Comment faire pour restaurer des comptes d'utilisateurs supprimés et leur appartenance aux groupes dans Active Directory

Traductions disponibles Traductions disponibles
Numéro d'article: 840001 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Vous pouvez appliquer trois méthodes pour restaurer des comptes d'utilisateur, des comptes d'ordinateur et des groupes de sécurité supprimés. Ces objets sont collectivement connus comme des entités de sécurité. Dans les trois méthodes, vous effectuez une restauration faisant autorité des objets supprimés, puis vous restaurez les informations d'appartenance aux groupes des entités de sécurité supprimées. Lorsque vous restaurez un objet supprimé, vous devez restaurer les valeurs précédentes des attributs member et memberOf dans l'entité de sécurité affectée. Vous trouverez les trois méthodes décrites ci-dessous :
  • Méthode 1 : restauration des comptes d'utilisateurs supprimés et réintégration des utilisateurs restaurés à leurs groupes à l'aide de l'outil de ligne de commande Ntdsutil.exe (Microsoft Windows Server 2003 Service Pack 1 [SP1] uniquement)
  • Méthode 2 : restauration des comptes d'utilisateurs supprimés et réintégration des utilisateurs restaurés à leurs groupes
  • Méthode 3 : double opération de restauration faisant autorité sur les comptes d'utilisateur supprimés et les groupes de sécurité des utilisateurs supprimés
Remarque : Cet article de la Base de connaissances n'aborde pas les détails de la fonction Corbeille Active Directory incluse dans Windows Server 2008 R2. Veuillez consulter la section Références pour plus d'informations sur cette fonction.

Les méthodes 1 et 2 offrent une meilleure expérience aux utilisateurs et aux administrateurs de domaine, car elles conservent les ajouts aux groupes de sécurité qui ont été effectués entre l'heure de la dernière sauvegarde d'état du système et l'heure de la suppression. Dans la méthode 3, au lieu d'effectuer des ajustements individuels aux entités de sécurité, vous restaurez les appartenances du groupe de sécurité à leur état lors de la dernière sauvegarde.

Si vous ne disposez pas de sauvegarde valide de l'état du système et si le domaine où la suppression a eu lieu contient des contrôleurs de domaine Windows Server 2003, vous pouvez récupérer manuellement ou par programmation les objets supprimés. Vous pouvez également utiliser l'utilitaire Repadmin pour déterminer l'endroit et l'heure de suppression d'un utilisateur.

La plupart des suppressions à grande échelle sont accidentelles. Microsoft vous recommande d'appliquer plusieurs étapes pour empêcher les autres personnes de supprimer des objets en bloc.

Remarque Pour empêcher la suppression ou le déplacement accidentel d'objets (notamment les unités d'organisation), il est possible d'ajouter deux entrées de contrôle d?accès (ACE) de type Refuser au descripteur de sécurité de chaque objet (DENY "DELETE" & "DELETE TREE") et une entrée de contrôle d?accès de type Refuser au descripteur de sécurité du PARENT de chaque objet (DENY "DELETE CHILD"). Pour effectuer cette action dans Windows 2000 Server et Windows Server 2003, utilisez Utilisateurs et ordinateurs Active Directory, ADSIEdit, LDP, ou l'outil de ligne de commande DSACLS. Vous pouvez également modifier les autorisations par défaut dans le schéma Active Directory pour les unités d'organisation de sorte que les ACE soient incluses par défaut.

Par exemple, pour protéger l'unité d'organisation appelée Utilisateurs dans le domaine AD appelé CONTOSO.COM contre tout déplacement ou suppression accidentelle de son unité d'organisation parente appelée MaSociété, réalisez la configuration suivante :

Pour l'unité d'organisation MaSociété, ajoutez DENY ACE pour Tout le monde à DELETE CHILD avec la portée Cet objet uniquement :
DSACLS "OU=MaSociété,DC=CONTOSO,DC=COM" /D "EVERYONE:DC"

Pour l'unité d'organisation Utilisateurs, ajoutez DENY ACE pour Tout le monde à DELETE CHILD avec la portée Cet objet uniquement :
DSACLS "OU=Utilisateur,OU=MaSociété,DC=CONTOSO,DC=COM" /D "EVERYONE:SDDT"

Le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory de Windows Server 2008 comporte une case à cocher Protéger l?objet des suppressions accidentelles sous l'onglet Objet.

Remarque La case à cocher Fonctionnalités avancées doit être activée pour afficher cet onglet.

Lorsque vous créez une unité d'organisation à l'aide d'Utilisateurs et ordinateurs Active Directory dans Windows Server 2008, la case à cocher Protéger le conteneur contre une suppression accidentelle apparaît. Par défaut, la case à cocher est activée et peut être désactivée.

Bien que les ACE permettent de configurer chaque objet dans Active Directory, elles sont plus adaptées pour les unités d'organisation. La suppression ou le déplacement de tous les objets feuille peut avoir un impact majeur. Cette configuration empêche ces suppressions ou déplacements. Pour supprimer ou déplacer un objet avec une telle configuration en place, il est nécessaire de supprimer d'abord les ACE de type Refuser.

Plus d'informations

Cet article explique étape par étape comment restaurer des comptes d'utilisateurs, des comptes d'ordinateurs et leur appartenance aux groupes une fois qu'ils ont été supprimés d'Active Directory. Dans les différentes variations de ce scénario, les comptes d'utilisateurs, les comptes d'ordinateurs ou les groupes de sécurité ont pu être supprimés individuellement ou dans certaines combinaisons. Dans tous ces cas, les mêmes étapes initiales s'appliquent : vous effectuez une restauration faisant autorité de ces objets qui ont été supprimés par inadvertance. La restauration de certains de ces objets supprimés demande du travail supplémentaire. Ces objets comprennent des comptes d'utilisateurs qui contiennent des attributs qui sont des liens inverses des attributs d'autres objets. Deux de ces attributs sont managedBy et memberOf.

Lorsque vous ajoutez des entités de sécurité telles qu'un compte d'utilisateur, un groupe de sécurité ou un compte d'ordinateur à un groupe de sécurité, vous apportez les modifications suivantes dans Active Directory :
  1. Le nom de l'entité de sécurité est ajouté à l'attribut member de chaque groupe de sécurité.
  2. Pour chaque groupe de sécurité dont l'utilisateur, l'ordinateur ou le groupe de sécurité est un membre, un lien inverse est ajouté à l'attribut memberOf de l'entité de sécurité.
De la même façon, lorsqu'un utilisateur, un ordinateur ou un groupe est supprimé d'Active Directory, les actions suivantes se produisent :
  1. L'entité de sécurité supprimée est déplacée dans le conteneur d'objets supprimés.
  2. Plusieurs valeurs d'attribut, notamment l'attribut memberOf, sont supprimées de l'entité de sécurité supprimée.
  3. Les entités de sécurité supprimées sont supprimées de tous les groupes de sécurité dont elles étaient membres. En d'autres termes, les entités de sécurité supprimées sont supprimées de l'attribut member de chaque groupe de sécurité.
Lorsque vous récupérez des entités de sécurité supprimées et que vous restaurez leur appartenance au groupe, le point-clé que vous devez garder à l'esprit, c'est que chaque entité de sécurité doit exister dans Active Directory avant de restaurer son appartenance au groupe. (Le membre peut être un utilisateur, un ordinateur ou un autre groupe de sécurité). Pour répéter cette règle plus largement, un objet qui contient des attributs dont les valeurs sont des liens inverses doit exister dans Active Directory avant que l'objet qui contient ce lien suivant puisse être restauré ou modifié.

Même si cet article se concentre sur la procédure à suivre pour récupérer des comptes d'utilisateurs supprimés et leur appartenance aux groupes de sécurité, ses concepts s'appliquent également à d'autres suppressions d'objets : aux objets supprimés dont les valeurs d'attribut utilisent les liens suivants et inverses vers d'autres objets dans Active Directory.

Vous pouvez utiliser l'une des trois méthodes pour récupérer des entités de sécurité. Lorsque vous utilisez la méthode 1, vous laissez à leur place toutes les entités de sécurité qui ont été ajoutées à tout groupe de sécurité dans la forêt et vous réinsérez dans leurs groupes de sécurité uniquement les entités de sécurité qui ont été supprimées de leurs domaines respectifs. Par exemple, vous effectuez une sauvegarde d'état du système, vous ajoutez un utilisateur à un groupe de sécurité, puis vous restaurez la sauvegarde d'état du système. Lorsque vous utilisez la méthode 1 ou 2, vous conservez tous les utilisateurs qui ont été ajoutés aux groupes de sécurité contenant les utilisateurs supprimés entre les dates de création de la sauvegarde d'état du système et la date de restauration de la sauvegarde. Lorsque vous utilisez la méthode 3, vous restaurez des appartenances aux groupes de sécurité pour tous les groupes de sécurité contenant les utilisateurs supprimés dans l'état qui était le leur au moment de la sauvegarde d'état du système.

Méthode 1 : Restaurez les comptes d'utilisateur supprimés, puis replacez les utilisateurs restaurés dans leurs groupes à l'aide de l'outil de ligne de commande Ntdsutil.exe (Microsoft Windows Server 2003 avec le Service Pack 1 [SP1] uniquement)

Remarque Cette méthode n'est valide que sur les contrôleurs de domaine exécutés sur Windows Server 2003 SP1. Si Windows Server 2003 SP1 n'est pas installé sur les contrôleurs de domaine utilisés pour la récupération, utilisez la méthode 2.

Dans Windows Server 2003 SP1, une fonctionnalité a été ajoutée à l'outil de ligne de commande Ntdsutil.exe pour permettre aux administrateurs de restaurer plus facilement les liens inverses des objets supprimés. Deux fichiers sont générés pour chaque opération de restauration faisant autorité : l'un contient la liste des objets restaurés faisant autorité ; l'autre est un fichier .ldf utilisé avec l'utilitaire Ldifde.exe. Ce fichier sert à restaurer les liens inverses dans le cas des objets restaurés faisant autorité. Dans Windows Server 2003 SP1, la restauration faisant autorité d'un objet utilisateur génère également des fichiers LDIF avec une appartenance au groupe. Cette méthode évite de réaliser une double restauration.

Lorsque vous employez cette méthode, vous exécutez les étapes de niveau supérieur suivantes :
  1. Vérifiez qu'un catalogue global dans le domaine de l'utilisateur n'a pas répliqué dans la suppression, puis empêchez ce catalogue global de répliquer. Si aucun catalogue global latent n'est présent, recherchez la dernière sauvegarde d'état du système d'un contrôleur de domaine de catalogue global dans le domaine de base de l'utilisateur supprimé.
  2. La restauration faisant autorité restaure tous les comptes d'utilisateurs supprimés, puis autorise la réplication de bout en bout de ces comptes d'utilisateurs.
  3. Réintégrez tous les utilisateurs restaurés à tous les groupes des domaines dont les comptes d'utilisateurs étaient membres avant leur suppression.
Pour appliquer la méthode 1, procédez comme suit :
  1. Vérifiez qu'un contrôleur de domaine de catalogue global dans le domaine de base de l'utilisateur supprimé n'a pas répliqué une seule partie de la suppression.

    Remarque Concentrez-vous sur les catalogues globaux dont les planifications de réplication sont les moins fréquentes.

