La restauration d’objets AD. La mise en œuvre d’un annuaire Active Directory ne pose pas de problème particulier en terme de conception. Par contre quand un exploitant viens vous demander comment on peut restaurer un utilisateur supprimé, là, cela devient sportif.
Pour ceux qui n’ont pas pratiqué ce sport au moins une fois, il faut savoir que :
L’objet supprimé reste dans l’annuaire Active Directory pendant un certain temps (dépend du système d’exploitation et du niveau de Service Pack), c’est la notion de TombStone
L’objet est dépouillé d’un certain nombre de ces attributs, donc en particulier l’appartenance aux groupes
La restauration d’un utilisateur ne pose pas de problème particulier, par contre, son appartenance à d’éventuels groupes implique de savoir à quel(s) groupes il appartenait. Le sujet se corse quand on sait que l’appartenance à un groupe est un attribut du groupe et non de l’utilisateur. L’attribut “MembeOf” de l’objet utilisateur n’est qu’un attribut calculé. Autre problème, si on restaure l’utilisateur et les groupes, on risque de repositionner des membres qui devraient ne plus l’être.
Maintenant que les règles de ce sport sont clairement établies, voyons comment traiter cette problématique :
- Attaquer le problème par la mythique face nord : KB840001, à l’ancienne quoi!
- Utiliser ADLDS pour consulter le contenu d’un Snapshot AD sous Windows Server 2008 : en français dans le texte
- Tricher et payer pour l’outil Quest Recovery Manager for Active Directory (c’est trop facile!)
- Active Directory Recycle Bin de Windows Server 2008 R2, le sujet de ce billet.
La suite sur le blog d'origine :
http://blogcastrepository.com/blogs/benoits/archive/2009/01/19/active-directory-recycle-bin.aspx
