# Comment restaurer un objet supprimé de l'AD ? Cet article présente les étapes à suivre si vous souhaitez restaurer un utilisateur ou un ordinateur supprimé d'Active Directory. Plusieurs solutions sont présentées selon l'état d'activation de la corbeille AD dans votre domaine. - Si la corbeille est activée : Restaurer avec le Centre d'Administration AD ou en PowerShell. - Si la corbeille est désactivée : Restaurer avec les outils LDP.exe ou ADRESTORE.exe ## Sommaire Dans les prochaines étapes nous réaliser les opérations suivantes : - Présenter les prérequis et les notions importantes à connaitre avant de restaurer un objet. - Restaurer un objet sans la corbeille AD : avec LDP.exe ou ADRESTORE.exe. - Restaurer un objet avec la corbeille AD : via le Centre d'administration AD ou en PowerShell. # Préambule et prérequis Depuis Windows Server 2008 R2, la corbeille Active Directory est devenue une fonctionnalité incontournable pour lutter contre les suppressions accidentelles d'objets, notamment les comptes utilisateurs. Voici la liste des minimums requis avant de poursuivre cette procédure : - Disposer d'un contrôleur de domaine AD Windows 2008 Server ou supérieur. - Disposer d'un domaine avec un niveau fonctionnel 2008 Server ou ultérieur. - Disposer d'un compte utilisateur membre du groupe "Admins du domaine" ou de "Administrateur de l'Entreprise". ## À lire avant de poursuivre cette procédure > [!danger] Attention !<span style="font-weight: normal; color: var(--text-normal)"> Si vous avez supprimé des utilisateurs, puis activé la corbeille AD, vous ne pourrez plus les récupérer. Restaurer les objets manuellement avant d'activer la corbeille.</span> > [!warning] Remarque !<span style="font-weight: normal; color: var(--text-normal)"> Une fois la corbeille AD activée, vous ne pourrez plus la désactiver.</span> Le délai de conservation et l'étendue des paramètres restaurés varient selon les cas : - **Sans corbeille AD** : - Les objets supprimés sont conservés pour la période définie dans la valeur `tombestone lifetime` (par défaut 180 jours). - La plupart des paramètres et des attributs sont perdus, mais le SID est préservé. - **Avec la corbeille AD** : - Un attribut `msDS-deletedObjectLifetime` est ajouté sur chaque objet. - Par défaut la valeur de ce nouvel attribut est égale à la durée définie dans `recycled object lifetime` (par défaut 180 jours). - L'ensemble des paramètres et des attributs sont restaurés. Les valeurs par défaut `tombestone lifetime` et `recycled object lifetime` sont définies au niveau de la forêt et elles peuvent être modifiées avec la commande `ntdsutil.exe` par exemple. ## Autorisations nécessaires Utilisez un compte utilisateur membre des groupes suivants selon le scénario : - **Admins du domaine** pour restaurer des objets **supprimés dans le domaine**. - **Administrateur de l’entreprise** pour restaurer des objets **supprimés à l’échelle de la forêt**. > [!info] À savoir !