Comment restaurer des comptes d’utilisateurs supprimés et leurs appartenances à un groupe dans Active Directory

Article
02/21/2024

Cet article fournit des informations sur la restauration des comptes d’utilisateur supprimés et des appartenances aux groupes dans Active Directory.

Produits concernés : Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 840001

Introduction

Vous pouvez utiliser plusieurs méthodes pour restaurer des comptes d’utilisateur, des comptes d’ordinateurs et des groupes de sécurité supprimés. Ces objets sont collectivement appelés principaux de sécurité.

La méthode la plus courante consiste à activer la fonctionnalité Corbeille AD prise en charge sur les contrôleurs de domaine basés sur Windows Server 2008 R2 et versions ultérieures. Pour plus d’informations sur cette fonctionnalité, notamment sur l’activation et la restauration des objets, consultez Guide pas à pas de la Corbeille Active Directory.

Si cette méthode n’est pas disponible, les trois méthodes suivantes peuvent être utilisées. Dans les trois méthodes, vous restaurez avec autorité les objets supprimés, puis vous restaurez les informations d’appartenance aux groupes pour les principaux de sécurité supprimés. Lorsque vous restaurez un objet supprimé, vous devez restaurer les anciennes valeurs des member attributs et memberOf dans le principal de sécurité affecté.

Remarque

La récupération d’objets supprimés dans Active Directory peut être simplifiée en activant la fonctionnalité Corbeille AD prise en charge sur les contrôleurs de domaine basés sur Windows Server 2008 R2 et versions ultérieures. Pour plus d’informations sur cette fonctionnalité, notamment sur l’activation et la restauration des objets, consultez Guide pas à pas de la Corbeille Active Directory.

Informations supplémentaires

Les méthodes 1 et 2 offrent une meilleure expérience pour les utilisateurs et les administrateurs de domaine. Ces méthodes conservent les ajouts aux groupes de sécurité qui ont été effectués entre le moment de la dernière sauvegarde de l’état du système et le moment où la suppression s’est produite. Dans la méthode 3, vous n’effectuez pas d’ajustements individuels aux principaux de sécurité. Au lieu de cela, vous restaurez les appartenances aux groupes de sécurité à leur état au moment de la dernière sauvegarde.

La plupart des suppressions à grande échelle sont accidentelles. Microsoft vous recommande de prendre plusieurs mesures pour empêcher d’autres personnes de supprimer des objets en bloc.

Remarque

Pour empêcher la suppression ou le déplacement accidentel d’objets (en particulier les unités d’organisation), deux entrées de contrôle d’accès refuser (ACE) peuvent être ajoutées au descripteur de sécurité de chaque objet (DENY DELETE DELETE & DELETE TREE) et une entrée de contrôle d’accès refusé (AFC) peut être ajoutée au descripteur de sécurité du PARENT de chaque objet (DENY DELETE CHILD). Pour ce faire, utilisez Utilisateurs et ordinateurs Active Directory, ADSIEdit, LDP ou l’outil en ligne de commande DSACLS. Vous pouvez également modifier les autorisations par défaut dans le schéma AD pour les unités d’organisation afin que ces éléments soient inclus par défaut.

Par exemple, pour protéger l’unité organization appelée CONTOSO.COM d’un déplacement ou d’une suppression accidentelle de son unité d’organisation parente appelée MyCompany, effectuez la configuration suivante :

Pour l’unité d’organisation MyCompany , ajoutez DENY ACE pour tout le monde à DELETE CHILD avec l’étendue Cet objet uniquement :

DSACLS "OU=MyCompany,DC=CONTOSO,DC=COM" /D "EVERYONE:DC"/

Pour l’unité d’organisation Utilisateurs, ajoutez DENY ACE pour tout le monde à DELETE et DELETE TREE avec l’étendue Cet objet uniquement :

DSACLS "OU=Users,OU=MyCompany,DC=CONTOSO,DC=COM" /D "EVERYONE:SDDT"

Le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory dans Windows Server 2008 inclut un objet Protéger contre la suppression accidentelle case activée zone sous l’onglet Objet.

Remarque

La zone Fonctionnalités avancées case activée doit être activée pour afficher cet onglet.

Lorsque vous créez une unité d’organisation à l’aide de Utilisateurs et ordinateurs Active Directory dans Windows Server 2008, la zone Protéger le conteneur contre la suppression accidentelle case activée s’affiche. Par défaut, la zone case activée est sélectionnée et peut être désélectionnée.

Bien que vous puissiez configurer chaque objet dans Active Directory à l’aide de ces acees, il est mieux adapté aux unités d’organisation. La suppression ou le déplacement de tous les objets feuilles peut avoir un effet majeur. Cette configuration empêche ces suppressions ou ces mouvements. Pour vraiment supprimer ou déplacer un objet à l’aide d’une telle configuration, vous devez d’abord supprimer les acees Deny.

Cet article explique comment restaurer les comptes d’utilisateur, les comptes d’ordinateur et leurs appartenances à un groupe après leur suppression d’Active Directory. Dans les variantes de ce scénario, les comptes d’utilisateur, les comptes d’ordinateurs ou les groupes de sécurité peuvent avoir été supprimés individuellement ou dans une certaine combinaison. Dans tous ces cas, les mêmes étapes initiales s’appliquent. Vous restaurez avec autorité les objets qui ont été supprimés par inadvertance, ou restauration d’authentification. Certains objets supprimés nécessitent plus de travail pour être restaurés. Ces objets incluent des objets tels que des comptes d’utilisateur qui contiennent des attributs qui sont des liens d’arrière des attributs d’autres objets. Deux de ces attributs sont managedBy et memberOf.

Lorsque vous ajoutez des principaux de sécurité, tels qu’un compte d’utilisateur, un groupe de sécurité ou un compte d’ordinateur à un groupe de sécurité, vous apportez les modifications suivantes dans Active Directory :

Le nom du principal de sécurité est ajouté à l’attribut membre de chaque groupe de sécurité.
Pour chaque groupe de sécurité dont l’utilisateur, l’ordinateur ou le groupe de sécurité est membre, un lien précédent est ajouté à l’attribut du principal de memberOf sécurité.

De même, lorsqu’un utilisateur, un ordinateur ou un groupe est supprimé d’Active Directory, les actions suivantes se produisent :

Le principal de sécurité supprimé est déplacé dans le conteneur d’objets supprimés.
Quelques valeurs d’attribut, y compris l’attribut memberOf , sont supprimées du principal de sécurité supprimé.
Les principaux de sécurité supprimés sont supprimés des groupes de sécurité dont ils étaient membres. En d’autres termes, les principaux de sécurité supprimés sont supprimés de l’attribut membre de chaque groupe de sécurité.

Lorsque vous récupérez des principaux de sécurité supprimés et restaurez leurs appartenances à un groupe, chaque principal de sécurité doit exister dans Active Directory avant de restaurer son appartenance au groupe. Le membre peut être un utilisateur, un ordinateur ou un autre groupe de sécurité. Pour rétablir cette règle plus largement, un objet qui contient des attributs dont les valeurs sont des liens d’arrière doit exister dans Active Directory avant que l’objet qui contient ce lien puisse être restauré ou modifié.

Cet article se concentre sur la récupération des comptes d’utilisateurs supprimés et de leurs appartenances à des groupes de sécurité. Ses concepts s’appliquent également aux autres suppressions d’objets. Les concepts de cet article s’appliquent également aux objets supprimés dont les valeurs d’attribut utilisent des liens vers l’avant et des liens vers d’autres objets dans Active Directory.

Vous pouvez utiliser l’une des trois méthodes pour récupérer des principaux de sécurité. Lorsque vous utilisez la méthode 1, vous laissez tous les principaux de sécurité ajoutés à n’importe quel groupe de sécurité dans la forêt. Et vous ajoutez uniquement les principaux de sécurité qui ont été supprimés de leurs domaines respectifs à leurs groupes de sécurité. Par exemple, vous effectuez une sauvegarde de l’état du système, ajoutez un utilisateur à un groupe de sécurité, puis restaurez la sauvegarde de l’état du système. Lorsque vous utilisez les méthodes 1 ou 2, vous conservez tous les utilisateurs qui ont été ajoutés à des groupes de sécurité contenant des utilisateurs supprimés entre les dates de création de la sauvegarde de l’état du système et la date à laquelle la sauvegarde a été restaurée. Lorsque vous utilisez la méthode 3, vous restaurez les appartenances aux groupes de sécurité de tous les groupes de sécurité qui contiennent des utilisateurs supprimés à leur état au moment de la sauvegarde de l’état du système.

Méthode 1 : restaurer les comptes d’utilisateur supprimés, puis rajouter les utilisateurs restaurés à leurs groupes à l’aide de l’outil en ligne de commande Ntdsutil.exe

L’outil en ligne de commande Ntdsutil.exe vous permet de restaurer les textures d’objets supprimés. Deux fichiers sont générés pour chaque opération de restauration faisant autorité. Un fichier contient une liste d’objets restaurés avec autorité. L’autre fichier est un fichier .ldf utilisé avec l’utilitaire Ldifde.exe. Ce fichier est utilisé pour restaurer les millisecondes pour les objets restaurés avec autorité. Une restauration faisant autorité d’un objet utilisateur génère également des fichiers LDIF (LDAP Data Interchange Format) avec l’appartenance au groupe. Cette méthode évite une double restauration.

Lorsque vous utilisez cette méthode, vous effectuez les étapes générales suivantes :

Vérifiez si un catalogue global dans le domaine de l’utilisateur n’a pas été répliqué lors de la suppression. Ensuite, empêchez ce catalogue global de se répliquer. S’il n’existe aucun catalogue global latent, recherchez la sauvegarde d’état système la plus actuelle d’un contrôleur de domaine de catalogue global dans le domaine de base de l’utilisateur supprimé.
L’authentification restaure tous les comptes d’utilisateur supprimés, puis autorise la réplication de bout en bout de ces comptes d’utilisateur.
Rajoutez tous les utilisateurs restaurés à tous les groupes de tous les domaines dont les comptes d’utilisateur étaient membres avant leur suppression.

Pour utiliser la méthode 1, procédez comme suit :

Vérifiez s’il existe un contrôleur de domaine de catalogue global dans le domaine d’accueil de l’utilisateur supprimé qui n’a répliqué aucune partie de la suppression.

Remarque

Concentrez-vous sur les catalogues globaux qui ont les planifications de réplication les moins fréquentes.

