Comment restaurer des comptes d’utilisateurs supprimés et leurs appartenances à des groupes dans Active Directory

Article
03/02/2023
62 minutes de lecture

Cet article fournit des informations sur la restauration des comptes d’utilisateur supprimés et des appartenances aux groupes dans Active Directory.

Produits concernés : Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Numéro de base de connaissances d’origine : 840001

Introduction

Vous pouvez utiliser plusieurs méthodes pour restaurer des comptes d’utilisateur, des comptes d’ordinateur et des groupes de sécurité supprimés. Ces objets sont collectivement appelés principaux de sécurité.

La méthode la plus courante consiste à activer la fonctionnalité de corbeille AD prise en charge sur les contrôleurs de domaine basés sur Windows Server 2008 R2 et versions ultérieures. Pour plus d’informations sur cette fonctionnalité, notamment sur l’activation et la restauration d’objets, consultez le Guide pas à pas de la Corbeille Active Directory.

Si cette méthode n’est pas disponible pour vous, les trois méthodes suivantes peuvent être utilisées. Dans les trois méthodes, vous restaurez avec autorité les objets supprimés, puis vous restaurez les informations d’appartenance au groupe pour les principaux de sécurité supprimés. Lorsque vous restaurez un objet supprimé, vous devez restaurer les anciennes valeurs et membermemberOf attributs dans le principal de sécurité affecté.

Remarque

La récupération d’objets supprimés dans Active Directory peut être simplifiée en activant la fonctionnalité corbeille AD prise en charge sur les contrôleurs de domaine basés sur Windows Server 2008 R2 et versions ultérieures. Pour plus d’informations sur cette fonctionnalité, notamment sur l’activation et la restauration d’objets, consultez le Guide pas à pas de la Corbeille Active Directory.

Plus d’informations

Les méthodes 1 et 2 offrent une meilleure expérience aux utilisateurs et aux administrateurs du domaine. Ces méthodes conservent les ajouts aux groupes de sécurité qui ont été effectués entre l’heure de la dernière sauvegarde de l’état du système et l’heure à laquelle la suppression s’est produite. Dans la méthode 3, vous n’apportez pas d’ajustements individuels aux principaux de sécurité. Au lieu de cela, vous restreimez les appartenances aux groupes de sécurité à leur état au moment de la dernière sauvegarde.

La plupart des suppressions à grande échelle sont accidentelles. Microsoft vous recommande de prendre plusieurs mesures pour empêcher d’autres personnes de supprimer des objets en bloc.

Remarque

Pour empêcher la suppression ou le déplacement accidentel d’objets (en particulier les unités d’organisation), deux entrées de contrôle d’accès refuser peuvent être ajoutées au descripteur de sécurité de chaque objet (DENY DELETE&DELETE TREE) et une entrée de contrôle d’accès deny (AE) peut être ajoutée au descripteur de sécurité du PARENT de chaque objet (DENY DELETE CHILD). Pour ce faire, utilisez Utilisateurs et ordinateurs Active Directory, ADSIEdit, LDP ou l’outil en ligne de commande DSACLS. Vous pouvez également modifier les autorisations par défaut dans le schéma AD pour les unités d’organisation afin que ces AE soient incluses par défaut.

Par exemple, pour protéger l’unité d’organisation appelée. Les utilisateurs du domaine AD qui est appelé CONTOSO.COM après avoir été déplacés ou supprimés accidentellement de son unité organisationnelle parente appelée MyCompany, effectuent la configuration suivante :

Pour l’unité d’organisation MyCompany , ajoutez DENY ACE for Everyone to DELETE CHILD avec l’étendue de cet objet uniquement :

DSACLS "OU=MyCompany,DC=CONTOSO,DC=COM" /D "EVERYONE:DC"/

Pour l’unité d’organisation Users, ajoutez DENY ACE for Everyone to DELETE et DELETE TREE avec l’étendue de cet objet uniquement :

DSACLS "OU=Users,OU=MyCompany,DC=CONTOSO,DC=COM" /D "EVERYONE:SDDT"

Le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory dans Windows Server 2008 inclut une case à cocher Protéger contre la suppression accidentelle sous l’onglet Objet.

Remarque

La case à cocher Fonctionnalités avancées doit être activée pour afficher cet onglet.

Lorsque vous créez une unité d’organisation à l’aide de Utilisateurs et ordinateurs Active Directory dans Windows Server 2008, la case à cocher Protéger le conteneur contre la suppression accidentelle s’affiche. Par défaut, la case à cocher est cochée et peut être désélectionnée.

Bien que vous puissiez configurer chaque objet dans Active Directory à l’aide de ces aces, il convient mieux aux unités d’organisation. La suppression ou les mouvements de tous les objets feuille peuvent avoir un effet majeur. Cette configuration empêche ces suppressions ou mouvements. Pour vraiment supprimer ou déplacer un objet à l’aide d’une telle configuration, les AE Refuser doivent d’abord être supprimés.

Cet article explique comment restaurer des comptes d’utilisateurs, des comptes d’ordinateur et leurs appartenances à des groupes une fois qu’ils ont été supprimés d’Active Directory. Dans les variantes de ce scénario, les comptes d’utilisateur, les comptes d’ordinateur ou les groupes de sécurité peuvent avoir été supprimés individuellement ou dans une certaine combinaison. Dans tous ces cas, les mêmes étapes initiales s’appliquent. Vous restaurez avec autorité ou authentiez les objets qui ont été supprimés par inadvertance. Certains objets supprimés nécessitent davantage de travail pour être restaurés. Ces objets incluent des objets tels que des comptes d’utilisateur qui contiennent des attributs qui sont des liens de retour des attributs d’autres objets. Deux de ces attributs sont managedBy et memberOf.

Lorsque vous ajoutez des principaux de sécurité, tels qu’un compte d’utilisateur, un groupe de sécurité ou un compte d’ordinateur à un groupe de sécurité, vous apportez les modifications suivantes dans Active Directory :

Le nom du principal de sécurité est ajouté à l’attribut membre de chaque groupe de sécurité.
Pour chaque groupe de sécurité dont l’utilisateur, l’ordinateur ou le groupe de sécurité est membre, un lien arrière est ajouté à l’attribut du principal de memberOf sécurité.

De même, lorsqu’un utilisateur, un ordinateur ou un groupe est supprimé d’Active Directory, les actions suivantes se produisent :

Le principal de sécurité supprimé est déplacé dans le conteneur d’objets supprimés.
Quelques valeurs d’attribut, y compris l’attribut memberOf , sont supprimées du principal de sécurité supprimé.
Les principaux de sécurité supprimés sont supprimés de tous les groupes de sécurité dont ils étaient membres. En d’autres termes, les principaux de sécurité supprimés sont supprimés de l’attribut membre de chaque groupe de sécurité.

Lorsque vous récupérez des principaux de sécurité supprimés et restaurez leurs appartenances à un groupe, chaque principal de sécurité doit exister dans Active Directory avant de restaurer son appartenance au groupe. Le membre peut être un utilisateur, un ordinateur ou un autre groupe de sécurité. Pour rétablir cette règle plus largement, un objet qui contient des attributs dont les valeurs sont des liens de retour doit exister dans Active Directory avant que l’objet qui contient ce lien de transfert puisse être restauré ou modifié.

Cet article se concentre sur la récupération des comptes d’utilisateur supprimés et de leurs appartenances aux groupes de sécurité. Ses concepts s’appliquent également aux autres suppressions d’objets. Les concepts de cet article s’appliquent également aux objets supprimés dont les valeurs d’attribut utilisent des liens de transfert et des liens précédents vers d’autres objets dans Active Directory.

Vous pouvez utiliser l’une des trois méthodes pour récupérer les principaux de sécurité. Lorsque vous utilisez la méthode 1, vous laissez en place tous les principaux de sécurité qui ont été ajoutés à n’importe quel groupe de sécurité dans la forêt. Et vous ajoutez uniquement les principaux de sécurité qui ont été supprimés de leurs domaines respectifs à leurs groupes de sécurité. Par exemple, vous effectuez une sauvegarde de l’état du système, ajoutez un utilisateur à un groupe de sécurité, puis restaurez la sauvegarde de l’état du système. Lorsque vous utilisez les méthodes 1 ou 2, vous conservez tous les utilisateurs ajoutés aux groupes de sécurité qui contiennent des utilisateurs supprimés entre les dates de création de la sauvegarde d’état système et la date de restauration de la sauvegarde. Lorsque vous utilisez la méthode 3, vous restreciez les appartenances aux groupes de sécurité pour tous les groupes de sécurité qui contiennent des utilisateurs supprimés à leur état au moment de la sauvegarde de l’état du système.