    Si un ou plusieurs de ces catalogues globaux sont présents, utilisez l'outil de ligne de commande Repadmin.exe pour désactiver immédiatement la réplication entrante. Pour cela, procédez comme suit :
    1. Cliquez sur Démarrer, puis sur Exécuter.
    2. Tapez cmd dans la zone Ouvrir, puis cliquez sur OK.
    3. Tapez la commande suivante à l'invite de commandes, puis appuyez sur ENTRÉE :
      repadmin /options <nom_cd_récupération> +DISABLE_INBOUND_REPL
      Remarque Si vous ne pouvez pas exécuter immédiatement la commande Repadmin, supprimez toute la connectivité réseau à partir du catalogue global latent jusqu'à ce que vous puissiez utiliser Repadmin pour désactiver la réplication entrante, puis revenez immédiatement à la connectivité réseau.
    Ce contrôleur de domaine sera désigné contrôleur de domaine de récupération. Si le catalogue global n'est pas présent, passez à l'étape 2.
  2. Nous vous conseillons de cesser d'apporter des modifications aux groupes de sécurité de la forêt si toutes les conditions suivantes sont réunies :
    • Vous utilisez la méthode 1 pour effectuer une restauration faisant autorité des utilisateurs ou des comptes d'ordinateurs supprimés par leur chemin de nom unique (DN, distinguished name).
    • La suppression a répliqué sur tous les contrôleurs de domaine de la forêt sauf sur le contrôleur de domaine de récupération latent.
    • Vous n'effectuez pas de restauration faisant autorité des groupes de sécurité ou de leurs conteneurs parents.
    Si vous effectuez une restauration faisant autorité des groupes de sécurité ou des conteneurs d'unités d'organisation qui hébergent des groupes de sécurité ou des comptes d'utilisateurs hôtes, cessez temporairement toutes ces modifications.

    Outre les utilisateurs de domaine dans le domaine où la suppression s'est produite, avertissez les administrateurs et les administrateurs de support technique dans les domaines appropriés sur l'arrêt de ces modifications.
  3. Créez une nouvelle sauvegarde d'état du système dans le domaine où la suppression s'est produite. Vous pouvez utiliser cette sauvegarde si vous devez restaurer vos modifications.

    Remarque Si les sauvegardes d'état du système sont actuelles jusqu'au moment de la suppression, ignorez cette étape et passez à l'étape 4.

    Si vous avez identifié un contrôleur de domaine de récupération à l'étape 1, sauvegardez maintenant son état de système.

    Si tous les catalogues globaux présents dans le domaine où la suppression s'est produite ont répliqué dans la suppression, sauvegardez l'état du système d'un catalogue global dans le domaine où la suppression s'est produite.

    Lorsque vous créez une sauvegarde, vous pouvez restaurer le contrôleur de domaine de récupération à son état actuel et exécuter une nouvelle fois votre plan de récupération si votre première tentative a échoué.
  4. Si vous ne pouvez pas trouver un contrôleur de domaine de catalogue global latent dans le domaine où la suppression d'utilisateur s'est produite, recherchez la dernière sauvegarde d'état du système d'un contrôleur de domaine de catalogue global dans ce domaine. Cette sauvegarde d'état du système doit contenir les objets supprimés. Utilisez ce contrôleur de domaine comme contrôleur de domaine de récupération.

    Seules les restaurations des contrôleurs de domaine de catalogue global dans le domaine de l'utilisateur contiennent les informations d'appartenance aux groupes universels et globaux des groupes de sécurité qui résident dans les domaines externes. Si aucune sauvegarde d'état du système d'un contrôleur de domaine de catalogue global dans le domaine où les utilisateurs ont été supprimés n'est présente, vous ne pouvez pas utiliser l'attribut memberOf sur les comptes d'utilisateurs restaurés pour déterminer l'appartenance aux groupes universels ou globaux ou pour récupérer l'appartenance dans les domaines externes. En outre, il est préférable de rechercher la dernière sauvegarde d'état du système d'un contrôleur de domaine de catalogue non global.
  5. Si vous connaissez le mot de passe du compte d'administrateur hors connexion, démarrez le contrôleur de domaine de récupération en mode Dsrepair. Si vous ne connaissez pas le mot de passe du compte d'administrateur hors connexion, réinitialisez le mot de passe lorsque le contrôleur de domaine de récupération est encore en mode Active Directory normal.

    Vous pouvez utiliser l'outil de ligne de commande setpwd pour réinitialiser le mot de passe sur les contrôleurs de domaine Microsoft Windows 2000 Service Pack 2 (SP2) et version ultérieure lorsqu'ils sont en mode Active Directory en ligne.

    Remarque Microsoft ne prend plus en charge Windows 2000.

    Pour plus d'informations sur la modification du mot de passe de l'administrateur de la console de récupération, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
    239803 Comment faire pour modifier le mot de passe de l'administrateur de la console de récupération sur un contrôleur de domaine
    Les administrateurs des contrôleurs de domaine Windows Server 2003 peuvent utiliser la commande set dsrm password dans l'outil de ligne de commande Ntdsutil pour réinitialiser le mot de passe du compte d'administrateur hors connexion.

    Pour plus d'informations sur la façon de réinitialiser le compte d'administrateur du mode Restauration des services d'annuaire, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
    322672 COMMENT FAIRE : Réinitialisation du mot de passe administrateur de restauration des services d'annuaire dans Windows Server 2003
  6. Appuyez sur F8 lors du processus de démarrage pour démarrer le contrôleur de domaine de récupération en mode Dsrepair. Connectez-vous à la console du contrôleur de domaine de récupération avec le compte d'administrateur hors connexion. Si vous réinitialisez le mot de passe à l'étape 5, utilisez le nouveau mot de passe.

    Si le contrôleur de domaine de récupération est un contrôleur de domaine de catalogue global latent, ne restaurez pas l'état du système. Passez à l'étape 7.

    Si vous créez le contrôleur de domaine de récupération à l'aide d'une sauvegarde d'état du système, restaurez maintenant la dernière sauvegarde d'état du système qui a été effectuée sur le contrôleur de domaine de récupération.
  7. La restauration faisant autorité restaure les comptes d'utilisateurs supprimés, les comptes d'ordinateurs supprimés ou les groupes de sécurité supprimés.

    Remarque Le terme restauration faisant autorité fait référence à l'utilisation de la commande authoritative restore de l'outil de ligne de commande Ntdsutil pour incrémenter les numéros de version des objets ou conteneurs spécifiques et tous leurs objets subordonnés. Dès que la réplication de bout en bout se produit, les objets ciblés dans la copie locale du contrôleur de domaine de récupération d'Active Directory font autorité sur tous les contrôleurs de domaine qui partagent cette partition. Une restauration faisant autorité est différente d'une restauration d'état du système. Une restauration d'état du système remplit la copie locale du contrôleur de domaine de récupération d'Active Directory par les versions des objets au moment de la sauvegarde d'état du système.

    Pour plus d'informations sur la restauration faisant autorité d'un contrôleur de domaine, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
    241594 Comment faire pour exécuter une restauration faisant autorité sur un contrôleur de domaine dans Windows 2000


    Les restaurations faisant autorité sont exécutées avec l'outil de ligne de commande Ntdsutil et font référence au chemin d'accès du nom de domaine (nd) des utilisateurs supprimés ou des conteneurs qui hébergent les utilisateurs supprimés.

    Lorsque vous effectuez une restauration faisant autorité, utilisez les chemins d'accès du nom de domaine (nd) qui sont aussi bas que possible dans l'arborescence de domaine pour éviter de rétablir des objets qui ne sont en rapport avec la suppression. Ces objets peuvent comprendre les objets qui ont été modifiés après la sauvegarde d'état du système.

    La restauration faisant autorité a supprimé des utilisateurs dans l'ordre suivant :
    1. La restauration faisant autorité restaure le chemin d'accès de nom de domaine (nd) de chaque compte d'utilisateur, chaque compte d'ordinateur ou chaque groupe de sécurité supprimé.

      Les restaurations faisant autorité d'objets spécifiques sont plus longues, mais moins destructrices que les restaurations faisant autorité d'une sous-arborescence complète. La restauration faisant autorité restaure le conteneur parent courant le plus bas qui contient les objets supprimés.

      Ntdsutil utilise la syntaxe suivante :
      ntdsutil "authoritative restore" "restore object <chemin_ND_objet>" q q
      Par exemple, pour effectuer une restauration faisant autorité de l'utilisateur supprimé <JohnDoe> dans l'Unité d'organisation <Mayberry> du domaine <Contoso.com>, utilisez la commande suivante :
      ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
      Pour effectuer une restauration faisant autorité du groupe de sécurité supprimé <ContosoPrintAccess> dans l'Unité d'organisation <Mayberry> du domaine <Contoso.com>, utilisez la commande suivante :
      ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q


      Important L'utilisation des guillemets est requise.

      Pour chaque utilisateur que vous restaurez, au moins deux fichiers sont générés. Ces fichiers présentent le format suivant :

      ar_AAAAMMJJ-HHMMSS_objects.txt
      Ce fichier contient la liste des objets restaurés faisant autorité. Utilisez ce fichier avec la commande ntdsutil authoritatative restore "create ldif file from" dans les autres domaines de la forêt où l'utilisateur était membre de groupes locaux de domaine.

      ar_AAAAMMJJ-HHMMSS_links_usn.loc.ldf
      Si vous effectuez la restauration faisant autorité sur un catalogue global, l'un de ces fichiers est généré pour chaque domaine de la forêt. Ce fichier contient un script que vous pouvez utiliser avec l'utilitaire Ldifde.exe. Ce script restaure les liens inverses des objets restaurés. Dans le domaine de base de l'utilisateur, le script restaure toutes les appartenances aux groupes des utilisateurs restaurés. Dans tous les autres domaines de la forêt où l'utilisateur possède des appartenances à des groupes, le script restaure uniquement les appartenances aux groupes universels ou globaux. Le script ne restaure pas les appartenances aux groupes locaux de domaine. Ces appartenances ne sont pas suivies par un catalogue global.
    2. La restauration faisant autorité restaure uniquement les conteneurs d'unité d'organisation (OU) ou de nom commun (CN) qui hébergent les comptes d'utilisateurs ou les groupes supprimés.

      Les restaurations faisant autorité d'une sous-arborescence complète sont valides lorsque l'unité d'organisation qui est ciblée par la commande ntdsutil "authoritative restore" contient la majorité écrasante des objets pour lesquels vous essayez d'effectuer une restauration faisant autorité. Idéalement, l'unité d'organisation ciblée contient tous les objets pour lesquels vous essayez d'effectuer une restauration faisant autorité.

      Une restauration faisant autorité d'une sous-arborescence d'unité d'organisation restaure tous les attributs et les objets qui résident dans le conteneur. Toute modification apportée au moment de la restauration de la sauvegarde d'état du système est remise sur ses valeurs au moment de la sauvegarde. Avec les comptes d'utilisateurs, les comptes d'ordinateurs et les groupes de sécurité, cette reprise peut signifier la perte des dernières modifications apportées aux mots de passe, au répertoire de base, au chemin d'accès de profil, à l'emplacement et aux informations de contact, à l'appartenance aux groupes et à tous les descripteurs de sécurité qui sont définis sur ces objets et sur ces attributs.

      Ntdsutil utilise la syntaxe suivante :
      ntdsutil "authoritative restore" "restore subtree <chemin_ND_conteneur>" q q
      Par exemple, pour effectuer une restauration faisant autorité de l'Unité d'organisation <Mayberry> du domaine <Contoso.com>, utilisez la commande suivante :
      ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q
    Remarque Répétez cette étape pour chaque unité d'organisation homologue qui héberge les utilisateurs ou les groupes supprimés.

    Important Lorsque vous restaurez un objet subordonné d'une unité d'organisation, tous les conteneurs parents supprimés des objets subordonnés supprimés doivent explicitement faire l'objet d'une restauration faisant autorité.

    Pour chaque unité d'organisation que vous restaurez, au moins deux fichiers sont générés. Ces fichiers présentent le format suivant :

    ar_AAAAMMJJ-HHMMSS_objects.txt

    Ce fichier contient la liste des objets restaurés faisant autorités. Utilisez ce fichier avec la commande ntdsutil authoritatative restore "create ldif file from" dans les autres domaines de la forêt où les utilisateurs restaurés étaient membres de groupes locaux de domaine.