S’il existe un ou plusieurs de ces catalogues globaux, utilisez l’outil en ligne de commande Repadmin.exe pour désactiver immédiatement la réplication entrante en procédant comme suit :
1. Sélectionnez Démarrer, puis Exécuter.
2. Tapez cmd dans la zone Ouvrir , puis sélectionnez OK.
3. Tapez la commande suivante à l’invite de commandes, puis appuyez sur Entrée :
```
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
```
  Remarque
  
  Si vous ne pouvez pas émettre la Repadmin commande immédiatement, supprimez toute la connectivité réseau du catalogue global latent jusqu’à ce que vous puissiez l’utiliser Repadmin pour désactiver la réplication entrante, puis retournez immédiatement la connectivité réseau.
Ce contrôleur de domaine est appelé contrôleur de domaine de récupération. S’il n’existe pas de catalogue global de ce type, passez à l’étape 2.
Il est préférable d’arrêter d’apporter des modifications aux groupes de sécurité dans la forêt si toutes les instructions suivantes sont vraies :
- Vous utilisez la méthode 1 pour restaurer avec autorité des utilisateurs ou des comptes d’ordinateur supprimés par leur chemin d’accès de nom unique (dn).
- La suppression a été répliquée sur tous les contrôleurs de domaine de la forêt, à l’exception du contrôleur de domaine de récupération latente.
- Vous ne restaurez pas les groupes de sécurité ou leurs conteneurs parents.
Si vous restaurez des groupes de sécurité ou des conteneurs d’unité d’organisation qui hébergent des groupes de sécurité ou des comptes d’utilisateur, arrêtez temporairement toutes ces modifications.

Informez les administrateurs et les administrateurs du support technique dans les domaines appropriés, en plus des utilisateurs de domaine dans le domaine où la suppression s’est produite, de l’arrêt de ces modifications.
Créez une sauvegarde de l’état du système dans le domaine où la suppression s’est produite. Vous pouvez utiliser cette sauvegarde si vous devez restaurer vos modifications.

Remarque

Si les sauvegardes de l’état du système sont à jour jusqu’au point de la suppression, ignorez cette étape et passez à l’étape 4.

Si vous avez identifié un contrôleur de domaine de récupération à l’étape 1, sauvegardez l’état du système maintenant.

Si tous les catalogues globaux situés dans le domaine où la suppression s’est produite sont répliqués lors de la suppression, sauvegardez l’état système d’un catalogue global dans le domaine où la suppression s’est produite.

Lorsque vous créez une sauvegarde, vous pouvez rétablir l’état actuel du contrôleur de domaine de récupération. Et exécutez à nouveau votre plan de récupération si votre première tentative n’est pas réussie.
Si vous ne trouvez pas de contrôleur de domaine de catalogue global latent dans le domaine où la suppression de l’utilisateur s’est produite, recherchez la sauvegarde d’état système la plus récente d’un contrôleur de domaine de catalogue global dans ce domaine. Cette sauvegarde de l’état du système doit contenir les objets supprimés. Utilisez ce contrôleur de domaine comme contrôleur de domaine de récupération.

Seules les restaurations des contrôleurs de domaine de catalogue global dans le domaine de l’utilisateur contiennent des informations globales et universelles d’appartenance aux groupes de sécurité qui résident dans des domaines externes. S’il n’existe aucune sauvegarde de l’état système d’un contrôleur de domaine de catalogue global dans le domaine où les utilisateurs ont été supprimés, vous ne pouvez pas utiliser l’attribut memberOf sur les comptes d’utilisateur restaurés pour déterminer l’appartenance à un groupe global ou universel ou pour récupérer l’appartenance à des domaines externes. En outre, il est judicieux de trouver la sauvegarde d’état système la plus récente d’un contrôleur de domaine de catalogue non global.
Si vous connaissez le mot de passe du compte d’administrateur hors connexion, démarrez le contrôleur de domaine de récupération en mode Disrepair. Si vous ne connaissez pas le mot de passe du compte d’administrateur hors connexion, réinitialisez le mot de passe à l’aide de ntdsutil.exe alors que le contrôleur de domaine de récupération est toujours en mode Active Directory normal.

Vous pouvez utiliser l’outil en ligne de commande setpwd pour réinitialiser le mot de passe sur les contrôleurs de domaine lorsqu’ils sont en mode Active Directory en ligne.

Remarque

Microsoft ne prend plus en charge Windows 2000.

Les administrateurs de contrôleurs de domaine Windows Server 2003 et versions ultérieures peuvent utiliser la set dsrm password commande dans l’outil en ligne de commande Ntdsutil pour réinitialiser le mot de passe du compte d’administrateur hors connexion.

Pour plus d’informations sur la réinitialisation du compte d’administrateur du mode de restauration des services d’annuaire, consultez Comment réinitialiser le mot de passe du compte administrateur du mode de restauration des services d’annuaire dans Windows Server.
Appuyez sur F8 pendant le processus de démarrage pour démarrer le contrôleur de domaine de récupération en mode Derepair. Connectez-vous à la console du contrôleur de domaine de récupération avec le compte d’administrateur hors connexion. Si vous réinitialisez le mot de passe à l’étape 5, utilisez le nouveau mot de passe.

Si le contrôleur de domaine de récupération est un contrôleur de domaine de catalogue global latent, ne restaurez pas l’état du système. Passez à l’étape 7.

Si vous créez le contrôleur de domaine de récupération à l’aide d’une sauvegarde de l’état du système, restaurez la sauvegarde de l’état du système la plus actuelle effectuée sur le contrôleur de domaine de récupération.
Auth restaure les comptes d’utilisateur supprimés, les comptes d’ordinateurs supprimés ou les groupes de sécurité supprimés.

Remarque

Les termes authentification restore et restauration faisant autorité font référence au processus d’utilisation de la commande restore faisant autorité dans l’outil en ligne de commande Ntdsutil pour incrémenter les numéros de version d’objets spécifiques ou de conteneurs spécifiques et de tous leurs objets subordonnés. Dès que la réplication de bout en bout se produit, les objets ciblés dans la copie locale d’Active Directory du contrôleur de domaine de récupération font autorité sur tous les contrôleurs de domaine qui partagent cette partition. Une restauration faisant autorité est différente d’une restauration de l’état du système. Une restauration de l’état du système remplit la copie locale d’Active Directory du contrôleur de domaine restauré avec les versions des objets au moment où la sauvegarde de l’état du système a été effectuée.

Les restaurations faisant autorité sont effectuées avec l’outil en ligne de commande Ntdsutil et font référence au chemin de nom de domaine (dn) des utilisateurs supprimés ou des conteneurs qui hébergent les utilisateurs supprimés.

Lorsque vous restaurez l’authentification, utilisez des chemins d’accès de nom de domaine (dn) qui sont aussi bas dans l’arborescence de domaine qu’ils le doivent. L’objectif est d’éviter de rétablir des objets qui ne sont pas liés à la suppression. Ces objets peuvent inclure des objets qui ont été modifiés après la sauvegarde de l’état du système.

Auth restore les utilisateurs supprimés dans l’ordre suivant :
1. Auth restaure le chemin d’accès au nom de domaine (dn) pour chaque compte d’utilisateur, compte d’ordinateur ou groupe de sécurité supprimé.
  
  Les restaurations faisant autorité d’objets spécifiques prennent plus de temps, mais sont moins destructrices que les restaurations faisant autorité d’une sous-arborescence entière. Auth restaure le conteneur parent commun le plus bas qui contient les objets supprimés.
  
  Ntdsutil utilise la syntaxe suivante :
```
ntdsutil "authoritative restore" "restore object <object DN path>" q q
```
  Par exemple, pour restaurer avec autorité l’utilisateur supprimé John Doe dans l’unité d’organisation Mayberry du Contoso.com domaine, utilisez la commande suivante :
```
ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
```
  Pour restaurer de manière faisant autorité le groupe de sécurité supprimé ContosoPrintAccess dans l’unité d’organisation Mayberry du Contoso.com domaine, utilisez la commande suivante :
```
ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
```
  Importante
  
  L’utilisation de guillemets est obligatoire.
  
  Pour chaque utilisateur que vous restaurez, au moins deux fichiers sont générés. Ces fichiers ont le format suivant :
  
  ar_YYYYMMDD-HHMMSS_objects.txt
  Ce fichier contient une liste des objets restaurés avec autorité. Utilisez ce fichier avec la commande de restauration create ldif file from faisant autorité ntdsutil dans tout autre domaine de la forêt où l’utilisateur était membre des groupes locaux de domaine.
  
  ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf
  Si vous effectuez la restauration d’authentification sur un catalogue global, l’un de ces fichiers est généré pour chaque domaine de la forêt. Ce fichier contient un script que vous pouvez utiliser avec l’utilitaire Ldifde.exe. Le script restaure les millisecondes pour les objets restaurés. Dans le domaine de base de l’utilisateur, le script restaure toutes les appartenances aux groupes pour les utilisateurs restaurés. Dans tous les autres domaines de la forêt où l’utilisateur est membre d’un groupe, le script restaure uniquement les appartenances aux groupes universels et globaux. Le script ne restaure aucune appartenance à un groupe local de domaine. Ces appartenances ne sont pas suivies par un catalogue global.
2. L’authentification restaure uniquement les conteneurs d’unité d’organisation ou de Common-Name (CN) qui hébergent les comptes ou groupes d’utilisateurs supprimés.
  
  Les restaurations faisant autorité d’une sous-arborescence entière sont valides lorsque l’unité d’organisation ciblée par la commande de restauration faisant autorité ntdsutil contient la plupart des objets que vous essayez de restaurer avec autorité. Dans l’idéal, l’unité d’organisation ciblée contient tous les objets que vous essayez de restaurer avec autorité.
  
  Une restauration faisant autorité sur une sous-arborescence d’unité d’organisation restaure tous les attributs et objets qui résident dans le conteneur. Toutes les modifications apportées jusqu’à la restauration d’une sauvegarde de l’état du système sont restaurées à leurs valeurs au moment de la sauvegarde. Avec les comptes d’utilisateur, les comptes d’ordinateur et les groupes de sécurité, cette restauration peut entraîner la perte des modifications les plus récentes apportées aux éléments suivants :
  - Passe
  - répertoire de base
  - chemin d’accès du profil
  - emplacement
  - informations de contact
  - appartenance au groupe
  - tous les descripteurs de sécurité définis sur ces objets et attributs.
  Ntdsutil utilise la syntaxe suivante :
```
ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
```
  Par exemple, pour restaurer avec autorité l’unité d’organisation Mayberry du Contoso.com domaine, utilisez la commande suivante :
```
ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q
```
  Remarque
  
  Répétez cette étape pour chaque unité d’organisation homologue qui héberge des utilisateurs ou des groupes supprimés.
  
  Importante
  
  Lorsque vous restaurez un objet subordonné d’une unité d’organisation, tous les conteneurs parents supprimés des objets subordonnés supprimés doivent être explicitement restaurés.
  