Méthode 1 : restaurer les comptes d’utilisateur supprimés, puis rajouter les utilisateurs restaurés à leurs groupes à l’aide de l’outil en ligne de commande Ntdsutil.exe

L’outil de ligne de commande Ntdsutil.exe vous permet de restaurer les liens arrière des objets supprimés. Deux fichiers sont générés pour chaque opération de restauration faisant autorité. Un fichier contient une liste d’objets restaurés faisant autorité. L’autre fichier est un fichier .ldf utilisé avec l’utilitaire Ldifde.exe. Ce fichier est utilisé pour restaurer les liens inverses pour les objets qui sont restaurés de manière faisant autorité. Une restauration faisant autorité d’un objet utilisateur génère également des fichiers LDAP Data Interchange Format (LDIF) avec l’appartenance au groupe. Cette méthode évite une double restauration.

Lorsque vous utilisez cette méthode, vous effectuez les étapes générales suivantes :

Vérifiez si un catalogue global dans le domaine de l’utilisateur n’a pas été répliqué dans la suppression. Puis empêcher la réplication de ce catalogue global. S’il n’existe aucun catalogue global latent, recherchez la sauvegarde d’état système la plus actuelle d’un contrôleur de domaine de catalogue global dans le domaine d’accueil de l’utilisateur supprimé.
Auth restore all thedeleted user accounts, and then permit end-to-end replication of those user accounts.
Ajoutez tous les utilisateurs restaurés à tous les groupes dans tous les domaines dont les comptes d’utilisateur étaient membres avant leur suppression.

Pour utiliser la méthode 1, procédez comme suit :

Vérifiez s’il existe un contrôleur de domaine de catalogue global dans le domaine d’accueil de l’utilisateur supprimé qui n’a répliqué aucune partie de la suppression.

Remarque

Concentrez-vous sur les catalogues globaux qui ont les planifications de réplication les moins fréquentes.

S’il existe un ou plusieurs de ces catalogues globaux, utilisez l’outil en ligne de commande Repadmin.exe pour désactiver immédiatement la réplication entrante en procédant comme suit :
1. Sélectionnez Démarrer, puis Exécuter.
2. Tapez cmd dans la zone Ouvrir , puis sélectionnez OK.
3. Tapez la commande suivante à l’invite de commandes, puis appuyez sur Entrée :
```
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
```
  Remarque
  
  Si vous ne pouvez pas émettre la Repadmin commande immédiatement, supprimez toute la connectivité réseau du catalogue global latent jusqu’à ce que vous puissiez l’utiliser Repadmin pour désactiver la réplication entrante, puis renvoyer immédiatement la connectivité réseau.
Ce contrôleur de domaine est appelé contrôleur de domaine de récupération. S’il n’existe aucun catalogue global de ce type, passez à l’étape 2.
Il est préférable d’arrêter d’apporter des modifications aux groupes de sécurité dans la forêt si toutes les instructions suivantes sont vraies :
- Vous utilisez la méthode 1 pour restaurer de manière faisant autorité les utilisateurs ou comptes d’ordinateur supprimés par leur chemin d’accès de nom unique (dn).
- La suppression a été répliquée sur tous les contrôleurs de domaine de la forêt, à l’exception du contrôleur de domaine de récupération latent.
- Vous n’êtes pas en train de restaurer des groupes de sécurité ou leurs conteneurs parents.
Si vous activez la restauration de groupes de sécurité ou de conteneurs d’unités d’organisation qui hébergent des groupes de sécurité ou des comptes d’utilisateurs, arrêtez temporairement toutes ces modifications.

Notifiez les administrateurs et les administrateurs du support technique dans les domaines appropriés, en plus des utilisateurs du domaine dans lequel la suppression s’est produite au sujet de l’arrêt de ces modifications.
Créez une sauvegarde de l’état du système dans le domaine où la suppression s’est produite. Vous pouvez utiliser cette sauvegarde si vous devez restaurer vos modifications.

Remarque

Si les sauvegardes d’état système sont à jour jusqu’au point de la suppression, ignorez cette étape et passez à l’étape 4.

Si vous avez identifié un contrôleur de domaine de récupération à l’étape 1, sauvegardez maintenant son état système.

Si tous les catalogues globaux situés dans le domaine où la suppression s’est produite ont été répliqués dans la suppression, sauvegardez l’état système d’un catalogue global dans le domaine où la suppression s’est produite.

Lorsque vous créez une sauvegarde, vous pouvez rétablir l’état actuel du contrôleur de domaine de récupération. Et effectuez à nouveau votre plan de récupération si votre première tentative n’a pas réussi.
Si vous ne trouvez pas de contrôleur de domaine de catalogue global latent dans le domaine où la suppression de l’utilisateur s’est produite, recherchez la sauvegarde d’état système la plus récente d’un contrôleur de domaine de catalogue global dans ce domaine. Cette sauvegarde d’état système doit contenir les objets supprimés. Utilisez ce contrôleur de domaine comme contrôleur de domaine de récupération.

Seules les restaurations des contrôleurs de domaine de catalogue global dans le domaine de l’utilisateur contiennent des informations d’appartenance aux groupes globaux et universels pour les groupes de sécurité qui résident dans des domaines externes. S’il n’existe aucune sauvegarde d’état système d’un contrôleur de domaine de catalogue global dans le domaine où les utilisateurs ont été supprimés, vous ne pouvez pas utiliser l’attribut sur les memberOf comptes d’utilisateur restaurés pour déterminer l’appartenance à un groupe global ou universel ou pour récupérer l’appartenance à des domaines externes. En outre, il est judicieux de trouver la sauvegarde d’état système la plus récente d’un contrôleur de domaine de catalogue non global.
Si vous connaissez le mot de passe du compte d’administrateur hors connexion, démarrez le contrôleur de domaine de récupération en mode Derepair. Si vous ne connaissez pas le mot de passe du compte d’administrateur hors connexion, réinitialisez le mot de passe à l’aide de ntdsutil.exe alors que le contrôleur de domaine de récupération est toujours en mode Active Directory normal.

Vous pouvez utiliser l’outil en ligne de commande setpwd pour réinitialiser le mot de passe sur les contrôleurs de domaine lorsqu’ils sont en mode Active Directory en ligne.

Remarque

Microsoft ne prend plus en charge Windows 2000.

Les administrateurs de Windows Server 2003 et des contrôleurs de domaine ultérieurs peuvent utiliser la set dsrm password commande dans l’outil en ligne de commande Ntdsutil pour réinitialiser le mot de passe du compte d’administrateur hors connexion.

Pour plus d’informations sur la réinitialisation du compte administrateur en mode de restauration des services d’annuaire, consultez Comment réinitialiser le mot de passe du compte administrateur en mode restauration des services d’annuaire dans Windows Server.
Appuyez sur F8 pendant le processus de démarrage pour démarrer le contrôleur de domaine de récupération en mode Derepair. Connectez-vous à la console du contrôleur de domaine de récupération avec le compte d’administrateur hors connexion. Si vous réinitialisez le mot de passe à l’étape 5, utilisez le nouveau mot de passe.

Si le contrôleur de domaine de récupération est un contrôleur de domaine de catalogue global latent, ne restaurez pas l’état du système. Passez à l’étape 7.

Si vous créez le contrôleur de domaine de récupération à l’aide d’une sauvegarde de l’état du système, restaurez la sauvegarde d’état du système la plus actuelle qui a été effectuée sur le contrôleur de domaine de récupération maintenant.
Auth restore thedeleted user accounts, thedeleted computer accounts, or the deleted security groups.

Remarque

Les termes restauration d’authentification et restauration faisant autorité font référence au processus d’utilisation de la commande de restauration faisant autorité dans l’outil de ligne de commande Ntdsutil pour incrémenter les numéros de version d’objets spécifiques ou de conteneurs spécifiques et de tous leurs objets subordonnés. Dès que la réplication de bout en bout se produit, les objets ciblés dans la copie locale d’Active Directory du contrôleur de domaine de récupération font autorité sur tous les contrôleurs de domaine qui partagent cette partition. Une restauration faisant autorité est différente d’une restauration de l’état du système. Une restauration de l’état du système remplit la copie locale d’Active Directory du contrôleur de domaine restaurée avec les versions des objets au moment où la sauvegarde de l’état du système a été effectuée.

Les restaurations faisant autorité sont effectuées avec l’outil en ligne de commande Ntdsutil et font référence au chemin d’accès du nom de domaine (dn) des utilisateurs supprimés ou des conteneurs qui hébergent les utilisateurs supprimés.