    Pour plus d'informations, visitez le site Web de Microsoft à l'adresse suivante :
    http://technet.microsoft.com/fr-fr/library/cc706993(WS.10).aspx
    ar_AAAAMMJJ-HHMMSS_links_usn.loc.ldf
    Ce fichier contient un script que vous pouvez utiliser avec l'utilitaire Ldifde.exe. Ce script restaure les liens inverses des objets restaurés. Dans le domaine de base de l'utilisateur, le script restaure toutes les appartenances aux groupes des utilisateurs restaurés.
  8. Si les objets supprimés ont été récupérés sur le contrôleur de domaine de récupération par le biais d'une restauration d'état du système, supprimez tous les câbles réseau qui fournissent la connectivité réseau sur tous les autres contrôleurs de domaine de la forêt.
  9. Redémarrez le contrôleur de domaine de récupération en mode Active Directory normal.
  10. Tapez la commande suivante pour désactiver la réplication entrante dans le contrôleur de domaine de récupération :
    repadmin /options <nom_cd_récupération> +DISABLE_INBOUND_REPL
    Réactivez la connectivité réseau sur le contrôleur de domaine de récupération dont l'état du système a été restauré.
  11. Effectuez une réplication sortante de la restauration faisant autorité à partir du contrôleur de domaine de récupération sur les contrôleurs de domaine dans le domaine et dans la forêt.

    Pendant que la réplication entrante sur le contrôleur de domaine de récupération reste désactivée, tapez la commande suivante pour pousser les objets de la restauration faisant autorité sur tous les contrôleurs de domaine de réplication entre sites dans le domaine et sur tous les catalogues globaux dans la forêt :
    repadmin /syncall /d /e /P <cd-récupération> <Contexte de nom>
    Si toutes les instructions suivantes sont remplies, les liens d'appartenance aux groupes sont reconstitués lors de la restauration et de la réplication des comptes d'utilisateur supprimés. Passez à l'étape 14.

    Remarque Si une ou plusieurs des conditions suivantes ne sont pas remplies, passez à l'étape 12.
    • Votre forêt s'exécute au niveau fonctionnel de la forêt de Windows Server 2003 ou au niveau fonctionnel de la forêt intermédiaire de Windows Server 2003.
    • Seuls les comptes d'utilisateurs ou les comptes d'ordinateurs ont été supprimés, pas les groupes de sécurité.
    • Les utilisateurs supprimés ont été ajoutés aux groupes de sécurité dans tous les domaines de la forêt une fois que la forêt a été transférée au niveau fonctionnel de la forêt de Windows Server 2003.
  12. Sur la console du contrôleur de domaine de récupération, utilisez l'utilitaire Ldifde.exe et le fichier ar_AAAAMMJJ-HHMMSS_links_usn.loc.ldf pour restaurer les appartenances aux groupes de l'utilisateur. Pour cela, procédez comme suit :
    • Cliquez sur Démarrer, puis sur Exécuter, tapez cmd dans la zone Ouvrir, puis cliquez sur OK.
    • À l'invite de commandes, tapez la commande suivante, puis appuyez sur la touche Entrée :
      ldifde -i -f ar_AAAAMMJJ-HHMMSS_links_usn.loc.ldf
    L'importation LDIFDE peut échouer et le message d'erreur suivant peut s'afficher :
    Erreur d'ajout sur la ligne <xxx> : syntaxe non valide. L'erreur du côté serveur est « Le paramètre est incorrect. »
    Si le numéro de ligne posant problème dans le fichier LINKS.LDF fait référence à l'un des trois attributs d'informations d?identification itinérantes msPKIDPAPIMasterKeys, msPKIAccountCredentials or msPKIRoamingTimeStamp, consultez l'article de la Base de connaissances Microsoft suivant :
    2014074 Erreur « Le paramètre est incorrect » Tentative d'importation d'un fichier LDF pour une restauration faisant autorité
    Remarque Cet article décrit les modifications à apporter pour réussir l'importation du fichier LINKS LDF.
  13. Activez la réplication entrante sur le contrôleur de domaine de récupération à l'aide de la commande suivante :
    repadmin /options <nom_cd_récupération> -DISABLE_INBOUND_REPL
  14. Si les utilisateurs supprimés ont été ajoutés aux groupes locaux dans les domaines externes, effectuez l'une des opérations suivantes :
    • Réinsérez manuellement les utilisateurs supprimés à ces groupes.
    • Restaurez l'état du système et effectuez une restauration faisant autorité de chacun des groupes de sécurité locaux qui contient les utilisateurs supprimés.
  15. Vérifiez l'appartenance aux groupes dans le domaine du contrôleur de domaine de récupération et dans les catalogues globaux des autres domaines.
  16. Effectuez une nouvelle sauvegarde de l'état du système des contrôleurs de domaine dans le domaine du contrôleur de domaine de récupération.
  17. Avertissez tous les administrateurs de la forêt, les administrateurs délégués, les administrateurs du support technique de la forêt et les utilisateurs du domaine que la restauration de l'utilisateur est terminée.

    Les administrateurs du support technique devront peut-être réinitialiser les mots de passe des comptes d'utilisateurs pour lesquels une restauration faisant autorité a été effectuée ainsi que les comptes d'ordinateurs dont le mot de passe de domaine a été modifié après la restauration du système.

    Les utilisateurs qui ont modifié leur mot de passe après la sauvegarde d'état du système se rendront compte que leur dernier mot de passe ne fonctionne plus. Invitez ces utilisateurs à essayer d'ouvrir une session à l'aide de leurs anciens mots de passe s'ils s'en souviennent. Sinon, les administrateurs du support technique devront réinitialiser le mot de passe et activer la case à cocher L'utilisateur doit changer le mot de passe à la prochaine ouverture de session, de préférence sur un contrôleur de domaine situé sur le même site Active Directory où l'utilisateur se trouve.

Méthode 2 : Restauration des comptes d'utilisateur supprimés, puis réinsertion des utilisateurs restaurés à leurs groupes

Lorsque vous utilisez cette méthode, vous appliquez les étapes de niveau supérieur suivantes :
  1. Vérifiez qu'un catalogue global dans le domaine de l'utilisateur n'a pas répliqué dans la suppression, puis empêchez ce catalogue global de répliquer. Si aucun catalogue global latent n'est présent, recherchez la dernière sauvegarde d'état du système d'un contrôleur de domaine de catalogue global dans le domaine de base de l'utilisateur supprimé.
  2. La restauration faisant autorité restaure tous les comptes d'utilisateurs supprimés, puis autorise la réplication de bout en bout de ces comptes d'utilisateurs.
  3. Réintégrez tous les utilisateurs restaurés à tous les groupes des domaines dont les comptes d'utilisateurs étaient membres avant leur suppression.
Pour appliquer la méthode 2, procédez comme suit :
  1. Vérifiez qu'un contrôleur de domaine de catalogue global dans le domaine de base de l'utilisateur supprimé n'a pas répliqué une seule partie de la suppression.

    Remarque Concentrez-vous sur les catalogues globaux dont les planifications de réplication sont les moins fréquentes.

    Si un ou plusieurs de ces catalogues globaux sont présents, utilisez l'outil de ligne de commande Repadmin.exe pour désactiver immédiatement la réplication entrante. Pour cela, procédez comme suit :
    1. Cliquez sur Démarrer, puis sur Exécuter.
    2. Tapez cmd dans la zone Ouvrir, puis cliquez sur OK.
    3. Tapez la commande suivante à l'invite de commandes, puis appuyez sur ENTRÉE :
      repadmin /options <nom_cd_récupération> +DISABLE_INBOUND_REPL
      Remarque Si vous ne pouvez pas exécuter immédiatement la commande Repadmin, supprimez toute la connectivité réseau à partir du catalogue global latent jusqu'à ce que vous puissiez utiliser Repadmin pour désactiver la réplication entrante, puis revenez immédiatement à la connectivité réseau.
    Ce contrôleur de domaine sera désigné contrôleur de domaine de récupération. Si le catalogue global n'est pas présent, passez à l'étape 2.
  2. Décidez si les ajouts, les suppressions et les modifications apportés aux comptes d'utilisateurs, aux comptes d'ordinateurs et aux groupes de sécurité doivent être temporairement arrêtés jusqu'à ce que toutes les étapes de récupération aient été effectuées.

    Pour maintenir le chemin d'accès de récupération le plus flexible, cessez temporairement d'apporter des modifications aux éléments suivants. Les modifications comprennent les réinitialisations de mot de passe par les utilisateurs du domaine, les administrateurs d'assistance utilisateur et les administrateurs de support technique dans lequel la suppression s'est produite, outre les modifications d'appartenance aux groupes d'utilisateurs supprimés. Pensez à faire arrêter les ajouts, les suppressions et les modifications apportés aux éléments suivants :
    1. Comptes d'utilisateurs et attributs des comptes d'utilisateurs
    2. Comptes d'ordinateurs et attributs des comptes d'ordinateurs
    3. Comptes de services
    4. Groupes de sécurité
    Nous vous conseillons de cesser d'apporter des modifications aux groupes de sécurité de la forêt si toutes les conditions suivantes sont réunies :
    • Vous utilisez la méthode 2 pour effectuer une restauration faisant autorité des utilisateurs ou des comptes d'ordinateurs supprimés par leur chemin d'accès de nom de domaine (nd).
    • La suppression a répliqué sur tous les contrôleurs de domaine de la forêt sauf sur le contrôleur de domaine de récupération latent.
    • Vous n'effectuez pas de restauration faisant autorité des groupes de sécurité ou de leurs conteneurs parents.
    Si vous effectuez une restauration faisant autorité des groupes de sécurité ou des conteneurs d'unités d'organisation qui hébergent des groupes de sécurité ou des comptes d'utilisateurs hôtes, cessez temporairement toutes ces modifications.

    Outre les utilisateurs de domaine dans le domaine où la suppression s'est produite, avertissez les administrateurs et les administrateurs de support technique dans les domaines appropriés sur l'arrêt de ces modifications.
  3. Créez une nouvelle sauvegarde d'état du système dans le domaine où la suppression s'est produite. Vous pouvez utiliser cette sauvegarde si vous devez restaurer vos modifications.

    Remarque Si les sauvegardes d'état du système sont actuelles jusqu'au moment de la suppression, ignorez cette étape et passez à l'étape 4.

    Si vous avez identifié un contrôleur de domaine de récupération à l'étape 1, sauvegardez maintenant son état de système.

    Si tous les catalogues globaux présents dans le domaine où la suppression s'est produite ont répliqué dans la suppression, sauvegardez l'état du système d'un catalogue global dans le domaine où la suppression s'est produite.

    Lorsque vous créez une sauvegarde, vous pouvez restaurer le contrôleur de domaine de récupération à son état actuel et exécuter une nouvelle fois votre plan de récupération si votre première tentative a échoué.
  4. Si vous ne pouvez pas trouver un contrôleur de domaine de catalogue global latent dans le domaine où la suppression d'utilisateur s'est produite, recherchez la dernière sauvegarde d'état du système d'un contrôleur de domaine de catalogue global dans ce domaine. Cette sauvegarde d'état du système doit contenir les objets supprimés. Utilisez ce contrôleur de domaine comme contrôleur de domaine de récupération.

    Seules les restaurations des contrôleurs de domaine de catalogue global dans le domaine de l'utilisateur contiennent les informations d'appartenance aux groupes universels et globaux des groupes de sécurité qui résident dans les domaines externes. Si aucune sauvegarde d'état du système d'un contrôleur de domaine de catalogue global dans le domaine où les utilisateurs ont été supprimés n'est présente, vous ne pouvez pas utiliser l'attribut memberOf sur les comptes d'utilisateurs restaurés pour déterminer l'appartenance aux groupes universels ou globaux ou pour récupérer l'appartenance dans les domaines externes. En outre, il est préférable de rechercher la dernière sauvegarde d'état du système d'un contrôleur de domaine de catalogue non global.
  5. Si vous connaissez le mot de passe du compte d'administrateur hors connexion, démarrez le contrôleur de domaine de récupération en mode Dsrepair. Si vous ne connaissez pas le mot de passe du compte d'administrateur hors connexion, réinitialisez le mot de passe lorsque le contrôleur de domaine de récupération est encore en mode Active Directory normal.