<span style="font-weight: normal; color: var(--text-normal)"> Vous devez disposer des droits de restauration sur l’objet supprimé. Ces droits sont généralement accordés aux administrateurs de domaine et d’entreprise. </span> ## Vérifier l'état de la corbeille AD Pour choisir la bonne méthode ci-dessous, vous devez vérifier l'état d'activation de la corbeille AD. - Lancer une console PowerShell depuis un DC - Saisir la commande suivante : ```powershell Get-ADOptionalFeature "Recycle Bin Feature" | Select-Object Name, EnabledScopesCopied ``` - Si `EnabledScopesCopied` est vide, la corbeille AD n'est pas activée. ```powershell Name EnabledScopesCopied ---- ------------------- Recycle Bin Feature {} ``` - Si `EnabledScopesCopied` contient une valeur comme ci-dessous, la corbeille AD est activée. ```powershell Name EnabledScopes ---- ------------- Recycle Bin Feature {CN=Partitions,CN=Configuration,DC=exoip,DC=com, CN=NTDS Settings,CN=DC01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=exoip,DC=com} ``` > [!danger] Attention !<span style="font-weight: normal; color: var(--text-normal)"> L'activation de la corbeille AD supprime définitivement tous les objets précédemment supprimés. Assurer vous de restaurer tous les objets supprimés avant d'activer la corbeille AD.</span> # Restauration sans corbeille AD ## Restaurer avec LDP.EXE LDP est un outil intégré de Microsoft, vous n'avez donc rien à télécharger. Pour restaurer un utilisateur Active Directory supprimé avec LDP, procédez comme suit : - Lancez **l'invite de commande** en tant qu'administrateur - Tapez **ldp.exe** et appuyez sur **Entrée** ```cmd ldp.exe ``` - Cliquez sur **Connexion > Connexion** ![[_img-kb-ad-restore-deleted-object-02.png]] - Dans "Server" saisissez le nom de votre **contrôleur de domaine**. Par exemple : _DC01.exoip.com_ - Laissez le port LDAP par défaut (port 389). - Si LDAPS est activé dans votre domaine , vous pouvez cocher la case "SSL" - Cliquez sur **OK** ![[_img-kb-ad-restore-deleted-object-14.png]] - Cliquez sur **Connexion > Lier** (ou Bind en anglais) ![[_img-kb-ad-restore-deleted-object-09.png]] - Sélectionnez **Lier en tant qu'utilisateur actuellement connecté** - Cliquez sur **OK** ![[_img-kb-ad-restore-deleted-object-06.png]] - La liaison avec l'utilisateur actuellement connecté s'effectue avec succès. ![[_img-kb-ad-restore-deleted-object-01.png]] - Cliquez sur **Option > Contrôles** ![[_img-kb-ad-restore-deleted-object-18.png]] - Sélectionnez **Retourner des objets recyclés** - Cliquez sur **OK** ![[_img-kb-ad-restore-deleted-object-04.png]] - Cliquez sur **Affichage > Arbre** ![[_img-kb-ad-restore-deleted-object-16.png]] 14. Sélectionnez le **BaseDN** dans le menu déroulant 15. Cliquez sur **OK** ![[_img-kb-ad-restore-deleted-object-13.png]] 16. Développez votre **BaseDN** *(DC=exoip,DC=com)* 17. Développer les **objets supprimés** *(CN=Objets supprimés,DC=exoip,DC=com)* ![[_img-kb-ad-restore-deleted-object-05.png]] - Cliquez sur l'utilisateur **supprimé** que vous souhaitez restaurer *(CN=Amanda Morgan)* - Vérifiez les **paramètres** de l'utilisateur (Dn, IsDeleted et lastKnownParent) ![[_img-kb-ad-restore-deleted-object-08.png]] - Faites un clic droit sur l'utilisateur **supprimé** - Cliquez sur **Modifier** ![[_img-kb-ad-restore-deleted-object-15.png]] - Cochez la case **Étendu** - Type **isDeleted** dans Edit Entry Attribute - Sélectionnez **Supprimer** sous Opération - Cliquez sur **Entrée** ![[_img-kb-ad-restore-deleted-object-21.png]] - Notez le **distinguishedName** et **lastKnownParent** de l'objet supprimé - Concaténez ces deux valeurs pour reconstruire le chemin complet (Dn) initial de cet objet. ![[_img-kb-ad-restore-deleted-object-20.png]] - Tapez **distinguishedName** dans Modifier