Lorsque vous authez la restauration, utilisez des chemins d’accès de nom de domaine (dn) qui sont aussi bas dans l’arborescence de domaine qu’ils doivent l’être. L’objectif est d’éviter de rétablir les objets qui ne sont pas liés à la suppression. Ces objets peuvent inclure des objets qui ont été modifiés après la sauvegarde de l’état du système.

Auth restore deleted users in the following order:
1. Auth restore the domain name (dn) path for each deleted user account, computer account, or security group.
  
  Les restaurations faisant autorité d’objets spécifiques prennent plus de temps, mais sont moins destructrices que les restaurations faisant autorité d’une sous-arborescence entière. Auth restore the lowest common parent container that holds the deleted objects.
  
  Ntdsutil utilise la syntaxe suivante :
```
ntdsutil "authoritative restore" "restore object <object DN path>" q q
```
  Par exemple, pour restaurer de manière faisant autorité l’utilisateur supprimé John Doe dans l’unité d’organisation Mayberry du Contoso.com domaine, utilisez la commande suivante :
```
ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
```
  Pour restaurer de manière faisant autorité le groupe de sécurité supprimé ContosoPrintAccess dans l’unité d’organisation Mayberry du Contoso.com domaine, utilisez la commande suivante :
```
ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
```
  Importante
  
  L’utilisation de guillemets est requise.
  
  Pour chaque utilisateur que vous restaurez, au moins deux fichiers sont générés. Ces fichiers ont le format suivant :
  
  ar_YYYMMDD-HHMMSS_objects.txt
  Ce fichier contient une liste des objets restaurés avec autorité. Utilisez ce fichier avec la commande de restauration create ldif file from faisant autorité ntdsutil dans tout autre domaine de la forêt où l’utilisateur était membre de groupes locaux de domaine.
  
  ar_YYYMMDD-HHMMSS_links_usn.loc.ldf
  Si vous effectuez la restauration d’authentification sur un catalogue global, l’un de ces fichiers est généré pour chaque domaine de la forêt. Ce fichier contient un script que vous pouvez utiliser avec l’utilitaire Ldifde.exe. Le script restaure les liens inverses pour les objets restaurés. Dans le domaine d’accueil de l’utilisateur, le script restaure toutes les appartenances de groupe pour les utilisateurs restaurés. Dans tous les autres domaines de la forêt où l’utilisateur a une appartenance à un groupe, le script restaure uniquement les appartenances aux groupes universels et globaux. Le script ne restaure aucune appartenance à un groupe local de domaine. Ces appartenances ne sont pas suivies par un catalogue global.
2. Auth restore only the UO or Common-Name (CN) containers that host thedeleted user accounts or groups.
  
  Les restaurations faisant autorité d’une sous-arborescence entière sont valides lorsque l’unité d’organisation ciblée par la commande de restauration faisant autorité ntdsutil contient la plupart des objets que vous essayez de restaurer avec autorité. Dans l’idéal, l’unité d’organisation ciblée contient tous les objets que vous essayez de restaurer avec autorité.
  
  Une restauration faisant autorité sur une sous-arborescence d’unité d’organisation restaure tous les attributs et objets qui résident dans le conteneur. Toutes les modifications apportées jusqu’à la restauration d’une sauvegarde d’état système sont restaurées à leurs valeurs au moment de la sauvegarde. Avec les comptes d’utilisateur, les comptes d’ordinateur et les groupes de sécurité, cette restauration peut signifier la perte des modifications les plus récentes apportées aux éléments suivants :
  - Passe
  - répertoire de base
  - chemin d’accès au profil
  - emplacement
  - coordonnées
  - appartenance à un groupe
  - tous les descripteurs de sécurité définis sur ces objets et attributs.
  Ntdsutil utilise la syntaxe suivante :
```
ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
```
  Par exemple, pour restaurer de manière faisant autorité l’unité d’organisation Mayberry du Contoso.com domaine, utilisez la commande suivante :
```
ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q
```
  Remarque
  
  Répétez cette étape pour chaque unité d’organisation homologue qui héberge les utilisateurs ou groupes supprimés.
  
  Importante
  
  Lorsque vous restaurez un objet subordonné d’une unité d’organisation, tous les conteneurs parents supprimés des objets subordonnés supprimés doivent être explicitement restaurés.
  
  Pour chaque unité d’organisation que vous restaurez, au moins deux fichiers sont générés. Ces fichiers ont le format suivant :
  
  ar_YYYMMDD-HHMMSS_objects.txt
  Ce fichier contient une liste des objets restaurés avec autorité. Utilisez ce fichier avec la commande de restauration create ldif file from faisant autorité ntdsutil dans tout autre domaine de la forêt où les utilisateurs restaurés étaient membres de groupes locaux de domaine.
  
  ar_YYYMMDD-HHMMSS_links_usn.loc.ldf
  Ce fichier contient un script que vous pouvez utiliser avec l’utilitaire Ldifde.exe. Le script restaure les liens inverses pour les objets restaurés. Dans le domaine d’accueil de l’utilisateur, le script restaure toutes les appartenances de groupe pour les utilisateurs restaurés.
Si des objets supprimés ont été récupérés sur le contrôleur de domaine de récupération en raison d’une restauration de l’état du système, supprimez tous les câbles réseau qui fournissent une connectivité réseau à tous les autres contrôleurs de domaine de la forêt.
Redémarrez le contrôleur de domaine de récupération en mode Active Directory normal.
Tapez la commande suivante pour désactiver la réplication entrante vers le contrôleur de domaine de récupération :
```
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
```
Réactivez la connectivité réseau au contrôleur de domaine de récupération dont l’état système a été restauré.
Répliquer de manière sortante les objets restaurés par authentification du contrôleur de domaine de récupération vers les contrôleurs de domaine dans le domaine et dans la forêt.

Bien que la réplication entrante vers le contrôleur de domaine de récupération reste désactivée, tapez la commande suivante pour envoyer (push) les objets restaurés par authentification à tous les contrôleurs de domaine réplica intersites du domaine et à tous les catalogues globaux de la forêt :
```
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
```
Si toutes les instructions suivantes sont vraies, les liens d’appartenance au groupe sont reconstruits avec la restauration et la réplication des comptes d’utilisateur supprimés. Passez à l’étape 14.

Remarque

Si une ou plusieurs des instructions suivantes ne sont pas vraies, passez à l’étape 12.
- Votre forêt s’exécute au niveau fonctionnel de la forêt Windows Server 2003 et versions ultérieures ou ultérieures, ou au niveau fonctionnel de forêt intermédiaire Windows Server 2003 et versions ultérieures ou ultérieures.
- Seuls les comptes d’utilisateurs ou les comptes d’ordinateur ont été supprimés, et non les groupes de sécurité.
- Les utilisateurs supprimés ont été ajoutés aux groupes de sécurité dans tous les domaines de la forêt après la transition de la forêt vers Windows Server 2003 et versions ultérieures, ou un niveau fonctionnel de forêt ultérieur.
Sur la console du contrôleur de domaine de récupération, utilisez l’utilitaire Ldifde.exe et le fichier ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf pour restaurer les appartenances aux groupes de l’utilisateur. Pour ce faire, procédez comme suit :
- Sélectionnez Démarrer, sélectionnez Exécuter, tapez cmd dans la zone Ouvrir , puis sélectionnez OK.
- À l'invite de commandes, tapez la commande suivante, puis appuyez sur Entrée :
```
ldifde -i -f ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf
```
Activez la réplication entrante vers le contrôleur de domaine de récupération à l’aide de la commande suivante :
```
repadmin /options <recovery dc name> -DISABLE_INBOUND_REPL
```
Si des utilisateurs supprimés ont été ajoutés à des groupes locaux dans des domaines externes, effectuez l’une des actions suivantes :
- Ajoutez manuellement les utilisateurs supprimés à ces groupes.
- Restaurez l’état du système et restaurez chacun des groupes de sécurité locaux qui contient les utilisateurs supprimés.
Vérifiez l’appartenance au groupe dans le domaine du contrôleur de domaine de récupération et dans les catalogues globaux dans d’autres domaines.
Effectuez une nouvelle sauvegarde d’état système des contrôleurs de domaine dans le domaine du contrôleur de domaine de récupération.
Informez tous les administrateurs de forêt, les administrateurs délégués, les administrateurs du support technique dans la forêt et les utilisateurs du domaine que la restauration de l’utilisateur est terminée.

Les administrateurs du support technique peuvent être amenés à réinitialiser les mots de passe des comptes d’utilisateur et des comptes d’ordinateur restaurés authentifier dont le mot de passe de domaine a changé après la restauration du système.