    Vous pouvez utiliser l'outil de ligne de commande setpwd pour réinitialiser le mot de passe sur les contrôleurs de domaine Microsoft Windows 2000 Service Pack 2 (SP2) et version ultérieure lorsqu'ils sont en mode Active Directory en ligne.

    Remarque Microsoft ne prend plus en charge Windows 2000.

    Pour plus d'informations sur la modification du mot de passe de l'administrateur de la console de récupération, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
    239803 Comment faire pour modifier le mot de passe de l'administrateur de la console de récupération sur un contrôleur de domaine
    Les administrateurs des contrôleurs de domaine Windows Server 2003 peuvent utiliser la commande set dsrm password dans l'outil de ligne de commande Ntdsutil pour réinitialiser le mot de passe du compte d'administrateur hors connexion.

    Pour plus d'informations sur la façon de réinitialiser le compte d'administrateur du mode Restauration des services d'annuaire, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
    322672 COMMENT FAIRE : Réinitialisation du mot de passe administrateur de restauration des services d'annuaire dans Windows Server 2003
  6. Appuyez sur F8 lors du processus de démarrage pour démarrer le contrôleur de domaine de récupération en mode Dsrepair. Connectez-vous à la console du contrôleur de domaine de récupération avec le compte d'administrateur hors connexion. Si vous réinitialisez le mot de passe à l'étape 5, utilisez le nouveau mot de passe.

    Si le contrôleur de domaine de récupération est un contrôleur de domaine de catalogue global latent, ne restaurez pas l'état du système. Passez à l'étape 7.

    Si vous créez le contrôleur de domaine de récupération à l'aide d'une sauvegarde d'état du système, restaurez maintenant la dernière sauvegarde d'état du système qui a été effectuée sur le contrôleur de domaine de récupération.
  7. La restauration faisant autorité restaure les comptes d'utilisateurs supprimés, les comptes d'ordinateurs supprimés ou les groupes de sécurité supprimés.

    Remarque Le terme restauration faisant autorité fait référence à l'utilisation de la commande authoritative restore de l'outil de ligne de commande Ntdsutil pour incrémenter les numéros de version des objets ou conteneurs spécifiques et tous leurs objets subordonnés. Dès que la réplication de bout en bout se produit, les objets ciblés dans la copie locale du contrôleur de domaine de récupération d'Active Directory font autorité sur tous les contrôleurs de domaine qui partagent cette partition. Une restauration faisant autorité est différente d'une restauration d'état du système. Une restauration d'état du système remplit la copie locale du contrôleur de domaine de récupération d'Active Directory par les versions des objets au moment de la sauvegarde d'état du système.

    Pour plus d'informations sur la restauration faisant autorité d'un contrôleur de domaine, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
    241594 Comment faire pour exécuter une restauration faisant autorité sur un contrôleur de domaine dans Windows 2000


    Les restaurations faisant autorité sont exécutées avec l'outil de ligne de commande Ntdsutil et font référence au chemin d'accès du nom de domaine (nd) des utilisateurs supprimés ou des conteneurs qui hébergent les utilisateurs supprimés.

    Lorsque vous effectuez une restauration faisant autorité, utilisez les chemins d'accès du nom de domaine (nd) qui sont aussi bas que possible dans l'arborescence de domaine pour éviter de rétablir des objets qui ne sont en rapport avec la suppression. Ces objets peuvent comprendre les objets qui ont été modifiés après la sauvegarde d'état du système.

    La restauration faisant autorité a supprimé des utilisateurs dans l'ordre suivant :
    1. La restauration faisant autorité restaure le chemin d'accès de nom de domaine (nd) de chaque compte d'utilisateur, chaque compte d'ordinateur ou chaque groupe de sécurité supprimé.

      Les restaurations faisant autorité d'objets spécifiques sont plus longues, mais moins destructrices que les restaurations faisant autorité d'une sous-arborescence complète. La restauration faisant autorité restaure le conteneur parent courant le plus bas qui contient les objets supprimés.

      Ntdsutil utilise la syntaxe suivante :
      ntdsutil "authoritative restore" "restore object <chemin_ND_objet>" q q
      Par exemple, pour effectuer une restauration faisant autorité de l'utilisateur supprimé <JohnDoe> dans l'Unité d'organisation <Mayberry> du domaine <Contoso.com>, utilisez la commande suivante :
      ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
      Pour effectuer une restauration faisant autorité du groupe de sécurité supprimé <ContosoPrintAccess> dans l'Unité d'organisation <Mayberry> du domaine <Contoso.com>, utilisez la commande suivante :
      ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q


      Important L'utilisation des guillemets est requise.

      Remarque Cette syntaxe ne vaut que pour Windows Server 2003. La seule syntaxe à utiliser dans Windows 2000 est la suivante :
      ntdsutil "authoritative restore" "restore subtree chemin_ND_objet"
      Remarque L'opération de restauration faisant autorité Ntdsutil n'aboutit pas si le chemin de nom unique (DN, Distinguished Name) contient des caractères étendus ou des espaces. Pour que la restauration scriptée aboutisse, la commande « restore object <chemin_DN> » doit être transmise sous la forme d'une chaîne unique.
      Pour contourner ce problème, placez le nom unique (DN) contenant des caractères étendus et des espaces entre deux séquences d'échappement constituées d'une barre oblique inverse et de guillemets doubles. Voici un exemple :
      ntdsutil "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry NC,DC=contoso,DC=com\"" q q

      Remarque La commande doit recevoir des modifications supplémentaires si le nom unique des objets restaurés contient des virgules. Examinez l'exemple suivant :
      ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry NC,DC=contoso,DC=com\"" q q

      Remarque Si les objets ont été restaurés à partir d'une bande marquée comme faisant autorité, et que la restauration n'a pas fonctionné comme prévu, puis que cette même bande sert par la suite à restaurer une nouvelle fois la base de données NTDS, la version USN des objets devant faire l'objet d'une restauration faisant autorité doit être associée à une valeur supérieure à la valeur par défaut de 100 000. À défaut, les objets ne seront pas répliqués à l'issue de la deuxième restauration. La syntaxe ci-dessous est nécessaire pour indiquer sous forme de script un numéro de version supérieur à 100 000 (valeur par défaut): ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry NC,DC=contoso,DC=com\" verinc 150000\"" q q

      Remarque Si le script demande une confirmation pour chaque objet à restaurer, vous pouvez désactiver les invites. La syntaxe permettant de désactiver les invites est la suivante : ntdsutil "popups off" "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry NC,DC=contoso,DC=com\" verinc 150000\"" q q
    2. La restauration faisant autorité restaure uniquement les conteneurs d'unité d'organisation (OU) ou de nom commun (CN) qui hébergent les comptes d'utilisateurs ou les groupes supprimés.

      Les restaurations faisant autorité d'une sous-arborescence complète sont valides lorsque l'unité d'organisation qui est ciblée par la commande ntdsutil "authoritative restore" contient la majorité écrasante des objets pour lesquels vous essayez d'effectuer une restauration faisant autorité. Idéalement, l'unité d'organisation ciblée contient tous les objets pour lesquels vous essayez d'effectuer une restauration faisant autorité.

      Une restauration faisant autorité d'une sous-arborescence d'unité d'organisation restaure tous les attributs et les objets qui résident dans le conteneur. Toute modification apportée au moment de la restauration de la sauvegarde d'état du système est remise sur ses valeurs au moment de la sauvegarde. Avec les comptes d'utilisateurs, les comptes d'ordinateurs et les groupes de sécurité, cette reprise peut signifier la perte des dernières modifications apportées aux mots de passe, au répertoire de base, au chemin d'accès de profil, à l'emplacement et aux informations de contact, à l'appartenance aux groupes et à tous les descripteurs de sécurité qui sont définis sur ces objets et sur ces attributs.

      Ntdsutil utilise la syntaxe suivante :
      ntdsutil "authoritative restore" "restore subtree <chemin_ND_conteneur>" q q
      Par exemple, pour effectuer une restauration faisant autorité de l'Unité d'organisation <Mayberry> du domaine <Contoso.com>, utilisez la commande suivante :
      ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q
    Remarque Répétez cette étape pour chaque unité d'organisation homologue qui héberge les utilisateurs ou les groupes supprimés.

    Important Lorsque vous restaurez un objet subordonné d'une unité d'organisation, tous les conteneurs parents supprimés des objets subordonnés supprimés doivent explicitement faire l'objet d'une restauration faisant autorité.
  8. Si les objets supprimés ont été récupérés sur le contrôleur de domaine de récupération par le biais d'une restauration d'état du système, supprimez tous les câbles réseau qui fournissent la connectivité réseau sur tous les autres contrôleurs de domaine de la forêt.
  9. Redémarrez le contrôleur de domaine de récupération en mode Active Directory normal.
  10. Tapez la commande suivante pour désactiver la réplication entrante dans le contrôleur de domaine de récupération :
    repadmin /options <nom_cd_récupération> +DISABLE_INBOUND_REPL
    Réactivez la connectivité réseau sur le contrôleur de domaine de récupération dont l'état du système a été restauré.
  11. Effectuez une réplication sortante de la restauration faisant autorité à partir du contrôleur de domaine de récupération sur les contrôleurs de domaine dans le domaine et dans la forêt.

    Pendant que la réplication entrante sur le contrôleur de domaine de récupération reste désactivée, tapez la commande suivante pour pousser les objets de la restauration faisant autorité sur tous les contrôleurs de domaine de réplication entre sites dans le domaine et sur tous les catalogues globaux dans la forêt :
    repadmin /syncall /d /e /P <cd-récupération> <Contexte de nom>
    Si toutes les instructions suivantes sont remplies, les liens d'appartenance aux groupes sont reconstitués lors de la restauration et de la réplication des comptes d'utilisateur supprimés. Passez à l'étape 14.

    Remarque Si une ou plusieurs des conditions suivantes ne sont pas remplies, passez à l'étape 12.
    • Votre forêt s'exécute au niveau fonctionnel de la forêt de Windows Server 2003 ou au niveau fonctionnel de la forêt intermédiaire de Windows Server 2003.
    • Seuls les comptes d'utilisateurs ou les comptes d'ordinateurs ont été supprimés, pas les groupes de sécurité.
    • Les utilisateurs supprimés ont été ajoutés aux groupes de sécurité dans tous les domaines de la forêt une fois que la forêt a été transférée au niveau fonctionnel de la forêt de Windows Server 2003.
  12. Déterminez les groupes de sécurité dont les utilisateurs supprimés étaient des membres, puis ajoutez-les à ces groupes.

    Remarque Avant de pouvoir ajouter des utilisateurs aux groupes, les utilisateurs ayant fait l'objet d'une restauration faisant autorité à l'étape 7 et d'une réplication sortante à l'étape 11 doivent avoir été répliqués sur les contrôleurs de domaine du domaine du contrôleur de domaine référencé et sur tous les contrôleurs de domaine de catalogue global de la forêt.

    Si vous avez déployé un utilitaire d'approvisionnement de groupe pour remplir de nouveau l'appartenance des groupes de sécurité, utilisez maintenant cet utilitaire pour restaurer les utilisateurs supprimés aux groupes de sécurité dont ils étaient membres avant leur suppression. Faites cela une fois que tous les contrôleurs de domaine directs et transitifs dans le domaine de la forêt et les serveurs de catalogue global ont effectué une réplication entrante des utilisateurs de l'autorisation faisant autorité et de tous les conteneurs restaurés.