  Pour chaque unité d’organisation que vous restaurez, au moins deux fichiers sont générés. Ces fichiers ont le format suivant :
  
  ar_YYYYMMDD-HHMMSS_objects.txt
  Ce fichier contient une liste des objets restaurés avec autorité. Utilisez ce fichier avec la commande de restauration create ldif file from faisant autorité ntdsutil dans tout autre domaine de la forêt où les utilisateurs restaurés étaient membres de groupes locaux de domaine.
  
  ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf
  Ce fichier contient un script que vous pouvez utiliser avec l’utilitaire Ldifde.exe. Le script restaure les millisecondes pour les objets restaurés. Dans le domaine de base de l’utilisateur, le script restaure toutes les appartenances aux groupes pour les utilisateurs restaurés.
Si des objets supprimés ont été récupérés sur le contrôleur de domaine de récupération en raison d’une restauration de l’état du système, supprimez tous les câbles réseau qui fournissent une connectivité réseau à tous les autres contrôleurs de domaine dans la forêt.
Redémarrez le contrôleur de domaine de récupération en mode Active Directory normal.
Tapez la commande suivante pour désactiver la réplication entrante vers le contrôleur de domaine de récupération :
```
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
```
Réactivez la connectivité réseau au contrôleur de domaine de récupération dont l’état du système a été restauré.
Répliquez les objets restaurés par authentification à partir du contrôleur de domaine de récupération vers les contrôleurs de domaine dans le domaine et dans la forêt.

Pendant que la réplication entrante vers le contrôleur de domaine de récupération reste désactivée, tapez la commande suivante pour envoyer (push) les objets restaurés par authentification à tous les contrôleurs de domaine réplica intersites du domaine et à tous les catalogues globaux de la forêt :
```
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
```
Si toutes les instructions suivantes sont vraies, les liens d’appartenance aux groupes sont reconstruits avec la restauration et la réplication des comptes d’utilisateur supprimés. Passez à l’étape 14.

Remarque

Si une ou plusieurs des instructions suivantes ne sont pas vraies, passez à l’étape 12.
- Votre forêt s’exécute au niveau fonctionnel de forêt Windows Server 2003 et versions ultérieures ou windows server 2003 et versions ultérieures intermédiaires.
- Seuls les comptes d’utilisateur ou d’ordinateur ont été supprimés, et non les groupes de sécurité.
- Les utilisateurs supprimés ont été ajoutés aux groupes de sécurité dans tous les domaines de la forêt après la transition de la forêt vers Windows Server 2003 et versions ultérieures, ou un niveau fonctionnel de forêt ultérieur.
Sur la console du contrôleur de domaine de récupération, utilisez l’utilitaire Ldifde.exe et le fichier ar_YYYYYMMDD-HHMMSS_links_usn.loc.ldf pour restaurer les appartenances aux groupes de l’utilisateur. Pour ce faire, procédez comme suit :
- Sélectionnez Démarrer, Exécuter, tapez cmd dans la zone Ouvrir , puis sélectionnez OK.
- À l'invite de commandes, tapez la commande suivante, puis appuyez sur Entrée :
```
ldifde -i -f ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf
```
Activez la réplication entrante vers le contrôleur de domaine de récupération à l’aide de la commande suivante :
```
repadmin /options <recovery dc name> -DISABLE_INBOUND_REPL
```
Si des utilisateurs supprimés ont été ajoutés à des groupes locaux dans des domaines externes, effectuez l’une des actions suivantes :
- Rajoutez manuellement les utilisateurs supprimés à ces groupes.
- Restaurez l’état du système et l’authentification restaurent chacun des groupes de sécurité locaux qui contiennent les utilisateurs supprimés.
Vérifiez l’appartenance au groupe dans le domaine du contrôleur de domaine de récupération et dans les catalogues globaux dans d’autres domaines.
Effectuez une nouvelle sauvegarde de l’état système des contrôleurs de domaine dans le domaine du contrôleur de domaine de récupération.
Informez tous les administrateurs de forêt, les administrateurs délégués, les administrateurs du support technique dans la forêt et les utilisateurs du domaine que la restauration de l’utilisateur est terminée.

Les administrateurs du support technique peuvent avoir à réinitialiser les mots de passe des comptes d’utilisateur restaurés par authentification et des comptes d’ordinateur dont le mot de passe de domaine a été modifié après la restauration du système.

Les utilisateurs qui ont modifié leurs mots de passe après la sauvegarde de l’état du système constatent que leur mot de passe le plus récent ne fonctionne plus. Ces utilisateurs essaient de se connecter en utilisant leur mot de passe précédent s’ils les connaissent. Sinon, les administrateurs du support technique doivent réinitialiser le mot de passe et sélectionner l’utilisateur doit modifier le mot de passe dans la zone de case activée d’ouverture de session suivante. Effectuez-le de préférence sur un contrôleur de domaine dans le même site Active Directory que l’utilisateur.

Méthode 2 : restaurer les comptes d’utilisateur supprimés, puis rajouter les utilisateurs restaurés à leurs groupes

Lorsque vous utilisez cette méthode, vous effectuez les étapes générales suivantes :

Vérifiez si un catalogue global dans le domaine de l’utilisateur n’a pas été répliqué lors de la suppression. Ensuite, empêchez ce catalogue global de se répliquer. S’il n’existe aucun catalogue global latent, recherchez la sauvegarde d’état système la plus actuelle d’un contrôleur de domaine de catalogue global dans le domaine de base de l’utilisateur supprimé.
L’authentification restaure tous les comptes d’utilisateur supprimés, puis autorise la réplication de bout en bout de ces comptes d’utilisateur.
Rajoutez tous les utilisateurs restaurés à tous les groupes de tous les domaines dont les comptes d’utilisateur étaient membres avant leur suppression.

Pour utiliser la méthode 2, procédez comme suit :

Vérifiez s’il existe un contrôleur de domaine de catalogue global dans le domaine d’accueil de l’utilisateur supprimé qui n’a répliqué aucune partie de la suppression.

Remarque

Concentrez-vous sur les catalogues globaux qui ont les planifications de réplication les moins fréquentes.

S’il existe un ou plusieurs de ces catalogues globaux, utilisez l’outil en ligne de commande Repadmin.exe pour désactiver immédiatement la réplication entrante. Pour ce faire, procédez comme suit :
1. Sélectionnez Démarrer, puis Exécuter.
2. Tapez cmd dans la zone Ouvrir , puis sélectionnez OK.
3. Tapez la commande suivante à l’invite de commandes, puis appuyez sur Entrée :
```
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
```
Remarque

Si vous ne pouvez pas émettre immédiatement la commande Repadmin, supprimez toute la connectivité réseau du catalogue global latent jusqu’à ce que vous puissiez utiliser Repadmin pour désactiver la réplication entrante, puis retourner immédiatement la connectivité réseau.

Ce contrôleur de domaine est appelé contrôleur de domaine de récupération. S’il n’existe pas de catalogue global de ce type, passez à l’étape 2.
Déterminez si les ajouts, les suppressions et les modifications apportés aux comptes d’utilisateur, aux comptes d’ordinateurs et aux groupes de sécurité doivent être temporairement arrêtés jusqu’à ce que toutes les étapes de récupération soient terminées.

Pour conserver le chemin de récupération le plus flexible, arrêtez temporairement d’apporter des modifications aux éléments suivants. Les modifications incluent les réinitialisations de mot de passe par les utilisateurs du domaine, les administrateurs du support technique et les administrateurs du domaine où la suppression s’est produite, en plus des modifications de l’appartenance au groupe dans les groupes d’utilisateurs supprimés. Envisagez d’arrêter les ajouts, les suppressions et les modifications des éléments suivants :
1. Comptes d’utilisateur et attributs sur les comptes d’utilisateur
2. Comptes d’ordinateur et attributs sur les comptes d’ordinateur
3. Comptes de service
4. Groupes de sécurité
Il est préférable d’arrêter d’apporter des modifications aux groupes de sécurité dans la forêt si toutes les instructions suivantes sont vraies :
- Vous utilisez la méthode 2 pour restaurer de manière autorité des utilisateurs ou des comptes d’ordinateur supprimés par leur chemin de nom de domaine (dn).
- La suppression a été répliquée sur tous les contrôleurs de domaine de la forêt, à l’exception du contrôleur de domaine de récupération latente.
- Vous ne restaurez pas les groupes de sécurité ou leurs conteneurs parents.
Si vous restaurez des groupes de sécurité ou des conteneurs d’unité d’organisation qui hébergent des groupes de sécurité ou des comptes d’utilisateur, arrêtez temporairement toutes ces modifications.

Informez les administrateurs et les administrateurs du support technique dans les domaines appropriés, en plus des utilisateurs de domaine dans le domaine où la suppression s’est produite, de l’arrêt de ces modifications.
Créez une sauvegarde de l’état du système dans le domaine où la suppression s’est produite. Vous pouvez utiliser cette sauvegarde si vous devez restaurer vos modifications.

Remarque

Si les sauvegardes de l’état du système sont à jour jusqu’au point de la suppression, ignorez cette étape et passez à l’étape 4.

Si vous avez identifié un contrôleur de domaine de récupération à l’étape 1, sauvegardez l’état du système maintenant.

Si tous les catalogues globaux situés dans le domaine où la suppression s’est produite sont répliqués lors de la suppression, sauvegardez l’état système d’un catalogue global dans le domaine où la suppression s’est produite.

Lorsque vous créez une sauvegarde, vous pouvez rétablir l’état actuel du contrôleur de domaine de récupération. Et exécutez à nouveau votre plan de récupération si votre première tentative n’est pas réussie.
Si vous ne trouvez pas de contrôleur de domaine de catalogue global latent dans le domaine où la suppression de l’utilisateur s’est produite, recherchez la sauvegarde d’état système la plus récente d’un contrôleur de domaine de catalogue global dans ce domaine. Cette sauvegarde de l’état du système doit contenir les objets supprimés. Utilisez ce contrôleur de domaine comme contrôleur de domaine de récupération.

Seules les restaurations des contrôleurs de domaine de catalogue global dans le domaine de l’utilisateur contiennent des informations globales et universelles d’appartenance aux groupes de sécurité qui résident dans des domaines externes. S’il n’existe aucune sauvegarde de l’état système d’un contrôleur de domaine de catalogue global dans le domaine où les utilisateurs ont été supprimés, vous ne pouvez pas utiliser l’attribut memberOf sur les comptes d’utilisateur restaurés pour déterminer l’appartenance à un groupe global ou universel ou pour récupérer l’appartenance à des domaines externes. En outre, il est judicieux de trouver la sauvegarde d’état système la plus récente d’un contrôleur de domaine de catalogue non global.
Si vous connaissez le mot de passe du compte d’administrateur hors connexion, démarrez le contrôleur de domaine de récupération en mode Disrepair. Si vous ne connaissez pas le mot de passe du compte d’administrateur hors connexion, réinitialisez le mot de passe lorsque le contrôleur de domaine de récupération est toujours en mode Active Directory normal.