Les utilisateurs qui ont modifié leurs mots de passe après la sauvegarde de l’état du système constatent que leur mot de passe le plus récent ne fonctionne plus. Faites en sorte que ces utilisateurs essaient de se connecter à l’aide de leurs mots de passe précédents s’ils les connaissent. Sinon, les administrateurs du support technique doivent réinitialiser le mot de passe et sélectionner l’utilisateur doit modifier le mot de passe à la prochaine case à cocher d’ouverture de session. Effectuez-le de préférence sur un contrôleur de domaine dans le même site Active Directory que celui où se trouve l’utilisateur.

Méthode 2 : restaurer les comptes d’utilisateur supprimés, puis rajouter les utilisateurs restaurés à leurs groupes

Lorsque vous utilisez cette méthode, vous effectuez les étapes générales suivantes :

Vérifiez si un catalogue global dans le domaine de l’utilisateur n’a pas été répliqué dans la suppression. Puis empêcher la réplication de ce catalogue global. S’il n’existe aucun catalogue global latent, recherchez la sauvegarde d’état système la plus actuelle d’un contrôleur de domaine de catalogue global dans le domaine d’accueil de l’utilisateur supprimé.
Auth restore all thedeleted user accounts, and then permit end-to-end replication of those user accounts.
Ajoutez tous les utilisateurs restaurés à tous les groupes dans tous les domaines dont les comptes d’utilisateur étaient membres avant leur suppression.

Pour utiliser la méthode 2, procédez comme suit :

Vérifiez s’il existe un contrôleur de domaine de catalogue global dans le domaine d’accueil de l’utilisateur supprimé qui n’a répliqué aucune partie de la suppression.

Remarque

Concentrez-vous sur les catalogues globaux qui ont les planifications de réplication les moins fréquentes.

S’il existe un ou plusieurs de ces catalogues globaux, utilisez l’outil en ligne de commande Repadmin.exe pour désactiver immédiatement la réplication entrante. Pour ce faire, procédez comme suit :
1. Sélectionnez Démarrer, puis Exécuter.
2. Tapez cmd dans la zone Ouvrir , puis sélectionnez OK.
3. Tapez la commande suivante à l’invite de commandes, puis appuyez sur Entrée :
```
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
```
Remarque

Si vous ne pouvez pas émettre la commande Repadmin immédiatement, supprimez toute la connectivité réseau du catalogue global latent jusqu’à ce que vous puissiez utiliser Repadmin pour désactiver la réplication entrante, puis renvoyer immédiatement la connectivité réseau.

Ce contrôleur de domaine est appelé contrôleur de domaine de récupération. S’il n’existe aucun catalogue global de ce type, passez à l’étape 2.
Déterminez si les ajouts, suppressions et modifications apportés aux comptes d’utilisateur, aux comptes d’ordinateur et aux groupes de sécurité doivent être temporairement arrêtés jusqu’à ce que toutes les étapes de récupération soient terminées.

Pour conserver le chemin de récupération le plus flexible, arrêtez temporairement d’apporter des modifications aux éléments suivants. Les modifications incluent les réinitialisations de mot de passe par les utilisateurs du domaine, les administrateurs du support technique et les administrateurs dans le domaine où la suppression s’est produite, en plus des modifications d’appartenance aux groupes d’utilisateurs supprimés. Envisagez d’arrêter les ajouts, suppressions et modifications apportés aux éléments suivants :
1. Comptes d’utilisateur et attributs sur les comptes d’utilisateur
2. Comptes d’ordinateur et attributs sur les comptes d’ordinateur
3. Comptes de service
4. Groupes de sécurité
Il est préférable d’arrêter d’apporter des modifications aux groupes de sécurité dans la forêt si toutes les instructions suivantes sont vraies :
- Vous utilisez la méthode 2 pour restaurer de manière faisant autorité les utilisateurs supprimés ou les comptes d’ordinateur par leur chemin d’accès de nom de domaine (dn).
- La suppression a été répliquée sur tous les contrôleurs de domaine de la forêt, à l’exception du contrôleur de domaine de récupération latent.
- Vous n’êtes pas en train de restaurer des groupes de sécurité ou leurs conteneurs parents.
Si vous activez la restauration de groupes de sécurité ou de conteneurs d’unités d’organisation qui hébergent des groupes de sécurité ou des comptes d’utilisateurs, arrêtez temporairement toutes ces modifications.

Notifiez les administrateurs et les administrateurs du support technique dans les domaines appropriés, en plus des utilisateurs du domaine dans lequel la suppression s’est produite au sujet de l’arrêt de ces modifications.
Créez une sauvegarde de l’état du système dans le domaine où la suppression s’est produite. Vous pouvez utiliser cette sauvegarde si vous devez restaurer vos modifications.

Remarque

Si les sauvegardes d’état système sont à jour jusqu’au point de la suppression, ignorez cette étape et passez à l’étape 4.

Si vous avez identifié un contrôleur de domaine de récupération à l’étape 1, sauvegardez maintenant son état système.

Si tous les catalogues globaux situés dans le domaine où la suppression s’est produite ont été répliqués dans la suppression, sauvegardez l’état système d’un catalogue global dans le domaine où la suppression s’est produite.

Lorsque vous créez une sauvegarde, vous pouvez rétablir l’état actuel du contrôleur de domaine de récupération. Et effectuez à nouveau votre plan de récupération si votre première tentative n’a pas réussi.
Si vous ne trouvez pas de contrôleur de domaine de catalogue global latent dans le domaine où la suppression de l’utilisateur s’est produite, recherchez la sauvegarde d’état système la plus récente d’un contrôleur de domaine de catalogue global dans ce domaine. Cette sauvegarde d’état système doit contenir les objets supprimés. Utilisez ce contrôleur de domaine comme contrôleur de domaine de récupération.

Seules les restaurations des contrôleurs de domaine de catalogue global dans le domaine de l’utilisateur contiennent des informations d’appartenance aux groupes globaux et universels pour les groupes de sécurité qui résident dans des domaines externes. S’il n’existe aucune sauvegarde d’état système d’un contrôleur de domaine de catalogue global dans le domaine où les utilisateurs ont été supprimés, vous ne pouvez pas utiliser l’attribut sur les memberOf comptes d’utilisateur restaurés pour déterminer l’appartenance à un groupe global ou universel ou pour récupérer l’appartenance à des domaines externes. En outre, il est judicieux de trouver la sauvegarde d’état système la plus récente d’un contrôleur de domaine de catalogue non global.
Si vous connaissez le mot de passe du compte d’administrateur hors connexion, démarrez le contrôleur de domaine de récupération en mode Derepair. Si vous ne connaissez pas le mot de passe du compte d’administrateur hors connexion, réinitialisez le mot de passe pendant que le contrôleur de domaine de récupération est toujours en mode Active Directory normal.

Vous pouvez utiliser l’outil en ligne de commande setpwd pour réinitialiser le mot de passe sur les contrôleurs de domaine qui exécutent Windows 2000 Service Pack 2 (SP2) et versions ultérieures pendant qu’ils sont en mode Active Directory en ligne.

Remarque

Microsoft ne prend plus en charge Windows 2000.

Les administrateurs de Windows Server 2003 et des contrôleurs de domaine ultérieurs peuvent utiliser la set dsrm password commande dans l’outil en ligne de commande Ntdsutil pour réinitialiser le mot de passe du compte d’administrateur hors connexion.

Pour plus d’informations sur la réinitialisation du compte administrateur en mode de restauration des services d’annuaire, consultez Comment réinitialiser le mot de passe du compte administrateur en mode restauration des services d’annuaire dans Windows Server.
Appuyez sur F8 pendant le processus de démarrage pour démarrer le contrôleur de domaine de récupération en mode Derepair. Connectez-vous à la console du contrôleur de domaine de récupération avec le compte d’administrateur hors connexion. Si vous réinitialisez le mot de passe à l’étape 5, utilisez le nouveau mot de passe.

Si le contrôleur de domaine de récupération est un contrôleur de domaine de catalogue global latent, ne restaurez pas l’état du système. Passez à l’étape 7.

Si vous créez le contrôleur de domaine de récupération à l’aide d’une sauvegarde de l’état du système, restaurez la sauvegarde d’état du système la plus actuelle qui a été effectuée sur le contrôleur de domaine de récupération maintenant.
Auth restore thedeleted user accounts, thedeleted computer accounts, or the deleted security groups.