    Si vous ne possédez pas un tel utilitaire, les outils de ligne de commande Ldifde.exe et Groupadd.exe peuvent automatiser cette tâche pour vous lorsqu'ils sont exécutés sur le contrôleur de domaine de récupération. Ces outils sont disponibles à partir des services de support technique Microsoft. Dans ce scénario, Ldifde.exe crée un fichier d'informations LDIF (Format d'échange de données LDIF) qui contient les noms des comptes d'utilisateurs et leurs groupes de sécurité, en démarrant sur un conteneur d'unité d'organisation que l'administrateur spécifie. Groupadd.exe lit ensuite l'attribut memberOf pour chaque compte d'utilisateur qui est répertorié dans le fichier .ldf, puis génère les informations LDIF uniques et distinctes de chaque domaine de la forêt. Ces informations LDIF contiennent les noms des groupes de sécurité auxquels les utilisateurs supprimés doivent être ajoutés afin que leur appartenance aux groupes puisse être restaurée. Appliquez les étapes de cette phase de la récupération.
    1. Ouvrez une session sur la console du contrôleur de domaine à l'aide d'un compte d'utilisateur qui est membre du groupe de sécurité d'administrateur de domaine.
    2. Utilisez la commande Ldifde pour vider les noms des comptes d'utilisateurs supprimés précédemment et leurs attributs memberOf, en démarrant sur le conteneur d'unité d'organisation le plus haut dans lequel la suppression s'est produite. La commande Ldifde utilise la syntaxe suivante :
      ldifde -d <chemin_nd_conteneur_héberge_utilisateurs_supprimés> -r "(objectClass=user)" -l memberof -p subtree -f user_membership_after_restore.ldf
      Utilisez la syntaxe suivante si les comptes d'ordinateur supprimés ont été ajoutés aux groupes de sécurité :
      ldifde -d <chemin_nd_conteneur_héberge_utilisateurs_supprimés> -r "(objectClass=computer)" -l memberof -p subtree -f computer_membership_after_restore.ldf
    3. Exécutez la commande Groupadd pour créer des fichiers .ldf supplémentaires qui contiennent les noms des domaines et des groupes de sécurité globaux et universels dont les utilisateurs supprimés étaient membres. La commande Groupadd utilise la syntaxe suivante :
      Groupadd /après_restauration users_membership_after_restore.ldf
      Répétez cette commande si les comptes d'ordinateur supprimés ont été ajoutés aux groupes de sécurité.
    4. Importez chaque fichier Groupadd_nom_domaine_complet.ldf que vous avez créé à l'étape 12c dans un seul contrôleur de domaine de catalogue global qui correspond au fichier .ldf de chaque domaine. Utilisez la syntaxe Ldifde suivante :
      Ldifde ?i ?k ?f Groupadd_<nom_domaine_complet>.ldf
      Exécutez le fichier .ldf pour le domaine dans lequel les utilisateurs ont été supprimés sur tous les contrôleurs de domaine, sauf le contrôleur de domaine de récupération.
    5. Sur la console de chaque contrôleur de domaine qui est utilisé pour importer le fichier Groupadd_<nom_domaine_complet>.ldf d'un domaine particulier, effectuez une réplication sortante des ajouts d'appartenance aux groupes sur les autres contrôleurs de domaine dans le domaine et sur les contrôleurs de domaine de catalogue global dans la forêt à l'aide de la commande suivante :
      repadmin /syncall /d /e /P <cd_récupération> <Contexte de nom>
  13. Pour désactiver la réplication sortante, tapez le texte suivant, puis appuyez sur Entrée :
    repadmin /options +DISABLE_OUTBOUND_REPL
    Remarque Pour réactiver la réplication sortante, tapez le texte suivant, puis appuyez sur Entrée :
    repadmin /options -DISABLE_OUTBOUND_REPL
  14. Si les utilisateurs supprimés ont été ajoutés aux groupes locaux dans les domaines externes, effectuez l'une des opérations suivantes :
    • Réinsérez manuellement les utilisateurs supprimés à ces groupes.
    • Restaurez l'état du système et effectuez une restauration faisant autorité de chacun des groupes de sécurité locaux qui contient les utilisateurs supprimés.
  15. Vérifiez l'appartenance aux groupes dans le domaine du contrôleur de domaine de récupération et dans les catalogues globaux des autres domaines.
  16. Effectuez une nouvelle sauvegarde de l'état du système des contrôleurs de domaine dans le domaine du contrôleur de domaine de récupération.
  17. Avertissez tous les administrateurs de la forêt, les administrateurs délégués, les administrateurs du support technique de la forêt et les utilisateurs du domaine que la restauration de l'utilisateur est terminée.

    Les administrateurs du support technique devront peut-être réinitialiser les mots de passe des comptes d'utilisateurs pour lesquels une restauration faisant autorité a été effectuée ainsi que les comptes d'ordinateurs dont le mot de passe de domaine a été modifié après la restauration du système.

    Les utilisateurs qui ont modifié leur mot de passe après la sauvegarde d'état du système se rendront compte que leur dernier mot de passe ne fonctionne plus. Invitez ces utilisateurs à essayer d'ouvrir une session à l'aide de leurs anciens mots de passe s'ils s'en souviennent. Sinon, les administrateurs du support technique devront réinitialiser le mot de passe et activer la case à cocher L'utilisateur doit changer le mot de passe à la prochaine ouverture de session, de préférence sur un contrôleur de domaine situé sur le même site Active Directory où l'utilisateur se trouve.

Méthode 3 : Effectuez deux fois une restauration faisant autorité des comptes d'utilisateur supprimés et des groupes de sécurité des utilisateurs supprimés

Lorsque vous utilisez cette méthode, vous exécutez les étapes de niveau supérieur suivantes :
  1. Vérifiez qu'un catalogue global dans le domaine de l'utilisateur n'a pas répliqué dans la suppression, puis empêchez ce contrôleur de domaine d'effectuer une réplication entrante de la suppression. Si aucun catalogue global latent n'est présent, recherchez la dernière sauvegarde d'état du système d'un contrôleur de domaine de catalogue global dans le domaine de base de l'utilisateur supprimé.
  2. Effectuez une restauration faisant autorité de tous les comptes d'utilisateurs supprimés et de tous les groupes de sécurité dans le domaine de l'utilisateur supprimé.
  3. Attendez la réplication de bout en bout des utilisateurs restaurés et des groupes de sécurité sur tous les contrôleurs de domaine dans le domaine de l'utilisateur supprimé et sur les contrôleurs de domaine de catalogue global de la forêt.
  4. Répétez les étapes 2 et 3 pour effectuer une restauration faisant autorité des utilisateurs et des groupes de sécurité supprimés. (Vous restaurez une seule fois l'état du système).
  5. Si les utilisateurs supprimés étaient membres de groupes de sécurité dans d'autres domaines, effectuez une restauration faisant autorité de tous les groupes de sécurité dont les utilisateurs supprimés étaient membres dans ces domaines. Ou, si les sauvegardes d'état du système sont actuelles, effectuez une restauration faisant autorité de tous les groupes de sécurité dans ces domaines.
Pour satisfaire la condition selon laquelle les membres des groupes supprimés doivent être restaurés avant que les groupes de sécurité réparent les liens d'appartenance aux groupes, vous devez restaurer deux fois les deux types d'objets dans cette méthode. La première restauration met en place tous les comptes d'utilisateurs et les comptes de groupe et la deuxième restauration restaure les groupes supprimés et répare les informations d'appartenance aux groupes, notamment les informations d'appartenance des groupes imbriqués.

Pour utiliser la méthode 3, procédez comme suit :
  1. Vérifiez qu'un contrôleur de domaine de catalogue global est présent dans le domaine de base des utilisateurs supprimés et qu'il n'a pas répliqué en entrée une seule partie de la suppression.

    Remarque Concentrez-vous sur les catalogues globaux du domaine dont les planifications de réplication sont les moins fréquentes. Si ces contrôleurs de domaine existent, utilisez l'outil de ligne de commande Repadmin.exe pour désactiver immédiatement la réplication entrante. Pour cela, procédez comme suit :
    1. Cliquez sur Démarrer, puis sur Exécuter.
    2. Tapez command dans la zone Ouvrir, puis cliquez sur OK.
    3. Tapez repadmin /options <nom_cd_récupération> +DISABLE_INBOUND_REPL à l'invite de commandes, puis appuyez sur ENTRÉE.

      Remarque Si vous ne pouvez pas exécuter immédiatement la commande Repadmin, supprimez toute la connectivité réseau à partir du contrôleur de domaine jusqu'à ce que vous puissiez utiliser Repadmin pour désactiver la réplication entrante, puis revenez immédiatement à la connectivité réseau.
    Ce contrôleur de domaine sera désigné contrôleur de domaine de récupération.
  2. Évitez de faire des ajouts, des suppressions et des modifications aux éléments suivants jusqu'à ce que toutes les étapes de récupération aient été effectuées. Les modifications comprennent les réinitialisations de mot de passe par les utilisateurs du domaine, les administrateurs d'assistance utilisateur et les administrateurs de support technique dans lequel la suppression s'est produite, outre les modifications d'appartenance aux groupes d'utilisateurs supprimés.
    1. Comptes d'utilisateurs et attributs des comptes d'utilisateurs
    2. Comptes d'ordinateurs et attributs des comptes d'ordinateurs
    3. Comptes de services
    4. Groupes de sécurité

      Remarque Évitez surtout d'apporter des modifications à l'appartenance aux groupes pour les utilisateurs, les ordinateurs, les groupes et les comptes de services dans la forêt où la suppression s'est produite.
    5. Avertissez tous les administrateurs de la forêt, les administrateurs délégués et les administrateurs du support technique dans la forêt de l'interruption temporaire.
    Cette interruption est requise dans la méthode 2 car vous effectuez une restauration faisant autorité de tous les groupes de sécurité des utilisateurs supprimés. Par conséquent, toutes les modifications qui sont apportées aux groupes après la date de sauvegarde d'état du système sont perdues.
  3. Créez une nouvelle sauvegarde d'état du système dans le domaine où la suppression s'est produite. Vous pouvez utiliser cette sauvegarde si vous devez restaurer vos modifications.

    Remarque Si les sauvegardes d'état du système sont actuelles jusqu'au moment de la suppression, ignorez cette étape et passez à l'étape 4.

    Si vous avez identifié un contrôleur de domaine de récupération à l'étape 1, sauvegardez maintenant son état de système.

    Si tous les catalogues globaux présents dans le domaine où la suppression s'est produite ont répliqué dans la suppression, sauvegardez l'état du système d'un catalogue global dans le domaine où la suppression s'est produite.

    Lorsque vous créez une sauvegarde, vous pouvez restaurer le contrôleur de domaine de récupération à son état actuel et exécuter une nouvelle fois votre plan de récupération si votre première tentative a échoué.
  4. Si vous ne pouvez pas trouver un contrôleur de domaine de catalogue global latent dans le domaine où la suppression d'utilisateur s'est produite, recherchez la dernière sauvegarde d'état du système d'un contrôleur de domaine de catalogue global dans ce domaine. Cette sauvegarde d'état du système doit contenir les objets supprimés. Utilisez ce contrôleur de domaine comme contrôleur de domaine de récupération.

    Seules les bases de données des contrôleurs de domaine de catalogue global dans le domaine de l'utilisateur contiennent des informations sur l'appartenance aux groupes pour les domaines externes dans la forêt. Si aucune sauvegarde d'état du système d'un contrôleur de domaine de catalogue global dans le domaine où les utilisateurs ont été supprimés n'est présente, vous ne pouvez pas utiliser l'attribut memberOf sur les comptes d'utilisateurs restaurés pour déterminer l'appartenance aux groupes universels ou globaux ou pour récupérer l'appartenance dans les domaines externes. Passez à l'étape suivante. Si un enregistrement externe de l'appartenance aux groupes dans les domaines externes existe, ajoutez les utilisateurs restaurés aux groupes de sécurité dans ces domaines après la restauration des comptes d'utilisateurs.
  5. Si vous connaissez le mot de passe du compte d'administrateur hors connexion, démarrez le contrôleur de domaine de récupération en mode Dsrepair. Si vous ne connaissez pas le mot de passe du compte d'administrateur hors connexion, réinitialisez le mot de passe lorsque le contrôleur de domaine de récupération est encore en mode Active Directory normal.