Vous pouvez utiliser l’outil en ligne de commande setpwd pour réinitialiser le mot de passe sur les contrôleurs de domaine qui exécutent Windows 2000 Service Pack 2 (SP2) et versions ultérieures lorsqu’ils sont en mode Active Directory en ligne.

Remarque

Microsoft ne prend plus en charge Windows 2000.

Les administrateurs de contrôleurs de domaine Windows Server 2003 et versions ultérieures peuvent utiliser la set dsrm password commande dans l’outil en ligne de commande Ntdsutil pour réinitialiser le mot de passe du compte d’administrateur hors connexion.

Pour plus d’informations sur la réinitialisation du compte d’administrateur du mode de restauration des services d’annuaire, consultez Comment réinitialiser le mot de passe du compte administrateur du mode de restauration des services d’annuaire dans Windows Server.
Appuyez sur F8 pendant le processus de démarrage pour démarrer le contrôleur de domaine de récupération en mode Derepair. Connectez-vous à la console du contrôleur de domaine de récupération avec le compte d’administrateur hors connexion. Si vous réinitialisez le mot de passe à l’étape 5, utilisez le nouveau mot de passe.

Si le contrôleur de domaine de récupération est un contrôleur de domaine de catalogue global latent, ne restaurez pas l’état du système. Passez à l’étape 7.

Si vous créez le contrôleur de domaine de récupération à l’aide d’une sauvegarde de l’état du système, restaurez la sauvegarde de l’état du système la plus actuelle effectuée sur le contrôleur de domaine de récupération.
Auth restaure les comptes d’utilisateur supprimés, les comptes d’ordinateurs supprimés ou les groupes de sécurité supprimés.

Remarque

Les termes authentification restore et restauration faisant autorité font référence au processus d’utilisation de la commande restore faisant autorité dans l’outil en ligne de commande Ntdsutil pour incrémenter les numéros de version d’objets spécifiques ou de conteneurs spécifiques et de tous leurs objets subordonnés. Dès que la réplication de bout en bout se produit, les objets ciblés dans la copie locale d’Active Directory du contrôleur de domaine de récupération font autorité sur tous les contrôleurs de domaine qui partagent cette partition. Une restauration faisant autorité est différente d’une restauration de l’état du système. Une restauration de l’état du système remplit la copie locale d’Active Directory du contrôleur de domaine restauré avec les versions des objets au moment où la sauvegarde de l’état du système a été effectuée.

Les restaurations faisant autorité sont effectuées avec l’outil en ligne de commande Ntdsutil et font référence au chemin de nom de domaine (dn) des utilisateurs supprimés ou des conteneurs qui hébergent les utilisateurs supprimés.

Lorsque vous restaurez l’authentification, utilisez des chemins d’accès de nom de domaine (dn) qui sont aussi bas dans l’arborescence de domaine qu’ils le doivent. L’objectif est d’éviter de rétablir des objets qui ne sont pas liés à la suppression. Ces objets peuvent inclure des objets qui ont été modifiés après la sauvegarde de l’état du système.

Auth restore les utilisateurs supprimés dans l’ordre suivant :
1. Auth restaure le chemin d’accès au nom de domaine (dn) pour chaque compte d’utilisateur, compte d’ordinateur ou groupe de sécurité supprimé.
  
  Les restaurations faisant autorité d’objets spécifiques prennent plus de temps, mais sont moins destructrices que les restaurations faisant autorité d’une sous-arborescence entière. Auth restaure le conteneur parent commun le plus bas qui contient les objets supprimés.
  
  Ntdsutil utilise la syntaxe suivante :
```
ntdsutil "authoritative restore" "restore object <object DN path>" q q
```
  Par exemple, pour restaurer avec autorité l’utilisateur supprimé John Doe dans l’unité d’organisation Mayberry du Contoso.com domaine, utilisez la commande suivante :
```
ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
```
  Pour restaurer de manière faisant autorité le groupe de sécurité supprimé ContosoPrintAccess dans l’unité d’organisation Mayberry du Contoso.com domaine, utilisez la commande suivante :
```
ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
```
  Importante
  
  L’utilisation de guillemets est obligatoire.
  
  Remarque
  
  Cette syntaxe est disponible uniquement dans Windows Server 2003 et versions ultérieures. La seule syntaxe dans Windows 2000 consiste à utiliser les éléments suivants :
```
ntdsutil "authoritative restore" "restore subtree object DN path"
```
  Remarque
  
  L’opération de restauration faisant autorité Ntdsutil échoue si le chemin d’accès de nom unique (DN) contient des caractères ou des espaces étendus. Pour que la restauration par script réussisse, la restore object <DN path> commande doit être passée en tant que chaîne complète.
  
  Pour contourner ce problème, encapsulez le DN qui contient des caractères étendus et des espaces avec des séquences d’échappement de barre oblique inverse avec guillemets doubles. Voici un exemple :
```
ntdsutil "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry NC,DC=contoso,DC=com\"" q q
```
  Remarque
  
  La commande doit être modifiée si le nom de domaine des objets en cours de restauration contient des virgules. Prenons l’exemple suivant :
```
ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry NC,DC=contoso,DC=com\"" q q
```
  Remarque
  
  Si les objets ont été restaurés à partir de la bande, marqués faisant autorité et que la restauration n’a pas fonctionné comme prévu, puis que la même bande est utilisée pour restaurer à nouveau la base de données NTDS, la version USN des objets à restaurer avec autorité doit être augmentée au-dessus de la valeur par défaut de 10 0000, sinon les objets ne seront pas répliqués après la deuxième restauration. La syntaxe ci-dessous est nécessaire pour générer un script avec un numéro de version supérieur à 100000 (valeur par défaut) :
```
ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry NC,DC=contoso,DC=com\" verinc 150000\"" q q
```
  Remarque
  
  Si le script demande une confirmation sur chaque objet en cours de restauration, vous pouvez désactiver les invites. La syntaxe pour désactiver l’invite est la suivante :
```
ntdsutil "popups off" "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry NC,DC=contoso,DC=com\" verinc 150000\"" q q
```
2. L’authentification restaure uniquement les conteneurs d’unité d’organisation ou de Common-Name (CN) qui hébergent les comptes ou groupes d’utilisateurs supprimés.
  
  Les restaurations faisant autorité d’une sous-arborescence entière sont valides lorsque l’unité d’organisation ciblée par la commande de restauration faisant autorité ntdsutil contient la plupart des objets que vous essayez de restaurer avec autorité. Dans l’idéal, l’unité d’organisation ciblée contient tous les objets que vous essayez de restaurer avec autorité.
  
  Une restauration faisant autorité sur une sous-arborescence d’unité d’organisation restaure tous les attributs et objets qui résident dans le conteneur. Toutes les modifications apportées jusqu’à la restauration d’une sauvegarde de l’état du système sont restaurées à leurs valeurs au moment de la sauvegarde. Avec les comptes d’utilisateur, les comptes d’ordinateur et les groupes de sécurité, cette restauration peut entraîner la perte des dernières modifications apportées aux mots de passe, au répertoire de base, au chemin d’accès du profil, à l’emplacement et aux informations de contact, à l’appartenance au groupe et à tous les descripteurs de sécurité définis sur ces objets et attributs.
  
  Ntdsutil utilise la syntaxe suivante :
```
ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
```
  Par exemple, pour restaurer avec autorité l’unité d’organisation Mayberry du Contoso.com domaine, utilisez la commande suivante :
```
ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q
```
  Remarque
  
  Répétez cette étape pour chaque unité d’organisation homologue qui héberge des utilisateurs ou des groupes supprimés.
  
  Importante
  
  Lorsque vous restaurez un objet subordonné d’une unité d’organisation, tous les conteneurs parents supprimés des objets subordonnés supprimés doivent être explicitement restaurés.
Si des objets supprimés ont été récupérés sur le contrôleur de domaine de récupération en raison d’une restauration de l’état du système, supprimez tous les câbles réseau qui fournissent une connectivité réseau à tous les autres contrôleurs de domaine dans la forêt.
Redémarrez le contrôleur de domaine de récupération en mode Active Directory normal.
Tapez la commande suivante pour désactiver la réplication entrante vers le contrôleur de domaine de récupération :
```
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
```
Réactivez la connectivité réseau au contrôleur de domaine de récupération dont l’état du système a été restauré.
Répliquez les objets restaurés par authentification à partir du contrôleur de domaine de récupération vers les contrôleurs de domaine dans le domaine et dans la forêt.

Pendant que la réplication entrante vers le contrôleur de domaine de récupération reste désactivée, tapez la commande suivante pour envoyer (push) les objets restaurés par authentification à tous les contrôleurs de domaine réplica intersites du domaine et à tous les catalogues globaux de la forêt :
```
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
```
Si toutes les instructions suivantes sont vraies, les liens d’appartenance aux groupes sont reconstruits avec la restauration et la réplication des comptes d’utilisateur supprimés. Passez à l’étape 14.

Remarque

Si une ou plusieurs des instructions suivantes ne sont pas vraies, passez à l’étape 12.
- Votre forêt s’exécute au niveau fonctionnel de la forêt Windows Server 2003 et versions ultérieures, ou au niveau fonctionnel de la forêt intermédiaire Windows Server 2003 et ultérieur.
- Seuls les comptes d’utilisateur ou d’ordinateur ont été supprimés, et non les groupes de sécurité.
- Les utilisateurs supprimés ont été ajoutés aux groupes de sécurité dans tous les domaines de la forêt après la transition de la forêt vers le niveau fonctionnel de forêt Windows Server 2003 et ultérieur.
Déterminez les groupes de sécurité dont les utilisateurs supprimés étaient membres, puis ajoutez-les à ces groupes.

Remarque

Avant de pouvoir ajouter des utilisateurs à des groupes, les utilisateurs que vous authez restaurés à l’étape 7 et que vous avez répliqués sortants à l’étape 11 doivent avoir répliqué sur les contrôleurs de domaine dans le domaine du contrôleur de domaine référencé et sur tous les contrôleurs de domaine de catalogue global dans la forêt.

Si vous avez déployé un utilitaire d’approvisionnement de groupes pour remplir à nouveau l’appartenance aux groupes de sécurité, utilisez cet utilitaire pour restaurer les utilisateurs supprimés dans les groupes de sécurité dont ils étaient membres avant d’être supprimés. Effectuez-le une fois que tous les contrôleurs de domaine directs et transitifs dans les serveurs de domaine et de catalogue global de la forêt ont répliqué les utilisateurs restaurés auth et tous les conteneurs restaurés.