Remarque

Les termes restauration d’authentification et restauration faisant autorité font référence au processus d’utilisation de la commande de restauration faisant autorité dans l’outil de ligne de commande Ntdsutil pour incrémenter les numéros de version d’objets spécifiques ou de conteneurs spécifiques et de tous leurs objets subordonnés. Dès que la réplication de bout en bout se produit, les objets ciblés dans la copie locale d’Active Directory du contrôleur de domaine de récupération font autorité sur tous les contrôleurs de domaine qui partagent cette partition. Une restauration faisant autorité est différente d’une restauration de l’état du système. Une restauration de l’état du système remplit la copie locale d’Active Directory du contrôleur de domaine restaurée avec les versions des objets au moment où la sauvegarde de l’état du système a été effectuée.

Les restaurations faisant autorité sont effectuées avec l’outil en ligne de commande Ntdsutil et font référence au chemin d’accès du nom de domaine (dn) des utilisateurs supprimés ou des conteneurs qui hébergent les utilisateurs supprimés.

Lorsque vous authez la restauration, utilisez des chemins d’accès de nom de domaine (dn) qui sont aussi bas dans l’arborescence de domaine qu’ils doivent l’être. L’objectif est d’éviter de rétablir les objets qui ne sont pas liés à la suppression. Ces objets peuvent inclure des objets qui ont été modifiés après la sauvegarde de l’état du système.

Auth restore deleted users in the following order:
1. Auth restore the domain name (dn) path for each deleted user account, computer account, or security group.
  
  Les restaurations faisant autorité d’objets spécifiques prennent plus de temps, mais sont moins destructrices que les restaurations faisant autorité d’une sous-arborescence entière. Auth restore the lowest common parent container that holds the deleted objects.
  
  Ntdsutil utilise la syntaxe suivante :
```
ntdsutil "authoritative restore" "restore object <object DN path>" q q
```
  Par exemple, pour restaurer de manière faisant autorité l’utilisateur supprimé John Doe dans l’unité d’organisation Mayberry du Contoso.com domaine, utilisez la commande suivante :
```
ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
```
  Pour restaurer de manière faisant autorité le groupe de sécurité supprimé ContosoPrintAccess dans l’unité d’organisation Mayberry du Contoso.com domaine, utilisez la commande suivante :
```
ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
```
  Importante
  
  L’utilisation de guillemets est requise.
  
  Remarque
  
  Cette syntaxe est disponible uniquement dans Windows Server 2003 et versions ultérieures. La seule syntaxe dans Windows 2000 consiste à utiliser les éléments suivants :
```
ntdsutil "authoritative restore" "restore subtree object DN path"
```
  Remarque
  
  L’opération de restauration faisant autorité de Ntdsutil ne réussit pas si le chemin d’accès de nom unique (DN) contient des caractères ou des espaces étendus. Pour que la restauration scriptée réussisse, la commande doit être passée sous la restore object <DN path> forme d’une chaîne complète.
  
  Pour contourner ce problème, encapsulez le DN qui contient des caractères étendus et des espaces avec des séquences d’échappement de guillemets doubles. Voici un exemple :
```
ntdsutil "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry NC,DC=contoso,DC=com\"" q q
```
  Remarque
  
  La commande doit être modifiée ultérieurement si le DN des objets en cours de restauration contient des virgules. Prenons l’exemple suivant :
```
ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry NC,DC=contoso,DC=com\"" q q
```
  Remarque
  
  Si les objets ont été restaurés à partir de la bande, marqués faisant autorité et que la restauration n’a pas fonctionné comme prévu et que la même bande est utilisée pour restaurer la base de données NTDS une fois de plus, la version USN des objets à restaurer faisant autorité doit être augmentée au-delà de la valeur par défaut de 100000, sinon les objets ne seront pas répliqués après la deuxième restauration. La syntaxe ci-dessous est nécessaire pour scripter un numéro de version supérieur à 100000 (valeur par défaut) :
```
ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry NC,DC=contoso,DC=com\" verinc 150000\"" q q
```
  Remarque
  
  Si le script demande une confirmation sur chaque objet en cours de restauration, vous pouvez désactiver les invites. La syntaxe pour désactiver l’invite est la suivante :
```
ntdsutil "popups off" "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry NC,DC=contoso,DC=com\" verinc 150000\"" q q
```
2. Auth restore only the UO or Common-Name (CN) containers that host thedeleted user accounts or groups.
  
  Les restaurations faisant autorité d’une sous-arborescence entière sont valides lorsque l’unité d’organisation ciblée par la commande de restauration faisant autorité ntdsutil contient la plupart des objets que vous essayez de restaurer avec autorité. Dans l’idéal, l’unité d’organisation ciblée contient tous les objets que vous essayez de restaurer avec autorité.
  
  Une restauration faisant autorité sur une sous-arborescence d’unité d’organisation restaure tous les attributs et objets qui résident dans le conteneur. Toutes les modifications apportées jusqu’à la restauration d’une sauvegarde d’état système sont restaurées à leurs valeurs au moment de la sauvegarde. Avec les comptes d’utilisateur, les comptes d’ordinateur et les groupes de sécurité, cette restauration peut signifier la perte des modifications les plus récentes apportées aux mots de passe, au répertoire de base, au chemin du profil, à l’emplacement et aux informations de contact, à l’appartenance au groupe et à tous les descripteurs de sécurité définis sur ces objets et attributs.
  
  Ntdsutil utilise la syntaxe suivante :
```
ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
```
  Par exemple, pour restaurer de manière faisant autorité l’unité d’organisation Mayberry du Contoso.com domaine, utilisez la commande suivante :
```
ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q
```
  Remarque
  
  Répétez cette étape pour chaque unité d’organisation homologue qui héberge les utilisateurs ou groupes supprimés.
  
  Importante
  
  Lorsque vous restaurez un objet subordonné d’une unité d’organisation, tous les conteneurs parents supprimés des objets subordonnés supprimés doivent être explicitement restaurés.
Si des objets supprimés ont été récupérés sur le contrôleur de domaine de récupération en raison d’une restauration de l’état du système, supprimez tous les câbles réseau qui fournissent une connectivité réseau à tous les autres contrôleurs de domaine de la forêt.
Redémarrez le contrôleur de domaine de récupération en mode Active Directory normal.
Tapez la commande suivante pour désactiver la réplication entrante vers le contrôleur de domaine de récupération :
```
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
```
Réactivez la connectivité réseau au contrôleur de domaine de récupération dont l’état système a été restauré.
Répliquer de manière sortante les objets restaurés par authentification du contrôleur de domaine de récupération vers les contrôleurs de domaine dans le domaine et dans la forêt.

Bien que la réplication entrante vers le contrôleur de domaine de récupération reste désactivée, tapez la commande suivante pour envoyer (push) les objets restaurés par authentification à tous les contrôleurs de domaine réplica intersites du domaine et à tous les catalogues globaux de la forêt :
```
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
```
Si toutes les instructions suivantes sont vraies, les liens d’appartenance au groupe sont reconstruits avec la restauration et la réplication des comptes d’utilisateur supprimés. Passez à l’étape 14.

Remarque

Si une ou plusieurs des instructions suivantes ne sont pas vraies, passez à l’étape 12.
- Votre forêt s’exécute au niveau fonctionnel de la forêt Windows Server 2003 et versions ultérieures, ou au niveau fonctionnel de forêt intermédiaire Windows Server 2003 et versions ultérieures.
- Seuls les comptes d’utilisateurs ou les comptes d’ordinateur ont été supprimés, et non les groupes de sécurité.
- Les utilisateurs supprimés ont été ajoutés aux groupes de sécurité dans tous les domaines de la forêt après la transition de la forêt vers le niveau fonctionnel de la forêt Windows Server 2003 et versions ultérieures.
Déterminez les groupes de sécurité dont les utilisateurs supprimés étaient membres, puis ajoutez-les à ces groupes.

Remarque

Avant de pouvoir ajouter des utilisateurs à des groupes, les utilisateurs que vous avez authentifier restaurés à l’étape 7 et ceux que vous avez répliqués en sortie à l’étape 11 doivent avoir répliqués vers les contrôleurs de domaine dans le domaine du contrôleur de domaine référencé et vers tous les contrôleurs de domaine de catalogue global dans la forêt.

Si vous avez déployé un utilitaire de provisionnement de groupes pour remplir à nouveau l’appartenance aux groupes de sécurité, utilisez cet utilitaire pour restaurer les utilisateurs supprimés dans les groupes de sécurité dont ils étaient membres avant leur suppression. Effectuez-le une fois que tous les contrôleurs de domaine directs et transitifs dans le domaine de la forêt et les serveurs de catalogues globaux ont répliqué les utilisateurs restaurés par l’authentification et tous les conteneurs restaurés.