l'attribut d'entrée - Dans **Valeurs**, collez le **Dn** généré à l'étape précédente. - Sélectionnez **Remplacer** sous Opération - Cliquez sur **Entrée** ![[_img-kb-ad-restore-deleted-object-17.png]] - Vérifiez la **liste d'entrée** et vérifiez que les deux attributs d'entrée (*isDeleted* etdistinguisedName) sont ajoutés - Cliquez sur **Exécuter** ![[_img-kb-ad-restore-deleted-object-19.png]] - Vérifiez que l'utilisateur supprimé est modifié sans aucune erreur ![[_img-kb-ad-restore-deleted-object-10.png]] - Vérifiez que l'utilisateur supprimé est restauré dans Active Directory. - Vous devez réinitialiser le mot de passe et activer le compte. ![[_img-kb-ad-restore-deleted-object-03.png]] ## Restaurer avec ADRESTORE.EXE Pour restaurer un utilisateur Active Directory supprimé avec AdRestore, procédez comme suit : - Téléchargez [AdRestore](https://learn.microsoft.com/en-us/sysinternals/downloads/adrestore) par Sysinternals (Microsoft) - Décompressez le fichier dans le dossier **C:\\Tools** - Lancez une **invite de commande** en tant qu'administrateur - Allez dans le chemin du répertoire AdRestore ``` cd C:\Tools ``` - Exécuter la commande **dir** - Vérifiez que les fichiers apparaissent ``` Directory of C:\Tools 09/08/2024 10:23 AM <DIR> . 09/08/2024 10:23 AM 349,576 adrestore.exe 09/08/2024 10:23 AM 450,952 adrestore64.exe 09/08/2024 10:23 AM 532,872 adrestore64a.exe 09/08/2024 10:23 AM 7,490 Eula.txt 4 File(s) 1,340,890 bytes 1 Dir(s) 87,897,608,192 bytes free ``` - Exécutez la commande **`adrestore.exe`** pour obtenir tous les objets supprimés. - La sortie affiche tous les objets AD supprimés, tels que les unités organisationnelles (OU), les utilisateurs, etc. par exemple : ```none Enumerating domain deleted objects: cn: Amanda Morgan DEL:18cd8355-2c89-4e24-ade9-1be629889f23 distinguishedName: CN=Amanda Morgan\0ADEL:18cd8355-2c89-4e24-ade9-1be629889f23,CN=Deleted Objects,DC=exoip,DC=com lastKnownParent: OU=IT,OU=Users,OU=Company,DC=exoip,DC=com cn: John Murray DEL:ca629c73-cb67-4908-b038-135629db3b94 distinguishedName: CN=John Murray\0ADEL:ca629c73-cb67-4908-b038-135629db3b94,CN=Deleted Objects,DC=exoip,DC=com lastKnownParent: OU=IT,OU=Users,OU=Company,DC=exoip,DC=com Found 2 items matching search criteria. ``` - Si vous voulez trouver le compte spécifique, vous devez ajouter le nom ``` adrestore.exe "Amanda" ``` > [!warning] Remarque ! <span style="font-weight: normal; color: var(--text-normal)"> Vérifiez que le **`LastKnownParent`** n'affiche pas **`0ADEL`** ». Cela signifie que l'OU est supprimée et que vous devez la restaurer avant de restaurer l'utilisateur. </span> - Restaurer l'utilisateur supprimé avec le paramètre `-r` : ``` adrestore.exe "Amanda" -r ``` - Vous pouvez utiliser le **GUID** de l'utilisateur supprimé pour restaurer ``` adrestore.exe "18cd8355-2c89-4e24-ade9-1be629889f23" -r ``` - Il trouvera le compte et vous demandera si vous voulez restaurer cet objet. Appuyez sur **Y** et **Entrée**. ``` Enumerating domain deleted objects: cn: Amanda Morgan DEL:18cd8355-2c89-4e24-ade9-1be629889f23 distinguishedName: CN=Amanda Morgan\0ADEL:18cd8355-2c89-4e24-ade9-1be629889f23,CN=Deleted Objects,DC=exoip,DC=com lastKnownParent: OU=IT,OU=Users,OU=Company,DC=exoip,DC=com Do you want to restore this object (y/n)? Y Restore succeeded. Found 1 item matching search criteria. ``` - Il restaurera