Si vous n’avez pas l’utilitaire, les Ldifde.exe outils en ligne de commande et Groupadd.exe peuvent automatiser cette tâche pour vous lorsqu’ils sont exécutés sur le contrôleur de domaine de récupération. Ces outils sont disponibles auprès des services de support technique Microsoft. Dans ce scénario, Ldifde.exe crée un fichier d’informations LDIF (Ldap Data Interchange Format) qui contient les noms des comptes d’utilisateur et de leurs groupes de sécurité. Il commence à un conteneur d’unité d’organisation spécifié par l’administrateur. Groupadd.exe lit ensuite l’attribut memberOf pour chaque compte d’utilisateur répertorié dans le fichier .ldf. Il génère ensuite des informations LDIF distinctes et uniques pour chaque domaine de la forêt. Ces informations LDIF contiennent les noms des groupes de sécurité associés aux utilisateurs supprimés. Utilisez les informations LDIF pour rajouter les informations aux utilisateurs afin que leurs appartenances aux groupes puissent être restaurées. Procédez comme suit pour cette phase de récupération :
1. Connectez-vous à la console du contrôleur de domaine de récupération à l’aide d’un compte d’utilisateur membre du groupe de sécurité de l’administrateur de domaine.
2. Utilisez la commande Ldifde pour vider les noms des comptes d’utilisateur précédemment supprimés et leurs memberOf attributs, en commençant par le conteneur d’unité d’organisation le plus haut où la suppression s’est produite. La commande Ldifde utilise la syntaxe suivante :
```
ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=user)" -l memberof -p subtree -f user_membership_after_restore.ldf
```
  Utilisez la syntaxe suivante si des comptes d’ordinateur supprimés ont été ajoutés aux groupes de sécurité :
```
ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=computer)" -l memberof -p subtree -f computer_membership_after_restore.ldf
```
3. Exécutez la Groupadd commande pour générer d’autres fichiers .ldf qui contiennent les noms des domaines et les noms des groupes de sécurité globaux et universels dont les utilisateurs supprimés étaient membres. La Groupadd commande utilise la syntaxe suivante :
```
Groupadd / after_restore users_membership_after_restore.ldf
```
  Répétez cette commande si des comptes d’ordinateur supprimés ont été ajoutés aux groupes de sécurité.
4. Importez chaque Groupaddfichier _fully.qualified.domain.name.ldf que vous avez créé à l’étape 12c dans un seul contrôleur de domaine de catalogue global qui correspond au fichier .ldf de chaque domaine. Utilisez la syntaxe Ldifde suivante :
```
Ldifde -i -k -f Groupadd_<fully.qualified.domain.name>.ldf
```
  Exécutez le fichier .ldf pour le domaine dont les utilisateurs ont été supprimés sur n’importe quel contrôleur de domaine à l’exception du contrôleur de domaine de récupération.
5. Sur la console de chaque contrôleur de domaine utilisé pour importer le fichier Groupadd_<fully.qualified.domain.name.ldf> pour un domaine particulier, répliquez les ajouts d’appartenance de groupe aux autres contrôleurs de domaine du domaine et aux contrôleurs de domaine de catalogue global dans la forêt. Pour ce faire, utilisez la commande suivante :
```
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
```
Pour désactiver la réplication sortante, tapez le texte suivant, puis appuyez sur Entrée :
```
repadmin /options +DISABLE_OUTBOUND_REPL
```
Remarque

Pour réactiver la réplication sortante, tapez le texte suivant, puis appuyez sur Entrée :
```
repadmin /options -DISABLE_OUTBOUND_REPL
```
Si des utilisateurs supprimés ont été ajoutés à des groupes locaux dans des domaines externes, effectuez l’une des actions suivantes :
- Rajoutez manuellement les utilisateurs supprimés à ces groupes.
- Restaurez l’état du système et l’authentification restaurent chacun des groupes de sécurité locaux qui contiennent les utilisateurs supprimés.
Vérifiez l’appartenance au groupe dans le domaine du contrôleur de domaine de récupération et dans les catalogues globaux dans d’autres domaines.
Effectuez une nouvelle sauvegarde de l’état système des contrôleurs de domaine dans le domaine du contrôleur de domaine de récupération.
Informez tous les administrateurs de forêt, les administrateurs délégués, les administrateurs du support technique dans la forêt et les utilisateurs du domaine que la restauration de l’utilisateur est terminée.

Les administrateurs du support technique peuvent avoir à réinitialiser les mots de passe des comptes d’utilisateur restaurés par authentification et des comptes d’ordinateur dont le mot de passe de domaine a été modifié après la restauration du système.

Les utilisateurs qui ont modifié leurs mots de passe après la sauvegarde de l’état du système constatent que leur mot de passe le plus récent ne fonctionne plus. Ces utilisateurs essaient de se connecter en utilisant leur mot de passe précédent s’ils les connaissent. Sinon, les administrateurs du support technique doivent réinitialiser le mot de passe et sélectionner l’utilisateur doit modifier le mot de passe dans la zone de case activée d’ouverture de session suivante. Effectuez-le de préférence sur un contrôleur de domaine dans le même site Active Directory que l’utilisateur.

Méthode 3 : restaurer les utilisateurs supprimés et les groupes de sécurité des utilisateurs supprimés à deux reprises

Lorsque vous utilisez cette méthode, vous effectuez les étapes générales suivantes :

Vérifiez si un catalogue global dans le domaine de l’utilisateur n’a pas été répliqué lors de la suppression. Ensuite, empêchez ce contrôleur de domaine de répliquer la suppression de manière entrante. S’il n’existe aucun catalogue global latent, recherchez la sauvegarde d’état système la plus actuelle d’un contrôleur de domaine de catalogue global dans le domaine de base de l’utilisateur supprimé.
Restaurez avec autorité tous les comptes d’utilisateur supprimés et tous les groupes de sécurité dans le domaine de l’utilisateur supprimé.
Attendez la réplication de bout en bout des utilisateurs restaurés et des groupes de sécurité sur tous les contrôleurs de domaine du domaine de l’utilisateur supprimé et sur les contrôleurs de domaine du catalogue global de la forêt.
Répétez les étapes 2 et 3 pour restaurer avec autorité les utilisateurs et les groupes de sécurité supprimés. (Vous ne restaurez l’état du système qu’une seule fois.)
Si les utilisateurs supprimés étaient membres de groupes de sécurité dans d’autres domaines, restaurez avec autorité tous les groupes de sécurité dont les utilisateurs supprimés étaient membres dans ces domaines. Ou, si les sauvegardes de l’état du système sont à jour, restaurez avec autorité tous les groupes de sécurité dans ces domaines. Pour répondre à l’exigence selon laquelle les membres de groupe supprimés doivent être restaurés avant que les groupes de sécurité corrigent les liens d’appartenance aux groupes, vous restaurez les deux types d’objets deux fois dans cette méthode. La première restauration met en place tous les comptes d’utilisateur et les comptes de groupe. La deuxième restauration restaure les groupes supprimés et répare les informations d’appartenance aux groupes, y compris les informations d’appartenance pour les groupes imbriqués.

Pour utiliser la méthode 3, procédez comme suit :

Vérifiez si un contrôleur de domaine de catalogue global existe dans le domaine d’accueil des utilisateurs supprimés et n’a pas été répliqué dans aucune partie de la suppression.

Remarque

Concentrez-vous sur les catalogues globaux dans le domaine qui a les planifications de réplication les moins fréquentes. Si ces contrôleurs de domaine existent, utilisez l’outil en ligne de commande Repadmin.exe pour désactiver immédiatement la réplication entrante. Pour ce faire, procédez comme suit :
1. Sélectionnez Démarrer, puis Exécuter.
2. Tapez cmd dans la zone Ouvrir , puis sélectionnez OK.
3. Tapez repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL à l’invite de commandes, puis appuyez sur Entrée.
Remarque

Si vous ne pouvez pas émettre immédiatement la commande Repadmin, supprimez toute la connectivité réseau du contrôleur de domaine jusqu’à ce que vous puissiez utiliser Repadmin pour désactiver la réplication entrante, puis retourner immédiatement la connectivité réseau.

Ce contrôleur de domaine est appelé contrôleur de domaine de récupération.
Évitez d’ajouter, de supprimer et de modifier les éléments suivants jusqu’à ce que toutes les étapes de récupération soient terminées. Les modifications incluent les réinitialisations de mot de passe par les utilisateurs du domaine, les administrateurs du support technique et les administrateurs du domaine où la suppression s’est produite, en plus des modifications de l’appartenance au groupe dans les groupes d’utilisateurs supprimés.
1. Comptes d’utilisateur et attributs sur les comptes d’utilisateur
2. Comptes d’ordinateur et attributs sur les comptes d’ordinateur
3. Comptes de service
4. Groupes de sécurité
  
  Remarque
  
  Évitez en particulier les modifications apportées à l’appartenance aux groupes pour les utilisateurs, les ordinateurs, les groupes et les comptes de service dans la forêt où la suppression s’est produite.
5. Informez tous les administrateurs de forêt, les administrateurs délégués et les administrateurs du support technique de la forêt de l’arrêt temporaire. Cette mise en veille est requise dans la méthode 2, car vous restaurez avec autorité tous les groupes de sécurité des utilisateurs supprimés. Par conséquent, toutes les modifications apportées aux groupes après la date de sauvegarde de l’état du système sont perdues.
Créez une sauvegarde de l’état du système dans le domaine où la suppression s’est produite. Vous pouvez utiliser cette sauvegarde si vous devez restaurer vos modifications.

Remarque

Si vos sauvegardes d’état système sont à jour jusqu’à l’heure de la suppression, ignorez cette étape et passez à l’étape 4.

Si vous avez identifié un contrôleur de domaine de récupération à l’étape 1, sauvegardez l’état du système maintenant.

Si tous les catalogues globaux situés dans le domaine où la suppression s’est produite ont répliqué la suppression, sauvegardez l’état système d’un catalogue global dans le domaine où la suppression s’est produite.

Lorsque vous créez une sauvegarde, vous pouvez rétablir l’état actuel du contrôleur de domaine de récupération. Et exécutez à nouveau votre plan de récupération si votre première tentative n’est pas réussie.
Si vous ne trouvez pas de contrôleur de domaine de catalogue global latent dans le domaine où la suppression de l’utilisateur s’est produite, recherchez la sauvegarde d’état système la plus récente d’un contrôleur de domaine de catalogue global dans ce domaine. Cette sauvegarde de l’état du système doit contenir les objets supprimés. Utilisez ce contrôleur de domaine comme contrôleur de domaine de récupération.