Si vous n’avez pas l’utilitaire, les outils en ligne de commande et Groupadd.exe les Ldifde.exe outils de ligne de commande peuvent automatiser cette tâche pour vous lorsqu’ils sont exécutés sur le contrôleur de domaine de récupération. Ces outils sont disponibles à partir des services de support technique Microsoft. Dans ce scénario, Ldifde.exe crée un fichier d’informations LDAP Data Interchange Format (LDIF) qui contient les noms des comptes d’utilisateur et de leurs groupes de sécurité. Il commence à un conteneur d’unité d’organisation spécifié par l’administrateur. Groupadd.exe lit ensuite l’attribut memberOf de chaque compte d’utilisateur répertorié dans le fichier .ldf. Il génère ensuite des informations LDIF distinctes et uniques pour chaque domaine de la forêt. Ces informations LDIF contiennent les noms des groupes de sécurité associés aux utilisateurs supprimés. Utilisez les informations LDIF pour ajouter les informations aux utilisateurs afin que leurs appartenances à un groupe puissent être restaurées. Procédez comme suit pour cette phase de récupération :
1. Connectez-vous à la console du contrôleur de domaine de récupération à l’aide d’un compte d’utilisateur membre du groupe de sécurité de l’administrateur de domaine.
2. Utilisez la commande Ldifde pour vider les noms des comptes d’utilisateurs précédemment supprimés et leurs memberOf attributs, en commençant par le conteneur d’unité d’organisation le plus haut où la suppression s’est produite. La commande Ldifde utilise la syntaxe suivante :
```
ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=user)" -l memberof -p subtree -f user_membership_after_restore.ldf
```
  Utilisez la syntaxe suivante si des comptes d’ordinateur supprimés ont été ajoutés à des groupes de sécurité :
```
ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=computer)" -l memberof -p subtree -f computer_membership_after_restore.ldf
```
3. Exécutez la Groupadd commande pour générer d’autres fichiers .ldf qui contiennent les noms des domaines et les noms des groupes de sécurité globaux et universels dont les utilisateurs supprimés étaient membres. La Groupadd commande utilise la syntaxe suivante :
```
Groupadd / after_restore users_membership_after_restore.ldf
```
  Répétez cette commande si des comptes d’ordinateur supprimés ont été ajoutés à des groupes de sécurité.
4. Importez chaque Groupaddfichier _fully.qualified.domain.name.ldf que vous avez créé à l’étape 12c dans un contrôleur de domaine de catalogue global unique qui correspond au fichier .ldf de chaque domaine. Utilisez la syntaxe Ldifde suivante :
```
Ldifde -i -k -f Groupadd_<fully.qualified.domain.name>.ldf
```
  Exécutez le fichier .ldf pour le domaine où les utilisateurs ont été supprimés sur n’importe quel contrôleur de domaine, à l’exception du contrôleur de domaine de récupération.
5. Sur la console de chaque contrôleur de domaine utilisé pour importer le fichier Groupadd_<fully.qualified.domain.name.ldf> pour un domaine particulier, répliquez en sortie les ajouts d’appartenance au groupe aux autres contrôleurs de domaine du domaine et aux contrôleurs de domaine de catalogue global dans la forêt. Pour ce faire, utilisez la commande suivante :
```
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
```
Pour désactiver la réplication sortante, tapez le texte suivant, puis appuyez sur Entrée :
```
repadmin /options +DISABLE_OUTBOUND_REPL
```
Remarque

Pour réactiver la réplication sortante, tapez le texte suivant, puis appuyez sur Entrée :
```
repadmin /options -DISABLE_OUTBOUND_REPL
```
Si des utilisateurs supprimés ont été ajoutés à des groupes locaux dans des domaines externes, effectuez l’une des actions suivantes :
- Ajoutez manuellement les utilisateurs supprimés à ces groupes.
- Restaurez l’état du système et restaurez chacun des groupes de sécurité locaux qui contient les utilisateurs supprimés.
Vérifiez l’appartenance au groupe dans le domaine du contrôleur de domaine de récupération et dans les catalogues globaux dans d’autres domaines.
Effectuez une nouvelle sauvegarde d’état système des contrôleurs de domaine dans le domaine du contrôleur de domaine de récupération.
Informez tous les administrateurs de forêt, les administrateurs délégués, les administrateurs du support technique dans la forêt et les utilisateurs du domaine que la restauration de l’utilisateur est terminée.

Les administrateurs du support technique peuvent être amenés à réinitialiser les mots de passe des comptes d’utilisateur et des comptes d’ordinateur restaurés authentifier dont le mot de passe de domaine a changé après la restauration du système.

Les utilisateurs qui ont modifié leurs mots de passe après la sauvegarde de l’état du système constatent que leur mot de passe le plus récent ne fonctionne plus. Faites en sorte que ces utilisateurs essaient de se connecter à l’aide de leurs mots de passe précédents s’ils les connaissent. Sinon, les administrateurs du support technique doivent réinitialiser le mot de passe et sélectionner l’utilisateur doit modifier le mot de passe à la prochaine case à cocher d’ouverture de session. Effectuez-le de préférence sur un contrôleur de domaine dans le même site Active Directory que celui où se trouve l’utilisateur.

Méthode 3 : restaurer les utilisateurs supprimés et les groupes de sécurité des utilisateurs supprimés deux fois

Lorsque vous utilisez cette méthode, vous effectuez les étapes générales suivantes :

Vérifiez si un catalogue global dans le domaine de l’utilisateur n’a pas été répliqué dans la suppression. Ensuite, empêchez ce contrôleur de domaine de répliquer la suppression en entrée. S’il n’existe aucun catalogue global latent, recherchez la sauvegarde d’état système la plus actuelle d’un contrôleur de domaine de catalogue global dans le domaine d’accueil de l’utilisateur supprimé.
Restaurer avec autorité tous les comptes d’utilisateur supprimés et tous les groupes de sécurité dans le domaine de l’utilisateur supprimé.
Attendez la réplication de bout en bout des utilisateurs restaurés et des groupes de sécurité vers tous les contrôleurs de domaine dans le domaine de l’utilisateur supprimé et vers les contrôleurs de domaine de catalogue global de la forêt.
Répétez les étapes 2 et 3 pour restaurer de manière faisant autorité les utilisateurs supprimés et les groupes de sécurité. (Vous restaurez l’état du système une seule fois.)
Si les utilisateurs supprimés étaient membres de groupes de sécurité dans d’autres domaines, restaurez avec autorité tous les groupes de sécurité dont les utilisateurs supprimés étaient membres dans ces domaines. Ou, si les sauvegardes d’état système sont à jour, restaurez avec autorité tous les groupes de sécurité de ces domaines. Pour répondre à l’exigence selon laquelle les membres de groupe supprimés doivent être restaurés avant que les groupes de sécurité corrigent les liens d’appartenance au groupe, vous restaurez les deux types d’objets deux fois dans cette méthode. La première restauration met tous les comptes d’utilisateurs et comptes de groupe en place. La deuxième restauration restaure les groupes supprimés et répare les informations d’appartenance au groupe, y compris les informations d’appartenance pour les groupes imbriqués.

Pour utiliser la méthode 3, procédez comme suit :

Vérifiez si un contrôleur de domaine de catalogue global existe dans le domaine d’accueil des utilisateurs supprimés et n’a pas été répliqué dans aucune partie de la suppression.

Remarque

Concentrez-vous sur les catalogues globaux dans le domaine qui a les planifications de réplication les moins fréquentes. Si ces contrôleurs de domaine existent, utilisez l’outil en ligne de commande Repadmin.exe pour désactiver immédiatement la réplication entrante. Pour ce faire, procédez comme suit :
1. Sélectionnez Démarrer, puis Exécuter.
2. Tapez cmd dans la zone Ouvrir , puis sélectionnez OK.
3. Tapez repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL à l’invite de commandes, puis appuyez sur Entrée.
Remarque

Si vous ne pouvez pas émettre la commande Repadmin immédiatement, supprimez toute la connectivité réseau du contrôleur de domaine jusqu’à ce que vous puissiez utiliser Repadmin pour désactiver la réplication entrante, puis renvoyer immédiatement la connectivité réseau.