    Vous pouvez utiliser l'outil de ligne de commande setpwd pour réinitialiser le mot de passe sur les contrôleurs de domaine Microsoft Windows 2000 Service Pack 2 (SP2) et version ultérieure lorsqu'ils sont en mode Active Directory en ligne.

    Remarque Microsoft ne prend plus en charge Windows 2000.

    Pour plus d'informations sur la modification du mot de passe de l'administrateur de la console de récupération, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
    239803 Comment faire pour modifier le mot de passe de l'administrateur de la console de récupération sur un contrôleur de domaine
    Les administrateurs des contrôleurs de domaine Windows Server 2003 peuvent utiliser la commande set dsrm password dans l'outil de ligne de commande Ntdsutil pour réinitialiser le mot de passe du compte d'administrateur hors connexion.

    Pour plus d'informations sur la façon de réinitialiser le compte d'administrateur du mode Restauration des services d'annuaire, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
    322672 COMMENT FAIRE : Réinitialisation du mot de passe administrateur de restauration des services d'annuaire dans Windows Server 2003
  6. Appuyez sur F8 lors du processus de démarrage pour démarrer le contrôleur de domaine de récupération en mode Dsrepair. Connectez-vous à la console du contrôleur de domaine de récupération avec le compte d'administrateur hors connexion. Si vous réinitialisez le mot de passe à l'étape 5, utilisez le nouveau mot de passe.

    Si le contrôleur de domaine de récupération est un contrôleur de domaine de catalogue global latent, ne restaurez pas l'état du système. Passez directement à l'étape 7.

    Si vous créez le contrôleur de domaine de récupération à l'aide d'une sauvegarde d'état du système, restaurez maintenant la dernière sauvegarde d'état du système qui a été effectuée sur le contrôleur de domaine de récupération contenant les objets supprimés.
  7. La restauration faisant autorité restaure les comptes d'utilisateurs supprimés, les comptes d'ordinateurs supprimés ou les groupes de sécurité supprimés.

    Remarque Le terme restauration faisant autorité fait référence à l'utilisation de la commande authoritative restore de l'outil de ligne de commande Ntdsutil pour incrémenter les numéros de version des objets ou conteneurs spécifiques et tous leurs objets subordonnés. Dès que la réplication de bout en bout se produit, les objets ciblés dans la copie locale du contrôleur de domaine de récupération d'Active Directory font autorité sur tous les contrôleurs de domaine qui partagent cette partition. Une restauration faisant autorité est différente d'une restauration d'état du système. Une restauration d'état du système remplit la copie locale du contrôleur de domaine de récupération d'Active Directory par les versions des objets au moment de la sauvegarde d'état du système.

    Pour plus d'informations sur la restauration faisant autorité d'un contrôleur de domaine, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
    241594 Comment faire pour exécuter une restauration faisant autorité sur un contrôleur de domaine dans Windows 2000


    Les restaurations faisant autorité sont exécutées avec l'outil de ligne de commande Ntdsutil et font référence au chemin d'accès du nom de domaine (nd) des utilisateurs supprimés ou des conteneurs qui hébergent les utilisateurs supprimés.

    Lorsque vous effectuez une restauration faisant autorité, utilisez les chemins d'accès du nom de domaine (nd) qui sont aussi bas que possible dans l'arborescence de domaine pour éviter de rétablir des objets qui ne sont en rapport avec la suppression. Ces objets peuvent comprendre les objets qui ont été modifiés après la sauvegarde d'état du système.

    La restauration faisant autorité a supprimé des utilisateurs dans l'ordre suivant :
    1. La restauration faisant autorité restaure le chemin d'accès de nom de domaine (nd) de chaque compte d'utilisateur, de chaque compte d'ordinateur ou de chaque groupe de sécurité supprimé.

      Les restaurations faisant autorité d'objets spécifiques sont plus longues, mais moins destructrices que les restaurations faisant autorité d'une sous-arborescence complète. La restauration faisant autorité restaure le conteneur parent courant le plus bas qui contient les objets supprimés.

      Ntdsutil utilise la syntaxe suivante :
      ntdsutil "authoritative restore" "restore object <chemin_ND_objet>" q q
      Par exemple, pour effectuer une restauration faisant autorité de l'utilisateur supprimé <JohnDoe> dans l'Unité d'organisation <Mayberry> du domaine <Contoso.com>, utilisez la commande suivante :
      ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
      Pour effectuer une restauration faisant autorité du groupe de sécurité supprimé <ContosoPrintAccess> dans l'Unité d'organisation <Mayberry> du domaine <Contoso.com>, utilisez la commande suivante :
      ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q


      Important L'utilisation des guillemets est requise.

      À l'aide de ce format Ntdsutil, vous pouvez également automatiser la restauration faisant autorité de nombreux objets dans un fichier de commandes ou dans un script.
      Remarque Cette syntaxe ne vaut que pour Windows Server 2003. La seule syntaxe à utiliser dans Windows 2000 est la suivante : ntdsutil "authoritative restore" "restore subtree <chemin_nom_unique_objet>".
    2. La restauration faisant autorité restaure uniquement les conteneurs d'unité d'organisation (OU) ou de nom commun (CN) qui hébergent les comptes d'utilisateurs ou les groupes supprimés.

      Les restaurations faisant autorité d'une sous-arborescence complète sont valides lorsque l'unité d'organisation qui est ciblée par la commande Ntdsutil Authoritative restore contient la majorité écrasante des objets pour lesquels vous essayez d'effectuer une restauration faisant autorité. Idéalement, l'unité d'organisation ciblée contient tous les objets pour lesquels vous essayez d'effectuer une restauration faisant autorité.

      Une restauration faisant autorité d'une sous-arborescence d'unité d'organisation restaure tous les attributs et les objets qui résident dans le conteneur. Toute modification apportée au moment de la restauration de la sauvegarde d'état du système est remise sur ses valeurs au moment de la sauvegarde. Avec les comptes d'utilisateurs, les comptes d'ordinateurs et les groupes de sécurité, cette reprise peut signifier la perte des dernières modifications apportées aux mots de passe, au répertoire de base, au chemin d'accès de profil, à l'emplacement et aux informations de contact, à l'appartenance aux groupes et à tous les descripteurs de sécurité qui sont définis sur ces objets et sur ces attributs.

      Ntdsutil utilise la syntaxe suivante :
      ntdsutil "authoritative restore" "restore subtree <chemin_ND_conteneur>" q q
      Par exemple, pour effectuer une restauration faisant autorité de l'Unité d'organisation <Mayberry> du domaine <Contoso.com>, utilisez la commande suivante :
      ntdsutil "authoritative restore" "restore subtree ou=Mayberry,dc=contoso,dc=com" q q
    Remarque Répétez cette étape pour chaque unité d'organisation homologue qui héberge les utilisateurs ou les groupes supprimés.

    Important Lorsque vous restaurez un objet subordonné d'une unité d'organisation, tous les conteneurs parents des objets subordonnés supprimés doivent faire explicitement l'objet d'une restauration faisant autorité.
  8. Redémarrez le contrôleur de domaine de récupération en mode Active Directory normal.
  9. Effectuez une réplication sortante de la restauration faisant autorité à partir du contrôleur de domaine de récupération sur les contrôleurs de domaine dans le domaine et dans la forêt.

    Alors que la réplication entrante au contrôleur de domaine de récupération reste désactivée, tapez la commande suivante pour pousser les objets restaurés sur tous les contrôleurs de domaine de réplica entre sites dans le domaine et sur les catalogues globaux dans la forêt :
    repadmin /syncall /d /e /P <cd_récupération> <Contexte de nom>
    Une fois que tous les contrôleurs de domaine directs et transitifs dans le domaine de la forêt et les serveurs de catalogues globaux ont répliqué dans les utilisateurs pour lesquels une restauration faisant autorité a été effectuée et tous les conteneurs restaurés, allez à l'étape 11.

    Si toutes les instructions suivantes sont remplies, les liens d'appartenance aux groupes sont reconstitués lors de la restauration des comptes d'utilisateurs supprimés. Passez à l'étape 13.
    • Votre forêt s'exécute au niveau fonctionnel de la forêt de Windows Server 2003 ou au niveau fonctionnel de la forêt intermédiaire de Windows Server 2003.
    • Seuls les groupes de sécurité n'ont pas été supprimés.
    • Tous les utilisateurs supprimés ont été ajoutés à tous les groupes de sécurité dans tous les domaines de la forêt.
    Pensez à utiliser la commande Repadmin pour accélérer la réplication sortante des utilisateurs à partir du contrôleur de domaine restauré.

    Si des groupes ont également été supprimés ou si vous ne pouvez pas garantir que tous les utilisateurs supprimés ont été ajoutés à tous les groupes de sécurité après la transition vers le niveau fonctionnel de la forêt ou intermédiaire de Windows Server 2003, allez à l'étape 12.
  10. Répétez les étapes 7, 8 et 9 sans restaurer l'état du système, puis allez à l'étape 11.
  11. Si les utilisateurs supprimés ont été ajoutés aux groupes locaux dans les domaines externes, effectuez l'une des opérations suivantes :
    • Réinsérez manuellement les utilisateurs supprimés à ces groupes.
    • Restaurez l'état du système et effectuez une restauration faisant autorité de chacun des groupes de sécurité locaux qui contient les utilisateurs supprimés.
  12. Vérifiez l'appartenance aux groupes dans le domaine du contrôleur de domaine de récupération et dans les catalogues globaux des autres domaines.
  13. Utilisez la commande suivante pour activer la réplication entrante sur le contrôleur de domaine de récupération :
    repadmin /options nom_cd_récupération -DISABLE_INBOUND_REPL
  14. Effectuez une nouvelle sauvegarde de l'état du système dans le domaine du contrôleur de domaine de récupération et dans les catalogues globaux dans les autres domaines de la forêt.
  15. Avertissez tous les administrateurs de la forêt, les administrateurs délégués, les administrateurs du support technique de la forêt et les utilisateurs du domaine que la restauration de l'utilisateur est terminée.

    Les administrateurs du support technique devront peut-être réinitialiser les mots de passe des comptes d'utilisateurs pour lesquelles une restauration faisant autorité a été effectuée ainsi que les comptes d'ordinateurs dont le mot de passe de domaine a été modifié après la restauration du système.

    Les utilisateurs qui ont modifié leur mot de passe après la sauvegarde d'état du système se rendront compte que leur dernier mot de passe ne fonctionne plus. Invitez ces utilisateurs à essayer d'ouvrir une session à l'aide de leurs anciens mots de passe s'ils s'en souviennent. Sinon, les administrateurs du support technique devront réinitialiser le mot de passe et activer la case à cocher L'utilisateur doit changer le mot de passe à la prochaine ouverture de session, de préférence sur un contrôleur de domaine situé sur le même site Active Directory où l'utilisateur se trouve.