Seules les bases de données des contrôleurs de domaine du catalogue global dans le domaine de l’utilisateur contiennent des informations d’appartenance aux groupes pour les domaines externes dans la forêt. S’il n’existe aucune sauvegarde de l’état système d’un contrôleur de domaine de catalogue global dans le domaine où les utilisateurs ont été supprimés, vous ne pouvez pas utiliser l’attribut memberOf sur les comptes d’utilisateur restaurés pour déterminer l’appartenance à un groupe global ou universel, ou pour récupérer l’appartenance à des domaines externes. Passez à l’étape suivante. S’il existe un enregistrement externe de l’appartenance aux groupes dans des domaines externes, ajoutez les utilisateurs restaurés aux groupes de sécurité dans ces domaines une fois les comptes d’utilisateur restaurés.
Si vous connaissez le mot de passe du compte d’administrateur hors connexion, démarrez le contrôleur de domaine de récupération en mode Disrepair. Si vous ne connaissez pas le mot de passe du compte d’administrateur hors connexion, réinitialisez le mot de passe lorsque le contrôleur de domaine de récupération est toujours en mode Active Directory normal.

Vous pouvez utiliser l’outil en ligne de commande setpwd pour réinitialiser le mot de passe sur les contrôleurs de domaine qui exécutent Windows 2000 SP2 et versions ultérieures lorsqu’ils sont en mode Active Directory en ligne.

Remarque

Microsoft ne prend plus en charge Windows 2000.

Les administrateurs de contrôleurs de domaine Windows Server 2003 et versions ultérieures peuvent utiliser la set dsrm password commande dans l’outil en ligne de commande Ntdsutil pour réinitialiser le mot de passe du compte d’administrateur hors connexion.

Pour plus d’informations sur la réinitialisation du compte d’administrateur du mode de restauration des services d’annuaire, consultez Comment réinitialiser le mot de passe du compte administrateur du mode de restauration des services d’annuaire dans Windows Server.
Appuyez sur F8 pendant le processus de démarrage pour démarrer le contrôleur de domaine de récupération en mode Derepair. Connectez-vous à la console du contrôleur de domaine de récupération avec le compte d’administrateur hors connexion. Si vous réinitialisez le mot de passe à l’étape 5, utilisez le nouveau mot de passe.

Si le contrôleur de domaine de récupération est un contrôleur de domaine de catalogue global latent, ne restaurez pas l’état du système. Passez directement à l’étape 7.

Si vous créez le contrôleur de domaine de récupération à l’aide d’une sauvegarde de l’état du système, restaurez la sauvegarde d’état du système la plus actuelle effectuée sur le contrôleur de domaine de récupération qui contient les objets supprimés.
Auth restaure les comptes d’utilisateur supprimés, les comptes d’ordinateurs supprimés ou les groupes de sécurité supprimés.

Remarque

Les termes authentification restore et restauration faisant autorité font référence au processus d’utilisation de la commande restore faisant autorité dans l’outil en ligne de commande Ntdsutil pour incrémenter les numéros de version d’objets spécifiques ou de conteneurs spécifiques et de tous leurs objets subordonnés. Dès que la réplication de bout en bout se produit, les objets ciblés dans la copie locale d’Active Directory du contrôleur de domaine de récupération font autorité sur tous les contrôleurs de domaine qui partagent cette partition. Une restauration faisant autorité est différente d’une restauration de l’état du système. Une restauration de l’état du système remplit la copie locale d’Active Directory du contrôleur de domaine restauré avec les versions des objets au moment où la sauvegarde de l’état du système a été effectuée.

Les restaurations faisant autorité sont effectuées avec l’outil en ligne de commande Ntdsutil en référençant le chemin d’accès de nom de domaine (dn) des utilisateurs supprimés ou des conteneurs qui hébergent les utilisateurs supprimés.

Lorsque vous effectuez une restauration d’authentification, utilisez des chemins de noms de domaine qui sont aussi bas dans l’arborescence de domaine qu’ils doivent l’être. L’objectif est d’éviter de rétablir des objets qui ne sont pas liés à la suppression. Ces objets peuvent inclure des objets qui ont été modifiés après la sauvegarde de l’état du système.

Auth restore les utilisateurs supprimés dans l’ordre suivant :
1. Auth restaure le chemin d’accès du nom de domaine (dn) pour chaque compte d’utilisateur, compte d’ordinateur ou groupe de sécurité supprimé.
  
  Les restaurations faisant autorité d’objets spécifiques prennent plus de temps, mais sont moins destructrices que les restaurations faisant autorité d’une sous-arborescence entière. Auth restaure le conteneur parent commun le plus bas qui contient les objets supprimés.
  
  Ntdsutil utilise la syntaxe suivante :
```
ntdsutil "authoritative restore" "restore object <object DN path>" q q
```
  Par exemple, pour restaurer avec autorité l’utilisateur supprimé John Doe dans l’unité d’organisation Mayberry du Contoso.com domaine, utilisez la commande suivante :
```
ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
```
  Pour restaurer de manière faisant autorité le groupe de sécurité supprimé ContosoPrintAccess dans l’unité d’organisation Mayberry du Contoso.com domaine, utilisez la commande suivante :
```
ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
```
  Importante
  
  L’utilisation de guillemets est obligatoire.
  
  En utilisant ce format Ntdsutil, vous pouvez également automatiser la restauration faisant autorité de nombreux objets dans un fichier de commandes ou un script.
  
  Remarque
  
  Cette syntaxe est disponible uniquement dans Windows Server 2003 et versions ultérieures. La seule syntaxe dans Windows 2000 est d’utiliser : ntdsutil "authoritative restore" "restore subtree object DN path".
2. L’authentification restaure uniquement les conteneurs d’unité d’organisation ou de Common-Name (CN) qui hébergent les comptes ou groupes d’utilisateurs supprimés.
  
  Les restaurations faisant autorité d’une sous-arborescence entière sont valides lorsque l’unité d’organisation ciblée par la commande de restauration faisant autorité Ntdsutil contient la plupart des objets que vous essayez de restaurer avec autorité. Dans l’idéal, l’unité d’organisation ciblée contient tous les objets que vous essayez de restaurer avec autorité.
  
  Une restauration faisant autorité sur une sous-arborescence d’unité d’organisation restaure tous les attributs et objets qui résident dans le conteneur. Toutes les modifications apportées jusqu’à la restauration d’une sauvegarde de l’état du système sont restaurées à leurs valeurs au moment de la sauvegarde. Avec les comptes d’utilisateur, les comptes d’ordinateur et les groupes de sécurité, cette restauration peut entraîner la perte des dernières modifications apportées aux mots de passe, au répertoire de base, au chemin d’accès du profil, à l’emplacement et aux informations de contact, à l’appartenance au groupe et à tous les descripteurs de sécurité définis sur ces objets et attributs.
  
  Ntdsutil utilise la syntaxe suivante :
```
ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
```
  Par exemple, pour restaurer avec autorité l’unité d’organisation Mayberry du Contoso.com domaine, utilisez la commande suivante :
```
ntdsutil "authoritative restore" "restore subtree ou=Mayberry,dc=contoso,dc=com" q q
```
  Remarque
  
  Répétez cette étape pour chaque unité d’organisation homologue qui héberge des utilisateurs ou des groupes supprimés.
  
  Importante
  
  Lorsque vous restaurez un objet subordonné d’une unité d’organisation, tous les conteneurs parents des objets subordonnés supprimés doivent être explicitement restaurés.
Redémarrez le contrôleur de domaine de récupération en mode Active Directory normal.
Répliquez les objets restaurés de manière faisant autorité du contrôleur de domaine de récupération vers les contrôleurs de domaine dans le domaine et dans la forêt.

Bien que la réplication entrante vers le contrôleur de domaine de récupération reste désactivée, tapez la commande suivante pour envoyer (push) les objets restaurés avec autorité à tous les contrôleurs de domaine réplica intersites dans le domaine et aux catalogues globaux de la forêt :
```
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
```
Une fois que tous les contrôleurs de domaine directs et transitifs dans les serveurs de domaine et de catalogue global de la forêt ont été répliqués dans les utilisateurs restaurés avec autorité et tous les conteneurs restaurés, passez à l’étape 11.

Si toutes les instructions suivantes sont vraies, les liens d’appartenance aux groupes sont reconstruits avec la restauration des comptes d’utilisateur supprimés. Passez à l’étape 13.
- Votre forêt s’exécute au niveau fonctionnel de la forêt Windows Server 2003 et ultérieur, ou au niveau fonctionnel de la forêt intermédiaire Windows Server 2003 et ultérieur.
- Seuls les groupes de sécurité n’ont pas été supprimés.
- Tous les utilisateurs supprimés ont été ajoutés à tous les groupes de sécurité dans tous les domaines de la forêt.
Envisagez d’utiliser la Repadmin commande pour accélérer la réplication sortante des utilisateurs à partir du contrôleur de domaine restauré.

Si des groupes ont également été supprimés, ou si vous ne pouvez pas garantir que tous les utilisateurs supprimés ont été ajoutés à tous les groupes de sécurité après la transition vers windows Server 2003 et versions ultérieures intermédiaires ou le niveau fonctionnel de forêt, passez à l’étape 12.
Répétez les étapes 7, 8 et 9 sans restaurer l’état du système, puis passez à l’étape 11.
Si des utilisateurs supprimés ont été ajoutés à des groupes locaux dans des domaines externes, effectuez l’une des actions suivantes :
- Rajoutez manuellement les utilisateurs supprimés à ces groupes.
- Restaurez l’état du système et l’authentification restaurent chacun des groupes de sécurité locaux qui contiennent les utilisateurs supprimés.
Vérifiez l’appartenance au groupe dans le domaine du contrôleur de domaine de récupération et dans les catalogues globaux dans d’autres domaines.
Utilisez la commande suivante pour activer la réplication entrante sur le contrôleur de domaine de récupération :
```
repadmin /options recovery dc name -DISABLE_INBOUND_REPL
```
Effectuez une nouvelle sauvegarde de l’état système des contrôleurs de domaine dans le domaine du contrôleur de domaine de récupération et les catalogues globaux dans d’autres domaines de la forêt.
Informez tous les administrateurs de forêt, les administrateurs délégués, les administrateurs du support technique dans la forêt et les utilisateurs du domaine que la restauration de l’utilisateur est terminée.

Les administrateurs du support technique peuvent avoir à réinitialiser les mots de passe des comptes d’utilisateur restaurés par authentification et des comptes d’ordinateur dont le mot de passe de domaine a été modifié après la restauration du système.

Les utilisateurs qui ont modifié leurs mots de passe après la sauvegarde de l’état du système constatent que leur mot de passe le plus récent ne fonctionne plus. Ces utilisateurs essaient de se connecter en utilisant leur mot de passe précédent s’ils les connaissent. Sinon, les administrateurs du support technique doivent réinitialiser le mot de passe avec l’utilisateur doit modifier le mot de passe lors de la prochaine ouverture de session case activée case cochée. Effectuez-le de préférence sur un contrôleur de domaine dans le même site Active Directory que l’utilisateur.