Ce contrôleur de domaine est appelé contrôleur de domaine de récupération.
Évitez d’ajouter, supprimer et modifier les éléments suivants tant que toutes les étapes de récupération n’ont pas été terminées. Les modifications incluent les réinitialisations de mot de passe par les utilisateurs du domaine, les administrateurs du support technique et les administrateurs dans le domaine où la suppression s’est produite, en plus des modifications d’appartenance aux groupes d’utilisateurs supprimés.
1. Comptes d’utilisateur et attributs sur les comptes d’utilisateur
2. Comptes d’ordinateur et attributs sur les comptes d’ordinateur
3. Comptes de service
4. Groupes de sécurité
  
  Remarque
  
  Évitez en particulier les modifications apportées à l’appartenance aux groupes pour les utilisateurs, les ordinateurs, les groupes et les comptes de service dans la forêt où la suppression s’est produite.
5. Notifiez tous les administrateurs de forêt, les administrateurs délégués et les administrateurs du support technique dans la forêt de la mise hors service temporaire. Ce stand-down est requis dans la méthode 2, car vous restaurez avec autorité tous les groupes de sécurité des utilisateurs supprimés. Par conséquent, toutes les modifications apportées aux groupes après la date de sauvegarde de l’état du système sont perdues.
Créez une sauvegarde de l’état du système dans le domaine où la suppression s’est produite. Vous pouvez utiliser cette sauvegarde si vous devez restaurer vos modifications.

Remarque

Si vos sauvegardes d’état système sont à jour jusqu’au moment où la suppression s’est produite, ignorez cette étape et passez à l’étape 4.

Si vous avez identifié un contrôleur de domaine de récupération à l’étape 1, sauvegardez maintenant son état système.

Si tous les catalogues globaux situés dans le domaine où la suppression s’est produite ont répliqué la suppression, sauvegardez l’état système d’un catalogue global dans le domaine où la suppression s’est produite.

Lorsque vous créez une sauvegarde, vous pouvez rétablir l’état actuel du contrôleur de domaine de récupération. Et effectuez à nouveau votre plan de récupération si votre première tentative n’a pas réussi.
Si vous ne trouvez pas de contrôleur de domaine de catalogue global latent dans le domaine où la suppression de l’utilisateur s’est produite, recherchez la sauvegarde d’état système la plus récente d’un contrôleur de domaine de catalogue global dans ce domaine. Cette sauvegarde d’état système doit contenir les objets supprimés. Utilisez ce contrôleur de domaine comme contrôleur de domaine de récupération.

Seules les bases de données des contrôleurs de domaine de catalogue global dans le domaine de l’utilisateur contiennent des informations d’appartenance au groupe pour les domaines externes dans la forêt. S’il n’existe aucune sauvegarde d’état système d’un contrôleur de domaine de catalogue global dans le domaine où les utilisateurs ont été supprimés, vous ne pouvez pas utiliser l’attribut sur les memberOf comptes d’utilisateur restaurés pour déterminer l’appartenance à un groupe global ou universel, ou pour récupérer l’appartenance à des domaines externes. Passez à l’étape suivante. S’il existe un enregistrement externe de l’appartenance à un groupe dans des domaines externes, ajoutez les utilisateurs restaurés aux groupes de sécurité de ces domaines après la restauration des comptes d’utilisateur.
Si vous connaissez le mot de passe du compte d’administrateur hors connexion, démarrez le contrôleur de domaine de récupération en mode Derepair. Si vous ne connaissez pas le mot de passe du compte d’administrateur hors connexion, réinitialisez le mot de passe pendant que le contrôleur de domaine de récupération est toujours en mode Active Directory normal.

Vous pouvez utiliser l’outil en ligne de commande setpwd pour réinitialiser le mot de passe sur les contrôleurs de domaine qui exécutent Windows 2000 SP2 et versions ultérieures pendant qu’ils sont en mode Active Directory en ligne.

Remarque

Microsoft ne prend plus en charge Windows 2000.

Les administrateurs de Windows Server 2003 et des contrôleurs de domaine ultérieurs peuvent utiliser la set dsrm password commande dans l’outil en ligne de commande Ntdsutil pour réinitialiser le mot de passe du compte d’administrateur hors connexion.

Pour plus d’informations sur la réinitialisation du compte administrateur en mode de restauration des services d’annuaire, consultez Comment réinitialiser le mot de passe du compte administrateur en mode restauration des services d’annuaire dans Windows Server.
Appuyez sur F8 pendant le processus de démarrage pour démarrer le contrôleur de domaine de récupération en mode Derepair. Connectez-vous à la console du contrôleur de domaine de récupération avec le compte d’administrateur hors connexion. Si vous réinitialisez le mot de passe à l’étape 5, utilisez le nouveau mot de passe.

Si le contrôleur de domaine de récupération est un contrôleur de domaine de catalogue global latent, ne restaurez pas l’état du système. Passez directement à l’étape 7.

Si vous créez le contrôleur de domaine de récupération à l’aide d’une sauvegarde de l’état du système, restaurez la sauvegarde d’état système la plus actuelle qui a été effectuée sur le contrôleur de domaine de récupération qui contient les objets supprimés maintenant.
Auth restore thedeleted user accounts, thedeleted computer accounts, or the deleted security groups.

Remarque

Les termes restauration d’authentification et restauration faisant autorité font référence au processus d’utilisation de la commande de restauration faisant autorité dans l’outil de ligne de commande Ntdsutil pour incrémenter les numéros de version d’objets spécifiques ou de conteneurs spécifiques et de tous leurs objets subordonnés. Dès que la réplication de bout en bout se produit, les objets ciblés dans la copie locale d’Active Directory du contrôleur de domaine de récupération font autorité sur tous les contrôleurs de domaine qui partagent cette partition. Une restauration faisant autorité est différente d’une restauration de l’état du système. Une restauration de l’état du système remplit la copie locale d’Active Directory du contrôleur de domaine restaurée avec les versions des objets au moment où la sauvegarde de l’état du système a été effectuée.

Les restaurations faisant autorité sont effectuées avec l’outil de ligne de commande Ntdsutil en référençant le chemin d’accès du nom de domaine (dn) des utilisateurs supprimés ou des conteneurs qui hébergent les utilisateurs supprimés.

Lorsque vous auth restore, utilisez des chemins d’accès de nom de domaine qui sont aussi bas dans l’arborescence de domaine qu’ils doivent l’être. L’objectif est d’éviter de rétablir les objets qui ne sont pas liés à la suppression. Ces objets peuvent inclure des objets qui ont été modifiés après la sauvegarde de l’état du système.

Auth restore deleted users in the following order:
1. Auth restore the domain name (dn) path for each deleted user account, computer account, or deleted security group.
  
  Les restaurations faisant autorité d’objets spécifiques prennent plus de temps, mais sont moins destructrices que les restaurations faisant autorité d’une sous-arborescence entière. Auth restore the lowest common parent container that holds the deleted objects.
  
  Ntdsutil utilise la syntaxe suivante :
```
ntdsutil "authoritative restore" "restore object <object DN path>" q q
```
  Par exemple, pour restaurer de manière faisant autorité l’utilisateur supprimé John Doe dans l’unité d’organisation Mayberry du Contoso.com domaine, utilisez la commande suivante :
```
ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
```
  Pour restaurer de manière faisant autorité le groupe de sécurité supprimé ContosoPrintAccess dans l’unité d’organisation Mayberry du Contoso.com domaine, utilisez la commande suivante :
```
ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
```
  Importante
  
  L’utilisation de guillemets est requise.
  
  En utilisant ce format Ntdsutil, vous pouvez également automatiser la restauration faisant autorité de nombreux objets dans un fichier batch ou un script.
  
  Remarque
  
  Cette syntaxe est disponible uniquement dans Windows Server 2003 et versions ultérieures. La seule syntaxe dans Windows 2000 est d’utiliser : ntdsutil "authoritative restore" "restore subtree object DN path".
2. Auth restore only the UO or Common-Name (CN) containers that host thedeleted user accounts or groups.
  
  Les restaurations faisant autorité d’une sous-arborescence entière sont valides lorsque l’unité d’organisation ciblée par la commande de restauration faisant autorité Ntdsutil contient la plupart des objets que vous essayez de restaurer avec autorité. Dans l’idéal, l’unité d’organisation ciblée contient tous les objets que vous essayez de restaurer avec autorité.
  
  Une restauration faisant autorité sur une sous-arborescence d’unité d’organisation restaure tous les attributs et objets qui résident dans le conteneur. Toutes les modifications apportées jusqu’à la restauration d’une sauvegarde d’état système sont restaurées à leurs valeurs au moment de la sauvegarde. Avec les comptes d’utilisateur, les comptes d’ordinateur et les groupes de sécurité, cette restauration peut signifier la perte des modifications les plus récentes apportées aux mots de passe, au répertoire de base, au chemin du profil, à l’emplacement et aux informations de contact, à l’appartenance au groupe et à tous les descripteurs de sécurité définis sur ces objets et attributs.
  
  Ntdsutil utilise la syntaxe suivante :
```
ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
```
  Par exemple, pour restaurer de manière faisant autorité l’unité d’organisation Mayberry du Contoso.com domaine, utilisez la commande suivante :
```
ntdsutil "authoritative restore" "restore subtree ou=Mayberry,dc=contoso,dc=com" q q
```
  Remarque
  
  Répétez cette étape pour chaque unité d’organisation homologue qui héberge les utilisateurs ou groupes supprimés.
  
