccountname -eq "felmaleh"' –
IncludeDeletedObjects | Restore-ADObject

4. Aucune confirmation n'apparaît mais si vous retournez dans votre console Utilisateurs et Ordinateurs Active Directory, vous verrez que votre compte utilisateur a bien été restauré, ainsi que ses attributs comme l'appartenance à ses groupes de sécurité.

Prenons maintenant l'exemple de la suppression d'une unité d'organisation et ainsi de tous les objets contenus dans celle-ci (ce qui ne serait vraiment pas de chance si la protection contre la suppression accidentelle était activée sur cette OU!). Vous pouvez restaurer tous ces objets très facilement. Cela se déroule en deux étapes.

1. Dans un premier temps, il faut restaurer l'unité d'organisation à son endroit d'origine. Dans notre exemple, nous restaurons l'OU "Siège" se trouvant à la racine du domaine :

Get-ADObject -filter 'msds-lastKnownRdn -eq "Siège" -and
lastKnownParent -eq "DC=masociété,DC=local"' -includeDeletedObjects |
Restore-ADObject

2. Une fois l'unité d'organisation restaurée, vous pouvez lancer la restauration de tous les objets qui y étaient contenus à l'aide de cette commande :

Get-ADObject -filter 'lastKnownParent –eq
"OU=Siège,DC=masociété,DC=local"' -includeDeletedObjects | Restore-
ADObject

Tous vos objets présents dans cette OU sont alors restaurés sans effort supplémentaire !

Astuce : Enfin, si vous n'êtes pas fan des lignes de commande en PowerShell, sachez qu'il existe plusieurs outils permettant l'utilisation de la corbeille en mode graphique. PowerGUI est un excellent utilitaire gratuit et très pratique pour effectuer les opérations normalement uniquement disponibles en PowerShell. Une fois le client PowerGUI téléchargé sur le site http://powergui.org et installé, vous devez lui importer les modules de votre choix.

Pour la corbeille Active Directory, le module en question est disponible à cette adresse.

Vous avez désormais tous les éléments pour pouvoir installer et utiliser au quotidien la corbeille Active Directory en cas de fausse manipulation d'objets de votre annuaire Active Directory 2008 R2. Gardez cependant à l'esprit que cette fonctionnalité ne doit, bien sûr, pas vous dispenser de faire des sauvegardes régulières de vos contrôleurs de domaine.

Téléchargez cette ressource

Comment sécuriser une PME avec l’approche par les risques ?

Comment sécuriser une PME avec l’approche par les risques ?

Disposant de moyens financiers et humains contraints, les PME éprouvent des difficultés à mettre en place une véritable stratégie de cybersécurité. Opérateur de services et d’infrastructures, Naitways leur propose une approche pragmatique de sécurité « by design » en priorisant les risques auxquelles elles sont confrontées.

Tech - Par Renaud ROSSET - Publié le 11 avril 2011