l'objet utilisateur AD à la dernière unité d'utilisation connue dans un état désactivé. - Vous devez réinitialiser le mot de passe et activer le compte. ![[_img-kb-ad-restore-deleted-object-03.png]] # Restauration avec la corbeille AD ## Restaurer à partir du centre d'administration AD Pour restaurer un utilisateur Active Directory supprimé avec le Centre d'administration Active Directory, procédez comme suit : - Cliquez sur **Outils** - Cliquez sur **Centre d'administration Active Directory** ![[_img-kb-ad-restore-deleted-object-07.png]] - Cliquez sur votre **nom de domaine** *exoip (local)* - Cliquez sur **Objets supprimés** ![[_img-kb-ad-restore-deleted-object-22.png]] - **Faites un clic droit** sur l'objet utilisateur supprimé *(Brenda Smith)* - Cliquez sur **Restaurer** ![[_img-kb-ad-restore-deleted-object-12.png]] - Vérifiez que l'utilisateur supprimé est restauré dans Active Directory. - Vous devez réinitialiser le mot de passe et activer le compte. ![[_img-kb-ad-restore-deleted-object-11.png]] ## Restaurer avec PowerShell Pour restaurer un utilisateur Active Directory supprimé avec PowerShell, procédez comme suit : Obtenez tous les objets AD supprimés avec PowerShell. ```powershell Get-ADObject -Filter {isDeleted -eq $true -and name -ne "Deleted Objects"} -IncludeDeletedObjects ``` La sortie ci-dessous apparaît. ```powershell Deleted : True DistinguishedName : CN=Amanda Morgan\0ADEL:18cd8355-2c89-4e24-ade9-1be629889f23,CN=Deleted Objects,DC=exoip,DC=com Name : Amanda Morgan DEL:18cd8355-2c89-4e24-ade9-1be629889f23 ObjectClass : user ObjectGUID : 18cd8355-2c89-4e24-ade9-1be629889f23 Deleted : True DistinguishedName : CN=Brenda Smith\0ADEL:6f576ced-b22e-4031-a22b-54fbf7e60bcf,CN=Deleted Objects,DC=exoip,DC=com Name : Brenda Smith DEL:6f576ced-b22e-4031-a22b-54fbf7e60bcf ObjectClass : user ObjectGUID : 6f576ced-b22e-4031-a22b-54fbf7e60bcf ``` Obtenez toutes les propriétés des objets AD supprimés. ```powershell Get-ADObject -Filter {isDeleted -eq $true -and name -ne "Deleted Objects"} -IncludeDeletedObjects -Properties * ``` Restaurer l'objet utilisateur supprimé à l'aide du *nom distingué*. ```powershell Restore-ADObject -Identity "CN=Brenda Smith\0ADEL:6f576ced-b22e-4031-a22b-54fbf7e60bcf,CN=Deleted Objects,DC=exoip,DC=com" ``` Restaurer l'objet utilisateur supprimé à l'aide de l'ObjectGUID. ```powershell Restore-ADObject -Identity "6f576ced-b22e-4031-a22b-54fbf7e60bcf" ``` Restaurer l'objet utilisateur supprimé à l'aide du *nom de compte Sam*. ```powershell Get-ADObject -Filter {sAMAccountName -eq "Amanda.Morgan"} -IncludeDeletedObjects | Restore-ADObject ``` # Conclusion Et voilà :-) vous avez appris à restaurer des objets Active Directory supprimés en fonction de l'état d'activation de votre corbeille AD. # Références - Learn Microsoft : - [How to restore deleted user accounts and their group memberships in Active Directory](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/retore-deleted-accounts-and-groups-in-ad) - [Active Directory Recycle Bin Step by step Guide](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd392261(v=ws.10)) - Nakivo : [How to Recover Deleted Active Directory Objects](https://www.nakivo.com/blog/active-directory-objects-recovery/) - [Restore deleted Active Directory User](https://o365info.com/restore-deleted-active-directory-user/) par Ali TAJRAN