Comment récupérer des utilisateurs supprimés sur un contrôleur de domaine lorsque vous n’avez pas de sauvegarde d’état système valide

Si vous n’avez pas de sauvegardes d’état système actuelles dans un domaine où des comptes d’utilisateur ou des groupes de sécurité ont été supprimés et que la suppression s’est produite dans des domaines qui contiennent des contrôleurs de domaine Windows Server 2003 et ultérieurs, procédez comme suit pour réactiver manuellement les objets supprimés du conteneur d’objets supprimés :

Suivez les étapes de la section suivante pour réactiver les utilisateurs, ordinateurs, groupes ou tous les utilisateurs supprimés :
Comment annuler manuellement la suppression d’objets dans un conteneur d’objets supprimés
Utilisez Utilisateurs et ordinateurs Active Directory pour modifier le compte de désactivé à activé. (Le compte apparaît dans l’unité d’organisation d’origine.)
Utilisez les fonctionnalités de réinitialisation en bloc dans Windows Server 2003 et versions ultérieures de Utilisateurs et ordinateurs Active Directory pour effectuer des réinitialisations en bloc sur le mot de passe doit être modifié au prochain paramètre de stratégie d’ouverture de session, dans le répertoire de base, sur le chemin du profil et sur l’appartenance au groupe pour le compte supprimé, si nécessaire. Vous pouvez également utiliser un équivalent programmatique de ces fonctionnalités.
Si Microsoft Exchange 2000 ou version ultérieure a été utilisé, réparez la boîte aux lettres Exchange pour l’utilisateur supprimé.
Si Exchange 2000 ou version ultérieure a été utilisé, réassociez l’utilisateur supprimé à la boîte aux lettres Exchange.
Vérifiez que l’utilisateur récupéré peut se connecter et accéder aux répertoires locaux, aux répertoires partagés et aux fichiers.

Vous pouvez automatiser tout ou partie de ces étapes de récupération à l’aide des méthodes suivantes :

Écrivez un script qui automatise les étapes de récupération manuelle répertoriées à l’étape 1. Lorsque vous écrivez un tel script, envisagez d’étendre l’objet supprimé par date, heure et dernier conteneur parent connu, puis d’automatiser la réanimation de l’objet supprimé. Pour automatiser la réanimation, remplacez l’attribut isDeletedtrue par FALSE, puis remplacez le nom unique relatif par la valeur définie dans l’attribut lastKnownParent ou dans un nouveau conteneur d’unité d’organisation ou de nom commun (CN) spécifié par l’administrateur. (Le nom unique relatif est également appelé RDN.)
Obtenez un programme non-Microsoft qui prend en charge la réanimation d’objets supprimés sur les contrôleurs de domaine Windows Server 2003 et versions ultérieures. L’un de ces utilitaires est AdRestore. AdRestore utilise les primitives d’annulation de suppression de Windows Server 2003 et versions ultérieures pour annuler la suppression d’objets individuellement. Aelita Software Corporation et Commvault Systems proposent également des produits qui prennent en charge les fonctionnalités de suppression sur les contrôleurs de domaine Windows Server 2003 et ultérieurs.

Pour obtenir AdRestore, consultez AdRestore v1.1.

Microsoft fournit des informations de contact de sociétés tierces afin de vous aider à obtenir un support technique. Ces informations de contact peuvent être modifiées sans préavis. Microsoft ne garantit pas l’exactitude de ces informations de contact tierces.

Comment annuler manuellement la suppression d’objets dans le conteneur d’un objet supprimé

Pour annuler manuellement la suppression d’objets dans le conteneur d’un objet supprimé, procédez comme suit :

Sélectionnez Démarrer, Exécuter, puis tapez ldp.exe.

ldp.exe est disponible :
- Sur les ordinateurs sur lesquels le rôle contrôleur de domaine a été installé.
- Sur les ordinateurs sur lesquels les outils d’administration de serveur distant (RSAT) ont été installés.
Utilisez le menu Connexion dans Ldp pour effectuer les opérations de connexion et les opérations de liaison à un contrôleur de domaine Windows Server 2003 et ultérieur.

Spécifiez les informations d’identification de l’administrateur de domaine pendant l’opération de liaison.
Dans le menu Options , sélectionnez Contrôles.
Dans la liste Charger les objets prédéfinis , sélectionnez Retourner les objets supprimés.

Remarque

Le contrôle 1.2.840.113556.1.4.417 se déplace vers la fenêtre Contrôles actifs .
Sous Type de contrôle, sélectionnez Serveur, puis ok.
Dans le menu Affichage , sélectionnez Arborescence, tapez le chemin du nom unique du conteneur d’objets supprimés dans le domaine où la suppression s’est produite, puis sélectionnez OK.

Remarque

Le chemin du nom unique est également appelé chemin DN. Par exemple, si la suppression s’est produite dans le contoso.com domaine, le chemin DN est le chemin suivant :
cn=deleted Objects,dc=contoso,dc=com
Dans le volet gauche de la fenêtre, double-cliquez sur le conteneur d’objets supprimés.

Remarque

En tant que résultat de recherche d’une requête Idap, seuls 1 000 objets sont retournés par défaut. Par exemple, si plus de 1 000 objets existent dans le conteneur Objets supprimés, tous les objets n’apparaissent pas dans ce conteneur. Si votre objet cible n’apparaît pas, utilisez ntdsutil, puis définissez le nombre maximal à l’aide de maxpagesize pour obtenir les résultats de la recherche .
Double-cliquez sur l’objet que vous souhaitez annuler la suppression ou réanimer.
Cliquez avec le bouton droit sur l’objet que vous souhaitez réactiver, puis sélectionnez Modifier.

Modifiez la valeur de l’attribut isDeleted et du chemin DN dans une seule opération de modification ldap (Lightweight Directory Access Protocol). Pour configurer la boîte de dialogue Modifier , procédez comme suit :
1. Dans la zone Modifier l’attribut d’entrée , tapez isDeleted. Laissez la zone Valeur vide.
2. Sélectionnez le bouton d’option Supprimer , puis sélectionnez Entrée pour effectuer la première des deux entrées dans la boîte de dialogue Liste d’entrées .
  
  Importante
  
  Ne sélectionnez pas Exécuter.
3. Dans la zone Attribut , tapez distinguishedName.
4. Dans la zone Valeurs , tapez le nouveau chemin DN de l’objet réanimé.
  
  Par exemple, pour réactiver le compte d’utilisateur JohnDoe dans l’unité d’organisation Mayberry, utilisez le chemin DN suivant : cn= JohnDoe,ou= Mayberry,dc= contoso,dc= com
  
  Remarque
  
  Si vous souhaitez réactiver un objet supprimé dans son conteneur d’origine, ajoutez la valeur de l’attribut lastKnownParent de l’objet supprimé à sa valeur CN, puis collez le chemin DN complet dans la zone Valeurs .
5. Dans la zone Opération , sélectionnez REMPLACER.
6. Sélectionnez ENTRÉE.
7. Cochez la case Case activée synchrone.
8. Cochez la case Case activée étendue.
9. Sélectionnez EXÉCUTER.
Après avoir réanimé les objets, sélectionnez Contrôles dans le menu Options , puis sélectionnez le bouton Extraire pour supprimer (1.2.840.113556.1.4.417) de la liste des contrôles actifs .
Réinitialisez les mots de passe de compte d’utilisateur, les profils, les répertoires de base et les appartenances aux groupes pour les utilisateurs supprimés.

Lorsque l’objet a été supprimé, toutes les valeurs d’attribut à l’exception SIDde , ObjectGUIDLastKnownParent, et SAMAccountName ont été supprimées.
Activez le compte réanimé dans Utilisateurs et ordinateurs Active Directory.

Remarque

L’objet réanimé a le même SID principal qu’il avait avant la suppression, mais l’objet doit être ajouté de nouveau aux mêmes groupes de sécurité pour avoir le même niveau d’accès aux ressources. La première version de Windows Server 2003 et versions ultérieures ne conserve pas l’attribut sur les sIDHistory comptes d’utilisateur réanimés, les comptes d’ordinateur et les groupes de sécurité. Windows Server 2003 et versions ultérieures avec Service Pack 1 conservent l’attribut sur les sIDHistory objets supprimés.
Supprimez les attributs Microsoft Exchange et reconnectez l’utilisateur à la boîte aux lettres Exchange.

Remarque

La réanimation des objets supprimés est prise en charge lorsque la suppression se produit sur un contrôleur de domaine Windows Server 2003 et ultérieur. La réanimation des objets supprimés n’est pas prise en charge lorsque la suppression se produit sur un contrôleur de domaine Windows 2000 qui est ensuite mis à niveau vers Windows Server 2003 et versions ultérieures.

Remarque

Si la suppression se produit sur un contrôleur de domaine Windows 2000 dans le domaine, l’attribut lastParentOf n’est pas rempli sur les contrôleurs de domaine Windows Server 2003 et versions ultérieures.

Comment déterminer quand et où une suppression s’est produite

Lorsque des utilisateurs sont supprimés en raison d’une suppression en bloc, vous souhaiterez peut-être savoir d’où provient la suppression. Pour ce faire, procédez comme suit :

Pour localiser les principaux de sécurité supprimés, suivez les étapes 1 à 7 de la section Comment annuler manuellement la suppression d’objets dans le conteneur d’un objet supprimé . Si une arborescence a été supprimée, suivez ces étapes pour localiser un conteneur parent de l’objet supprimé.
Copiez la valeur de l’attribut objectGUID dans le Presse-papiers Windows. Vous pouvez coller cette valeur lorsque vous entrez la commande à l’étape Repadmin 4.
Sur la ligne de commande, exécutez la commande suivante :
```
repadmin /showmeta GUID=<objectGUID> <FQDN>
```
Par exemple, si le objectGUID de l’objet ou conteneur supprimé est 791273b2-eba7-4285-a117-aa804ea76e95 et que le nom de domaine complet (FQDN) est dc.contoso.com, exécutez la commande suivante :
```
repadmin /showmeta GUID=791273b2-eba7-4285-a117-aa804ea76e95 dc.contoso.com
```
La syntaxe de cette commande doit inclure le GUID de l’objet ou du conteneur supprimé et le nom de domaine complet du serveur à partir duquel vous souhaitez créer la source.