Procédure de récupération des utilisateurs supprimés sur un contrôleur de domaine Windows Server 2003 lorsque vous ne possédez pas de sauvegarde d'état du système valide

Si vous ne disposez pas de sauvegarde de l'état du système actuel sur un domaine dans lequel les comptes d'utilisateur ou les groupes de sécurité ont été supprimés et si la suppression s'est produite sur les domaines qui contiennent des contrôleurs de domaine Windows Server 2003, procédez comme suit pour restaurer manuellement des objets à partir du conteneur d'objets supprimés.
  1. Suivez les étapes décrites dans la section « Procédure pour restaurer manuellement des objets dans un conteneur d'objets supprimés » pour restaurer des utilisateurs, des ordinateurs ou/et des groupes supprimés.
  2. Utilisez Utilisateurs et ordinateurs Active Directory pour passer le compte de désactivé à activé. (Le compte s'affiche dans l'unité d'organisation d'origine).
  3. Utilisez les fonctionnalités de réinitialisation en masse de la version Windows Server 2003 des utilisateurs et ordinateurs Active Directory pour exécuter, selon vos besoins, des réinitialisations en masse sur le paramètre de stratégie « Le mot de passe doit être modifié à la prochaine ouverture de session », sur le répertoire de base, sur le chemin d'accès de profil et sur l'appartenance aux groupes du compte supprimé. Vous pouvez également utiliser un équivalent de programmation de ces fonctionnalités.
  4. Si Microsoft Exchange 2000 ou version ultérieure a été utilisé, réparez la boîte aux lettres Exchange de l'utilisateur supprimé.
  5. Si Exchange 2000 ou version ultérieure a été utilisé, associez de nouveau l'utilisateur supprimé avec le Boîte aux lettres Exchange.
  6. Vérifiez que l'utilisateur récupéré peut ouvrir une session et accéder aux annuaires locaux, aux annuaires et fichiers partagés.
Vous pouvez automatiser certaines ou toutes ces étapes de récupération en appliquant les méthodes suivantes :
  • Écrivez un script qui automatise les étapes de récupération manuelles répertoriées à l'étape 1. Lorsque vous écrivez un tel script, pensez à la portée de l'objet supprimé par date, heure et dernier conteneur parent connu ainsi qu'à l'automation de la réanimation de l'objet supprimé. Pour automatiser la réanimation, modifiez l'attribut isDeleted de TRUE en FALSE, puis modifiez le nom unique relatif à la valeur qui est définie dans l'attribut llastKnownParent ou dans une nouvelle unité d'organisation (OU) ou un nouveau conteneur de nom commun (CN) qui est spécifié par l'administrateur. (Le nom unique relatif est également connu comme le RDN).
  • Procurez-vous un programme autre que Microsoft qui prend en charge la réanimation d'objets supprimés sur les contrôleurs de domaine Windows Server 2003. Un tel utilitaire est AdRestore. AdRestore utilise les primitives de restauration de Windows Server 2003 pour restaurer individuellement des objets. Aelita Software Corporation and Commvault Systems offre également des produits qui prennent en charge la fonctionnalité de restauration sur les contrôleurs de domaine Windows Server 2003.

    Pour obtenir AdRestore, rendez-vous sur le site Web suivant :
    http://technet.microsoft.com/fr-fr/sysinternals/bb963906.aspx
Microsoft fournit les coordonnées de sociétés tierces afin de vous aider à trouver un support technique. Ces informations peuvent être modifiées sans préavis. Microsoft ne garantit en aucun cas l'exactitude des informations concernant les sociétés tierces.

Procédure pour restaurer manuellement des objets dans un conteneur d'objets supprimés

Pour restaurer manuellement des objets dans un conteneur d'objets supprimés, procédez comme suit :
  1. Cliquez sur Démarrer, sur Exécuter, puis tapez ldp.exe.

    Remarque Si l'utilitaire Ldp n'est pas installé, installez les outils de support fournis dans le CD-ROM d'installation de Windows Server 2003.
  2. Utilisez le menu Connection dans Ldp pour exécuter les opérations de connexion et de liaison à un contrôleur de domaine Windows Server 2003.

    Spécifiez des références de l'administrateur de domaine au cours de l'opération de liaison.
  3. Dans le menu Options, cliquez sur Controls.
  4. Dans la liste Load Predefined, cliquez sur Return Deleted Objects.

    Remarque Le contrôle 1.2.840.113556.1.4.417 se déplace vers la fenêtre Active Controls.
  5. Sous Control Type, cliquez sur Server, puis sur OK.
  6. Dans le menu View, cliquez sur Tree, tapez le chemin du nom unique du conteneur d'objets supprimés dans le domaine où la suppression s'est produite, puis cliquez sur OK.

    Remarque Le chemin du nom unique est également connu sous le nom de chemin de nom de domaine (ND). Par exemple, si la suppression s'est produite dans le domaine contoso.com, le chemin du nom de domaine serait le chemin suivant :
    cn=deleted Objects,dc=contoso,dc=com
  7. Dans le volet gauche de la fenêtre, double-cliquez sur Deleted Object Container (Objet de conteneur supprimé).

    Remarque Comme résultat de la recherche de la requête Idap, seuls 1000 objets sont retournés par défaut. Par exemple, si plus de 1000 objets existent dans le conteneur Objets supprimés, ils n'apparaissent pas tous dans ce conteneur. Si votre objet cible n'apparaît pas, utilisez ntdsutil, puis définissez le nombre maximum à l'aide de maxpagesize afin d'obtenir les résultats de la recherche.
  8. Double-cliquez sur l'objet que vous souhaitez restaurer ou réanimer.
  9. Cliquez avec le bouton droit sur l'objet que vous voulez réanimer, puis cliquez sur Modify.

    Modifiez la valeur de l'attribut isDeleted et le chemin de ND en une seule opération de modification du protocole LDAP (Lightweight Directory Access Protocol). Pour configurer la boîte de dialogue Modify, procédez comme suit :
    1. Dans la zone Edit Entry Attribute, tapez isDeleted.

      Laissez la zone Value vierge.
    2. Cliquez sur la case d'option Delete, puis sur Enter pour entrer la première des deux entrées dans la boîte de dialogue Entry List.

      Important Ne cliquez pas sur Run.
    3. Dans la zone Attribute, tapez distinguishedName.
    4. Dans la zone Values, tapez le nouveau chemin du nom de domaine de l'objet réanimé.

      Par exemple, pour réanimer le compte d'utilisateur JohnDoe dans l'Unité d'organisation Mayberry, utilisez le chemin du nom de domaine suivant :
      cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com
      Remarque Si vous souhaitez réanimer un objet supprimé dans son conteneur d'origine, ajoutez la valeur de l'attribut lastKnownParent de l'objet supprimé à sa valeur NC, puis collez le chemin du nom de domaine complet dans la zone Values.
    5. Dans la zone Operation, cliquez sur REPLACE.
    6. Cliquez sur ENTER.
    7. Activez la case à cocher Synchronous.
    8. Activez la case à cocher Extended.
    9. Cliquez sur RUN.
  10. Une fois les objets réanimés, cliquez sur Contrôles dans le menu Options, sur le bouton Extraire pour supprimer (1.2.840.113556.1.4.417) de la liste Contrôles actifs.
  11. Réinitialisez les mots de passe de compte d'utilisateur, les profils, les répertoires de base et l'appartenance aux groupes pour les utilisateurs supprimés.

    Lorsque l'objet a été supprimé, toutes les valeurs d'attribut sauf SID, ObjectGUID, LastKnownParent et SAMAccountName ont été supprimées.
  12. Activez le compte réanimé dans Utilisateurs et ordinateurs Active Directory.

    Remarque L'objet réanimé possède le même attribut SID principal qu'avant la suppression, mais l'objet doit encore être ajouté aux mêmes groupes de sécurité pour disposer du même niveau d'accès aux ressources. La première version de Windows Server 2003 ne conserve pas l'attribut sIDHistory sur les comptes d'utilisateurs réanimés, sur les comptes d'ordinateurs et sur les groupes de sécurité. Windows Server 2003 avec le Service Pack 1 conserve l'attribut sIDHistory sur les objets supprimés.
  13. Supprimez les attributs Microsoft Exchange et reconnectez l'utilisateur à la Boîte aux lettres Exchange.

    Remarque La réanimation d'objets supprimés est prise en charge lorsque la suppression se produit sur un contrôleur de domaine Windows Server 2003. La réanimation d'objets supprimés n'est pas prise en charge lorsque la suppression se produit sur un contrôleur de domaine Windows 2000 qui est ensuite mis à niveau vers Windows Server 2003.

    Remarque Si la suppression se produit sur un contrôleur de domaine Windows 2000 du domaine, l'attribut lastParentOf n'est pas rempli sur les contrôleurs de domaine Windows Server 2003.

Procédure pour déterminer l'heure et l'emplacement de la suppression

Lorsque les utilisateurs sont supprimés à cause d'une suppression en masse, vous voudrez peut-être savoir d'où la suppression provient. Pour cela, procédez comme suit :
  1. Si l'audit a été correctement configuré pour contrôler la suppression des conteneurs d'unités d'organisation ou d'objets subalternes, utilisez un utilitaire qui recherche le journal d'événements de sécurité des contrôleurs de domaine dans le domaine où la suppression s'est produite. Un tel utilitaire qui recherche les journaux d'événements sur un jeu d'étendue de contrôleurs de domaine est l'utilitaire EventCombMT. EventCombMT fait partie du jeu d'outils du Kit de ressources Windows Server 2003.

    Pour savoir comment obtenir l'ensemble d'Outils du Kit de ressources techniques Windows Server 2003, visitez la page du site Web Microsoft suivante :
    http://technet.microsoft.com/fr-fr/windowsserver/bb693323.aspx
  2. Appliquez les étapes 1 à 7 de la section « Procédure pour restaurer manuellement des objets dans un conteneur d'objets supprimés » pour rechercher les entités de sécurité supprimées. Si une arborescence a été supprimée, appliquez ces étapes pour rechercher un conteneur parent de l'objet supprimé.
  3. Copiez la valeur de l'attribut objectGUID dans le presse-papiers Windows.

    Vous pouvez coller cette valeur lorsque vous entrez la commande Repadmin à l'étape 4.
  4. Tapez la commande suivante :
    repadmin /showmeta GUID=<GUID_objet> <nom_domaine_complet>
    Par exemple, si GUID_objet de l'objet supprimé ou du conteneur est 791273b2-eba7-4285-a117-aa804ea76e95 et si le nom de domaine complet (FQDN) est dc.contoso.com, tapez la commande suivante :
    repadmin /showmeta GUID=791273b2-eba7-4285-a117-aa804ea76e95 dc.contoso.com
    La syntaxe de cette commande doit comprendre le GUID de l'objet supprimé ou le conteneur et le nom de domaine complet du serveur de départ.
  5. Dans le résultat de la commande Repadmin, recherchez la date, l'heure et le contrôleur de domaine de départ de l'attribut isDeleted. Par exemple, les informations sur l'attribut isDeleted s'affichent sur la cinquième ligne de l'exemple de sortie suivant :
    Loc.USN  CD d'origine                  Org.USN  Heure/date Org.       Version  Attribut ----------------------------------------------------------------------------------------------- 134759  Default-First-Site-Name\NA-DC1   134759  15/03/2004 17:41:20   1  objectClass 134760  Default-First-Site-Name\NA-DC1   134760  15/03/2004 17:41:22   2  ou 134759  Default-First-Site-Name\NA-DC1   134759  15/03/2004 17:41:20   1  instanceType 134759  Default-First-Site-Name\NA-DC1   134759  15/03/2004 17:41:20   1  whenCreated 134760  Default-First-Site-Name\NA-DC1   134760  15/03/2004 17:41:22   1  isDeleted 134759  Default-First-Site-Name\NA-DC1   134759  15/03/2004 17:41:20   1  nTSecurityDescriptor 134760  Default-First-Site-Name\NA-DC1   134760  15/03/2004 17:41:22   2  name 134760  Default-First-Site-Name\NA-DC1   134760  15/03/2004 17:41:22   1  lastKnownParent 134760  Default-First-Site-Name\NA-DC1   134760  15/03/2004 17:41:22   2  objectCategory
  6. Si le nom du contrôleur de domaine d'origine dans la deuxième colonne du résultat s'affiche comme un GUID alphanumérique de 32 caractères, utilisez la commande Ping pour résoudre le GUID sur l'adresse IP et le nom du contrôleur de domaine à l'origine de la suppression. La commande Ping utilise la syntaxe suivante :
    ping ?a <GUID_CD_origine>._msdomain controllers.<chemin_accès_complet_domaine_racine_forêt>
    Remarque L'option « -a » respecte la casse. Utilisez le nom de domaine complet du domaine racine de la forêt indépendamment du domaine dans lequel le contrôleur de domaine d'origine réside.

