La restauration autoritaire d’un objet

Lorsque vous avez supprimé un objet dans Active Directory, l’objet est marqué pour suppression. Il va perdre ses propriétés avant d’être supprimés. Il ne peut être supprimé directement car il faut garantir que l’ensemble des contrôleurs de domaine soient avertis de cette suppression.

 

Il est possible de restaurer l’objet dans un délai raisonnable ne dépassant pas le « TombstoneLifetime ».

 

 Pour cela nous restaurons l’état du système du contrôleur de domaine datant d’avant la suppression. Dans cette sauvegarde l’objet existe encore, mais si je m’arrête là et que je redémarre mon serveur après la restauration, il va se répliquer avec les autres serveurs et mon objet va forcément disparaitre à nouveau.

 

Nous allons montrer ce mécanisme à travers la restauration d’un objet.

Dans l’exemple ci-dessous nous avons 2 utilisateurs. Notre domaine est composé d’un contrôleur de domaine Windows 2003 R2 et d’un autre en Windows 2008 R2. Le premier serveur dispose d’une sauvegarde de l’état du système avec Ntbackup, le 2 ème avec WBadmin.

Dans la console « Utilisateur et ordinateur Active Directory » nous retrouvons nos 2 objets :

Nous  commençons par supprimer les 2 objets :

Nous redémarrons le contrôleur de domaine Windows 2003 en mode de restauration d’annuaire (F8 au démarrage du serveur). Nous utilisons le compte de restauration d’annuaire qui n’est pas le compte administrateur du domaine (ne perdez pas ce mot de passe, sinon réinitialiser le).

Une fois la session ouverte faîtes « Démarrer \exécuter \ » puis « ntbackup »

Dans l’utilitaire Ntbackup sélectionner « état de système » et vérifier que « restaurer le fichier » contient la valeur « emplacement d’origine ».

 

Lorsque la restauration de l’annuaire Active Directory est terminée, il ne faut pas redémarrer le serveur de suite. Nous allons ouvrir une « invite de commande DOS » et par l’utilitaire de maintenance Active Directory, nous modifions l’objet « user1 » supprimé avant pour indiquer au contrôleur de domaine qu’il est l’objet d’une restauration autoritaire.

Ntdsutil

Authorative restore

Restore object “cn=user1,ou=utilisateur,dc=dom1,dc=local”

Après avoir modifié le statut de notre objet, il ne nous reste plus qu’à redémarrer notre contrôleur de domaine. Au démarrage il va se répliquer avec le DC en 2008r2. L’utilisateur « user1 » qui a est marqué comme supprimé sur le 2008R2  va réapparaître sur celui-ci, car le contrôleur de domaine a reçu l’ordre de restaurer l’objet. Par contre l’utilisateur « user2 » qui existe bien dans la sauvegarde et donc sur le serveur 2003R2 avant le redémarrage va être supprimé du 2003 R2 car il n’a pas été marqué en tant que restauration autoritaire.

 

Au début de ce chapitre je vous ai expliqué que lorsque vous supprimé un objet, celui-ci n’est en réalité pas supprimer de suite mais il est marqué pour suppression. Dans ce cas j’aurai pu envisager plutôt que de restaurer l’état du système sur un DC et de marquer l’objet à restaurer, de simplement modifier l’objet supprimé comme étant non supprimé. Cela paraît bien simple puisque l’objet dispose d’un attribut « is deleted » qu’il suffirait de modifier. Eh bien non. Il faut bien comprendre qu’un objet supprimé va au fil du temps perdre ses attributs et si je modifie son état cela ne va pas restaurer les attributs perdu. Il s’agit dans ce cas d’une réanimation d’un « Tombstone ».

A partir de 2008, il est possible d’activer une étape intermédiaire lors de la suppression d’un objet. Cet élément est la corbeille « Active Directory » qui vous évitera de passer par l’étape de restauration de l’état du système.