Dans la sortie de la Repadmin commande, recherchez la date, l’heure et le contrôleur de domaine d’origine de l’attribut isDeleted . Par exemple, les informations relatives à l’attribut isDeleted apparaissent sur la cinquième ligne de l’exemple de sortie suivant :

Loc.USN	Contrôleur de domaine d’origine	Org.USN	Org.Time/Date	Ver	Attribut
134759	Default-First-Site-Name\NA-DC1	134759	DateTime	1	objectClass
134760	Default-First-Site-Name\NA-DC1	134760	DateTime	2	ou
134759	Default-First-Site-Name\NA-DC1	134759	DateTime	1	instanceType
134759	Default-First-Site-Name\NA-DC1	134759	DateTime	1	whenCreated
134760	Default-First-Site-Name\NA-DC1	134760	DateTime	1	isDeleted
134759	Default-First-Site-Name\NA-DC1	134759	DateTime	1	nTSecurityDescriptor
134760	Default-First-Site-Name\NA-DC1	134760	DateTime	2	nom
134760	Default-First-Site-Name\NA-DC1	134760	DateTime	1	lastKnownParent
134760	Default-First-Site-Name\NA-DC1	134760	DateTime	2	objectCategory

Si le nom du contrôleur de domaine d’origine apparaît sous la forme d’un GUID alphanumérique à 32 caractères, utilisez la commande Ping pour résoudre le GUID en adresse IP et le nom du contrôleur de domaine à l’origine de la suppression. La commande Ping utilise la syntaxe suivante :
```
ping -a <originating DC GUID>._msdomain controllers.<fully qualified path for forest root domain>
```
Remarque

L’option -a respecte la casse. Utilisez le nom de domaine complet du domaine racine de forêt, quel que soit le domaine dans lequel réside le contrôleur de domaine d’origine.

Par exemple, si le contrôleur de domaine d’origine réside dans un domaine de la Contoso.com forêt et a un GUID de 644eb7e7-1566-4f29-a778-4b487637564b, exécutez la commande suivante :
```
ping -a 644eb7e7-1566-4f29-a778-4b487637564b._msdomain controllers.contoso.com
```
La sortie retournée par cette commande est similaire à celle-ci :
```
Pinging na-dc1.contoso.com [65.53.65.101] with 32 bytes of data:

Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
```

Comment réduire l’impact des suppressions en bloc à l’avenir

Les clés permettant de réduire l’impact de la suppression en bloc d’utilisateurs, d’ordinateurs et de groupes de sécurité sont les suivantes :

Vérifiez que vous disposez de sauvegardes d’état système à jour.
Contrôlez étroitement l’accès aux comptes d’utilisateur privilégiés.
Contrôlez étroitement ce que ces comptes peuvent faire.
Pratiquez la récupération à partir de suppressions en bloc.

Des changements d’état système se produisent tous les jours. Ces modifications peuvent inclure :

Réinitialisations de mot de passe sur les comptes d’utilisateur et d’ordinateur
Modifications de l’appartenance au groupe
Autres modifications d’attribut sur les comptes d’utilisateur, les comptes d’ordinateur et les groupes de sécurité.

Si votre matériel ou logiciel échoue, ou si votre site subit un autre incident, vous pouvez restaurer les sauvegardes effectuées après chaque ensemble de modifications significatives dans chaque domaine Active Directory et site de la forêt. Si vous ne conservez pas les sauvegardes actuelles, vous risquez de perdre des données ou de devoir restaurer des objets restaurés.

Microsoft vous recommande d’effectuer les étapes suivantes pour empêcher les suppressions en bloc :

Ne partagez pas le mot de passe des comptes d’administrateur intégrés ou autorisez le partage de comptes d’utilisateur administratifs courants. Si le mot de passe du compte administrateur intégré est connu, modifiez le mot de passe et définissez un processus interne qui décourage son utilisation. Les événements d’audit pour les comptes d’utilisateur partagés rendent impossible la détermination de l’identité de l’utilisateur qui apporte des modifications dans Active Directory. Par conséquent, l’utilisation de comptes d’utilisateur partagés doit être déconseillée.
Il est rare que les comptes d’utilisateur, les comptes d’ordinateur et les groupes de sécurité soient supprimés intentionnellement. C’est particulièrement vrai pour les suppressions d’arborescences. Dissociez la capacité des administrateurs de service et délégués à supprimer ces objets de la possibilité de créer et de gérer des comptes d’utilisateur, des comptes d’ordinateur, des groupes de sécurité, des conteneurs d’unité d’organisation et leurs attributs. Accordez uniquement aux comptes d’utilisateurs ou groupes de sécurité les plus privilégiés le droit d’effectuer des suppressions d’arborescences. Ces comptes d’utilisateur privilégiés peuvent inclure des administrateurs d’entreprise.
Accordez aux administrateurs délégués l’accès uniquement à la classe d’objet que ces administrateurs sont autorisés à gérer. Par exemple, le travail principal d’un administrateur de support technique consiste à modifier les propriétés des comptes d’utilisateur. Il ne dispose pas des autorisations nécessaires pour créer et supprimer des comptes d’ordinateur, des groupes de sécurité ou des conteneurs d’unité d’organisation. Cette restriction s’applique également aux autorisations de suppression pour les administrateurs d’autres classes d’objets spécifiques.
Testez les paramètres d’audit pour suivre les opérations de suppression dans un domaine lab. Une fois que vous êtes à l’aise avec les résultats, appliquez votre meilleure solution au domaine de production.
Les modifications de contrôle d’accès et d’audit sur les conteneurs qui hébergent des dizaines de milliers d’objets peuvent faire croître considérablement la base de données Active Directory, en particulier dans les domaines Windows 2000. Utilisez un domaine de test qui reflète le domaine de production pour évaluer les modifications potentielles pour libérer de l’espace disque. Vérifiez les volumes de disque dur qui hébergent les fichiers Ntds.dit et les fichiers journaux des contrôleurs de domaine dans le domaine de production pour obtenir de l’espace disque libre. Évitez de définir le contrôle d’accès et d’auditer les modifications sur la tête du contrôleur de réseau de domaine. Ces modifications s’appliquent inutilement à tous les objets de toutes les classes de tous les conteneurs de la partition. Par exemple, évitez d’apporter des modifications à l’inscription d’enregistrements DNS (Domain Name System) et DLT (Distributed Link Tracking) dans le dossier CN=SYSTEM de la partition de domaine.
Utilisez la structure d’unité d’organisation recommandée pour séparer les comptes d’utilisateur, d’ordinateur, de groupes de sécurité et de service dans leur propre unité d’organisation. Lorsque vous utilisez cette structure, vous pouvez appliquer des listes de contrôle d’accès discrétionnaires (DACL) aux objets d’une seule classe pour l’administration déléguée. Et vous rendez possible la restauration des objets en fonction de la classe d’objet s’ils doivent être restaurés. La structure de l’unité d’organisation recommandée est décrite dans la section Création d’une conception d’unité d’organisation de l’article suivant :
Meilleure pratique pour la conception d’Active Directory pour la gestion des réseaux Windows
Testez les suppressions en bloc dans un environnement lab qui reflète votre domaine de production. Choisissez la méthode de récupération qui vous convient, puis personnalisez-la en fonction de votre organization. Vous souhaiterez peut-être identifier :
- Noms des contrôleurs de domaine dans chaque domaine régulièrement sauvegardé
- Emplacement de stockage des images de sauvegarde
  Dans l’idéal, ces images sont stockées sur un disque dur supplémentaire local dans un catalogue global dans chaque domaine de la forêt.
- Les membres du support technique organization contacter
- La meilleure façon d’établir ce contact
La plupart des suppressions en bloc de comptes d’utilisateur, de comptes d’ordinateur et de groupes de sécurité que Microsoft voit sont accidentelles. Discutez de ce scénario avec votre équipe informatique et développez un plan d’action interne. Concentrez-vous sur la détection précoce. Et retournez les fonctionnalités à vos utilisateurs de domaine et à votre entreprise aussi rapidement que possible. Vous pouvez également prendre des mesures pour empêcher les suppressions accidentelles en bloc en modifiant les listes de contrôle d’accès (ACL) des unités d’organisation.

Pour plus d’informations sur l’utilisation des outils d’interface Windows pour empêcher les suppressions accidentelles en bloc, consultez Protection contre les suppressions accidentelles en bloc dans Active Directory.

Outils et scripts qui peuvent vous aider à récupérer après des suppressions en bloc

L’utilitaire de ligne de commande Groupadd.exe lit l’attribut memberOf sur une collection d’utilisateurs dans une unité d’organisation et génère un fichier .ldf qui ajoute chaque compte d’utilisateur restauré aux groupes de sécurité dans chaque domaine de la forêt.

Groupadd.exe détecte automatiquement les domaines et les groupes de sécurité dont les utilisateurs ont été membres et les ajoute à ces groupes. Ce processus est expliqué plus en détail à l’étape 11 de la méthode 1.

Groupadd.exe s’exécute sur les contrôleurs de domaine Windows Server 2003 et versions ultérieures.

Groupadd.exe utilise la syntaxe suivante :

groupadd / after_restore ldf_file [/ before_restore ldf_file ]

Ici, ldf_file représente le nom du fichier .ldf à utiliser avec l’argument précédent, after_restore représente la source de données du fichier utilisateur et before_restore représente les données utilisateur de l’environnement de production. (La source de données du fichier utilisateur est la bonne donnée utilisateur.)

Pour obtenir Groupadd.exe, contactez les services de support technique Microsoft.

Les produits tiers mentionnés dans le présent article sont fabriqués par des sociétés indépendantes de Microsoft. Microsoft exclut toute garantie, implicite ou autre, concernant les performances ou la fiabilité de ces produits.

References

Pour plus d’informations sur l’utilisation de la fonctionnalité Corbeille AD incluse dans Windows Server 2008 R2, consultez Guide pas à pas de la Corbeille Active Directory.

Comment restaurer des comptes d’utilisateurs supprimés et leurs appartenances à un groupe dans Active Directory

Introduction

Informations supplémentaires

Méthode 1 : restaurer les comptes d’utilisateur supprimés, puis rajouter les utilisateurs restaurés à leurs groupes à l’aide de l’outil en ligne de commande Ntdsutil.exe

Méthode 2 : restaurer les comptes d’utilisateur supprimés, puis rajouter les utilisateurs restaurés à leurs groupes

Méthode 3 : restaurer les utilisateurs supprimés et les groupes de sécurité des utilisateurs supprimés à deux reprises

Comment récupérer des utilisateurs supprimés sur un contrôleur de domaine lorsque vous n’avez pas de sauvegarde d’état système valide

Comment annuler manuellement la suppression d’objets dans le conteneur d’un objet supprimé

Comment déterminer quand et où une suppression s’est produite

Comment réduire l’impact des suppressions en bloc à l’avenir

Outils et scripts qui peuvent vous aider à récupérer après des suppressions en bloc

References

Commentaires

Commentaires

Ressources supplémentaires