    Par exemple, si le contrôleur de domaine d'origine a résidé dans n'importe quel domaine de la forêt Contoso.com et possédait un GUID de 644eb7e7-1566-4f29-a778-4b487637564b, tapez la commande suivante :
    ping ?a 644eb7e7-1566-4f29-a778-4b487637564b._msdomain controllers.contoso.com
    Le résultat renvoyé par cette commande est semblable au résultat suivant :
    Envoi d'une requête ping à na-dc1.contoso.com [65.53.65.101] avec 32 octets de données:
    
    Réponse de 65.53.65.101: bytes=32 time<1ms TTL=128 Reply from 65.53.65.101: bytes=32 time<1ms TTL=128 Reply from 65.53.65.101: bytes=32 time<1ms TTL=128 Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
  7. Consultez le journal de sécurité du contrôleur de domaine à l'origine de la suppression à l'heure qui était indiquée dans le résultat de la commande Repadmin à l'étape 5.

    Prenez en compte les décalages et les changements de fuseaux horaires entre les ordinateurs qui ont été utilisés pour arriver à ce stade. Si la suppression de l'audit est activée pour les conteneurs d'unités d'organisation ou pour les objets supprimés, portez une attention particulière aux événements d'audit pertinents. Si l'audit n'est pas activé, faites attention aux utilisateurs qui avaient les autorisations de supprimer des conteneurs d'unités d'organisation ou leurs objets subordonnés et qui avaient également authentifié le contrôleur de domaine d'origine avant la suppression.

Procédure pour réduire l'impact des suppressions en masse à l'avenir

Les clés pour réduire l'impact de la suppression en masse d'utilisateurs, d'ordinateurs et de groupes de sécurité consistent à vous assurer que vous possédez des sauvegardes à jour de l'état du système, à contrôler étroitement l'accès aux comptes d'utilisateur privilégiés, à contrôler étroitement ce que ces comptes peuvent faire et enfin, à vous entraîner à effectuer des récupérations suite à des suppressions en masse.

Les modifications de l'état du système surviennent tous les jours. Ces modifications peuvent comprendre des réinitialisations de mot de passe sur les comptes d'utilisateurs et sur les comptes d'ordinateurs en plus des modifications apportées à l'appartenance aux groupes et d'autres modifications d'attribut sur les comptes d'utilisateurs, sur les comptes d'ordinateurs et sur les groupes de sécurité. Si votre matériel ou si votre logiciel échoue ou si votre site rencontre un autre incident, vous voudrez restaurer les sauvegardes qui ont été effectuées après chaque groupe de modifications sur chaque domaine Active Directory et sur chaque site dans la forêt. Si vous ne conservez pas de sauvegardes actuelles, vous pouvez perdre des données ou vous devrez peut-être rétablir des objets restaurés.

Microsoft vous recommande d'appliquer les étapes suivantes pour empêcher des suppressions en masse :
  1. Ne partagez pas le mot de passe des comptes d'administrateurs intégrés ou n'autorisez pas le partage des comptes d'utilisateurs administratifs. Si le mot de passe du compte d'administrateur intégré est connu, modifiez-le, puis définissez un processus interne qui décourage son utilisation. Les événements d'audit des comptes d'utilisateurs partagés permettent de déterminer l'identité de l'utilisateur qui apporte des modifications dans Active Directory. Par conséquent, l'utilisation des comptes d'utilisateurs partagés doit être découragée.
  2. Il est très rare que les comptes d'utilisateurs, les comptes d'ordinateurs et les groupes de sécurité fassent l'objet d'une suppression volontaire. Cela est particulièrement vrai pour les suppressions d'arborescence. Séparez la capacité des administrateurs de service et délégués de supprimer ces objets de la capacité de créer et de gérer des comptes d'utilisateurs, des comptes d'ordinateurs, des groupes de sécurité, des conteneurs d'unités d'organisation et leurs attributs. Accordez uniquement aux comptes d'utilisateurs ou aux groupes de sécurité les plus privilégiés le droit d'exécuter des suppressions d'arborescence. Ces comptes d'utilisateurs privilégiés peuvent comprendre les administrateurs d'entreprise.
  3. Accordez aux administrateurs délégués uniquement un accès à la classe d'objet qu'ils sont autorisés à gérer. Par exemple, il est préférable qu'un administrateur du support technique dont la tâche principale consiste à modifier les propriétés sur les comptes d'utilisateurs, n'ait pas les autorisations de créer et de supprimer des comptes d'utilisateurs, des comptes d'ordinateurs, des groupes de sécurité ou des conteneurs d'unités d'organisation. Cette restriction s'applique également aux suppressions d'autorisations pour les administrateurs des autres classes d'objet spécifiques.
  4. Expérimentez les paramètres d'audit pour suivre les opérations de suppression dans un domaine de travaux pratiques. Une fois que vous maîtrisez les résultats, appliquez votre meilleure solution au domaine de production.
  5. Le contrôle d'accès en bloc et les modifications d'audit sur des conteneurs qui hébergent des dizaines de milliers d'objets peuvent faire augmenter considérablement la taille de la base de données Active Directory, surtout dans les domaines Windows 2000. Utilisez un domaine test qui reflète le domaine de production pour évaluer les modifications potentielles sur l'espace disque disponible. Vérifiez les volumes du disque dur qui hébergent les fichiers Ntds.dit et les fichiers journaux des contrôleurs de domaine dans le domaine de production de l'espace disque disponible. Évitez de définir le contrôle d'accès et les modifications d'audit sur la tête du contrôleur de réseau du domaine. Ces modifications s'appliqueraient inutilement à tous les objets de toutes les classes dans tous les conteneurs de la partition. Par exemple, évitez d'apporter des modifications au serveur DNS et à l'inscription de l'enregistrement du suivi de liaisons distribuées (DLT) dans le dossier CN=SYSTEM de la partition de domaine.
  6. Utilisez la structure d'unité d'organisation conseillée pour séparer les comptes d'utilisateurs, les comptes d'ordinateurs, les groupes de sécurité et les comptes de services dans leur unité d'organisation. Lorsque vous utilisez une telle structure, vous pouvez appliquer des listes de contrôle d'accès discrétionnaire (DACL) aux objets d'une seule classe d'administration déléguée et vous permettez la restauration des objets en fonction de la classe d'objet s'ils doivent être restaurés. La structure d'unité d'organisation conseillée est abordée dans la section « Creating an Organizational Unit Design » (Création d'une conception d'unité d'organisation) du livre blanc intitulé « Best Practice Active Directory Design for Managing Windows Networks ». Pour obtenir ce livre blanc, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais) :
    http://technet.microsoft.com/fr-fr/library/Bb727085.aspx
  7. Testez les suppressions en masse dans un environnement de travaux pratiques qui reflète votre domaine de production. Choisissez la méthode de récupération qui est logique pour vous, puis personnalisez-la en fonction de votre organisation. Vous devrez peut-être identifier les éléments suivants :
    • Les noms des contrôleurs de domaine dans chaque domaine qui est régulièrement sauvegardé
    • L'emplacement de stockage des images de sauvegarde

      Idéalement, ces images sont stockées sur un autre disque dur qui est local à un catalogue global dans chaque domaine de la forêt.
    • Les membres de l'organisation du support technique à contacter
    • La meilleure façon de nouer ce contact
  8. La majorité des suppressions en masse de comptes d'utilisateurs, de comptes d'ordinateurs et de groupes de sécurité que Microsoft rencontre est accidentelle. Discutez ce scénario avec votre personnel informatique, puis élaborez un plan d'action interne. Concentrez-vous d'abord sur la détection anticipée et sur le rétablissement des fonctionnalités aux utilisateurs de votre domaine et à votre entreprise aussi rapidement que possible. Vous pouvez également prendre des mesures pour empêcher les suppressions en masse en modifiant les listes de contrôle d'accès (ACL) des unités d'organisation. Pour plus d'informations sur l'utilisation des outils d'interface Windows pour empêcher les suppressions en masse accidentelles, visitez le site Web de Microsoft Web à l'adresse suivante et consultez la rubrique « Protection contre les suppressions en masse accidentelles dans Active Directory » :
    http://technet.microsoft.com/fr-fr/library/cc773347(WS.10).aspx
    Pour plus d'informations sur comment empêcher les suppressions en masse accidentelles à l'aide de la commande Dsacls.exe sur la ligne de commande ou à l'aide d'un script, visitez le site Web Microsoft à l'adresse suivante et consultez la rubrique « Utilisation de scripts pour protéger les unités d'organisation des suppressions accidentelles » :
    http://go.microsoft.com/fwlink/?LinkId=162623

Outils et scripts qui peuvent vous aider à récupérer suite à des suppressions en masse

L'utilitaire de ligne de commande Groupadd.exe lit l'attribut memberOf sur une collection d'utilisateurs dans une Unité d'organisation et génère un fichier .ldf qui ajoute chaque compte d'utilisateur restauré aux groupes de sécurité sur chaque domaine de la forêt.

Groupadd.exe détecte automatiquement les domaines et les groupes de sécurité dont les utilisateurs supprimés étaient des membres et les réintègrent à ces groupes. Ce processus est expliqué en détail à l'étape 11 de la méthode 1.

Groupadd.exe s'exécute sur les contrôleurs de domaine suivants :
  • Contrôleurs de domaine Windows Server 2003
  • Les contrôleurs de domaine Windows 2000 sur lesquels NET Framework 1.1 est installé
Groupadd.exe utilise la syntaxe suivante :
groupadd /après_restauration fichier_ldf [/avant_restauration fichier_ldf]
Ici, le fichier_ldf représente le nom du fichier .ldf à utiliser avec l'argument précédent, après_restauration représente la source de données du fichier utilisateur et avant_restauration représente les données utilisateur de l'environnement de production. (La source de données du fichier utilisateur correspond aux bonnes données utilisateur).

Pour obtenir l'utilitaire Groupadd.exe, contactez les services de Support technique Microsoft.

Les produits tiers mentionnés dans le présent article proviennent de sociétés indépendantes de Microsoft. Microsoft exclut toute garantie, implicite ou autre, concernant les performances ou la fiabilité de ces produits.

Références

Pour plus d'informations sur la façon de restaurer un objets qui contient des caractères étendus, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft.
886689 L'opération de restauration faisant autorité Ntdsutil n'aboutit pas si le chemin de nom unique (DN, Distinguished Name) contient des caractères étendus dans Windows Server 2003 et dans Windows 2000.
Pour plus d'informations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft.
824684 Terminologie standard utilisée pour décrire les mises à jour logicielles Microsoft
910823 Message d'erreur lorsque vous essayez d'importer des fichiers .ldf sur un ordinateur Windows Server 2003 Service Pack 1 : « Erreur d'ajout sur la ligne numéro_ligne : Aucun objet correspondant »
937855 Une fois les objets supprimés restaurés par une restauration faisant autorité sur un contrôleur de domaine Windows Server 2003, les attributs liés de certains objets ne sont pas répliqués sur les autres contrôleurs de domaine

Pour plus d'informations sur l'utilisation de la fonction Corbeille Active Directory incluse dans Windows Server 2008 R2, consultez le Guide Pas à pas Corbeille Active Directory disponible sur le site Web de Microsoft à l'adresse suivante :http://technet.microsoft.com/fr-fr/library/dd392261(WS.10).aspx
Remarque Il s'agit d'un article de « PUBLICATION RAPIDE » rédigé directement au sein du service de support technique Microsoft. Les informations qui y sont contenues sont fournies en l'état, en réponse à des problèmes émergents. En raison du délai rapide de mise à disposition, les informations peuvent contenir des erreurs typographiques et, à tout moment et sans préavis, faire l'objet de révisions. Pour d'autres considérations, consultez les Conditions d'utilisation.

Propriétés

Numéro d'article: 840001 - Dernière mise à jour: lundi 27 janvier 2014 - Version: 2.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professionnel
  • Microsoft Windows 2000 Server
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
Mots-clés : 
kbhowto kbwinservds kbactivedirectory KB840001
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com