  Importante
  
  Lorsque vous restaurez un objet subordonné d’une unité d’organisation, tous les conteneurs parents des objets subordonnés supprimés doivent être explicitement restaurés.
Redémarrez le contrôleur de domaine de récupération en mode Active Directory normal.
Répliquer les objets restaurés de manière faisant autorité à partir du contrôleur de domaine de récupération vers les contrôleurs de domaine dans le domaine et dans la forêt.

Bien que la réplication entrante vers le contrôleur de domaine de récupération reste désactivée, tapez la commande suivante pour envoyer (push) les objets restaurés avec autorité à tous les contrôleurs de domaine réplica intersites du domaine et aux catalogues globaux dans la forêt :
```
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
```
Une fois que tous les contrôleurs de domaine directs et transitifs dans le domaine de la forêt et les serveurs de catalogues globaux ont été répliqués dans les utilisateurs restaurés avec autorité et tous les conteneurs restaurés, passez à l’étape 11.

Si toutes les instructions suivantes sont vraies, les liens d’appartenance au groupe sont reconstruits avec la restauration des comptes d’utilisateur supprimés. Passez à l’étape 13.
- Votre forêt s’exécute au niveau fonctionnel de la forêt Windows Server 2003 et versions ultérieures, ou au niveau fonctionnel intermédiaire de la forêt Windows Server 2003 et versions ultérieures.
- Seuls les groupes de sécurité n’ont pas été supprimés.
- Tous les utilisateurs supprimés ont été ajoutés à tous les groupes de sécurité dans tous les domaines de la forêt.
Envisagez d’utiliser la Repadmin commande pour accélérer la réplication sortante des utilisateurs à partir du contrôleur de domaine restauré.

Si des groupes ont également été supprimés ou si vous ne pouvez pas garantir que tous les utilisateurs supprimés ont été ajoutés à tous les groupes de sécurité après la transition vers windows Server 2003 et versions ultérieures, passez à l’étape 12.
Répétez les étapes 7, 8 et 9 sans restaurer l’état du système, puis passez à l’étape 11.
Si des utilisateurs supprimés ont été ajoutés à des groupes locaux dans des domaines externes, effectuez l’une des actions suivantes :
- Ajoutez manuellement les utilisateurs supprimés à ces groupes.
- Restaurez l’état du système et restaurez chacun des groupes de sécurité locaux qui contient les utilisateurs supprimés.
Vérifiez l’appartenance au groupe dans le domaine du contrôleur de domaine de récupération et dans les catalogues globaux dans d’autres domaines.
Utilisez la commande suivante pour activer la réplication entrante vers le contrôleur de domaine de récupération :
```
repadmin /options recovery dc name -DISABLE_INBOUND_REPL
```
Effectuez une nouvelle sauvegarde d’état système des contrôleurs de domaine dans le domaine du contrôleur de domaine de récupération et les catalogues globaux dans d’autres domaines de la forêt.
Informez tous les administrateurs de forêt, les administrateurs délégués, les administrateurs du support technique dans la forêt et les utilisateurs du domaine que la restauration de l’utilisateur est terminée.

Les administrateurs du support technique peuvent être amenés à réinitialiser les mots de passe des comptes d’utilisateurs restaurés et des comptes d’ordinateur dont le mot de passe de domaine a changé après la restauration du système.

Les utilisateurs qui ont modifié leurs mots de passe après la sauvegarde de l’état du système constatent que leur mot de passe le plus récent ne fonctionne plus. Faites en sorte que ces utilisateurs essaient de se connecter à l’aide de leurs mots de passe précédents s’ils les connaissent. Sinon, les administrateurs du support technique doivent réinitialiser le mot de passe avec l’utilisateur doit modifier le mot de passe à la prochaine case à cocher d’ouverture de session cochée. Effectuez-le de préférence sur un contrôleur de domaine dans le même site Active Directory que celui où se trouve l’utilisateur.

Comment récupérer des utilisateurs supprimés sur un contrôleur de domaine lorsque vous n’avez pas de sauvegarde d’état système valide

Si vous ne disposez pas de sauvegardes d’état système actuelles dans un domaine où des comptes d’utilisateur ou des groupes de sécurité ont été supprimés et que la suppression s’est produite dans les domaines qui contiennent Windows Server 2003 et les contrôleurs de domaine ultérieurs, procédez comme suit pour réanimer manuellement les objets supprimés du conteneur d’objets supprimés :

Suivez les étapes décrites dans la section suivante pour réanimer les utilisateurs, ordinateurs, groupes ou tous les utilisateurs supprimés :
Comment supprimer manuellement des objets dans un conteneur d’objets supprimés
Utilisez Utilisateurs et ordinateurs Active Directory pour remplacer le compte désactivé par activé. (Le compte apparaît dans l’unité d’organisation d’origine.)
Utilisez les fonctionnalités de réinitialisation en bloc dans Windows Server 2003 et version ultérieure de Utilisateurs et ordinateurs Active Directory pour effectuer des réinitialisations en bloc sur le mot de passe doivent changer au prochain paramètre de stratégie d’ouverture de session, dans le répertoire de base, sur le chemin du profil et sur l’appartenance au groupe pour le compte supprimé, selon les besoins. Vous pouvez également utiliser un équivalent programmatique de ces fonctionnalités.
Si Microsoft Exchange 2000 ou version ultérieure a été utilisé, réparez la boîte aux lettres Exchange pour l’utilisateur supprimé.
Si Exchange 2000 ou version ultérieure a été utilisé, réassociez l’utilisateur supprimé à la boîte aux lettres Exchange.
Vérifiez que l’utilisateur récupéré peut se connecter et accéder aux répertoires locaux, aux répertoires partagés et aux fichiers.

Vous pouvez automatiser une partie ou l’ensemble de ces étapes de récupération à l’aide des méthodes suivantes :

Écrivez un script qui automatise les étapes de récupération manuelle répertoriées à l’étape 1. Lorsque vous écrivez un tel script, envisagez d’étenduer l’objet supprimé par date, heure et dernier conteneur parent connu, puis d’automatiser la réanimation de l’objet supprimé. Pour automatiser la réanimation, remplacez l’attribut isDeletedTRUE par FALSE, puis remplacez le nom unique relatif par la valeur définie dans l’attribut lastKnownParent ou dans un nouveau conteneur d’unité d’organisation ou de nom commun (CN) spécifié par l’administrateur. (Le nom unique relatif est également appelé RDN.)
Obtenez un programme non-Microsoft qui prend en charge la réanimation des objets supprimés sur les contrôleurs de domaine Windows Server 2003 et versions ultérieures. L’un de ces utilitaires est AdRestore. AdRestore utilise les primitives windows Server 2003 et versions ultérieures pour annuler la suppression des objets individuellement. Aelita Software Corporation et Commvault Systems proposent également des produits qui prennent en charge les fonctionnalités de suppression sur Les contrôleurs de domaine Windows Server 2003 et versions ultérieures.

Pour obtenir AdRestore, consultez AdRestore v1.1.

Microsoft fournit des informations de contact de sociétés tierces afin de vous aider à obtenir un support technique. Ces informations de contact peuvent être modifiées sans préavis. Microsoft ne garantit pas l’exactitude de ces informations de contact tierces.

Comment supprimer manuellement des objets dans le conteneur d’un objet supprimé

Pour supprimer manuellement des objets dans le conteneur d’un objet supprimé, procédez comme suit :

Sélectionnez Démarrer, sélectionnez Exécuter, puis tapez ldp.exe.

ldp.exe est disponible :
- Sur les ordinateurs sur lesquels le rôle contrôleur de domaine a été installé.
- Sur les ordinateurs sur lesquels les outils d’administration de serveur distant (RSAT) ont été installés.
Utilisez le menu Connexion dans Ldp pour effectuer les opérations de connexion et les opérations de liaison à un contrôleur de domaine Windows Server 2003 et ultérieur.

Spécifiez les informations d’identification de l’administrateur de domaine pendant l’opération de liaison.
Dans le menu Options , sélectionnez Contrôles.
Dans la liste Prédéfinie de chargement , sélectionnez Retourner les objets supprimés.

Remarque

Le contrôle 1.2.840.113556.1.4.417 passe à la fenêtre Contrôles actifs .
Sous Type de contrôle, sélectionnez Serveur, puis sélectionnez OK.
Dans le menu Affichage , sélectionnez Arborescence, tapez le chemin d’accès du nom unique du conteneur d’objets supprimés dans le domaine où la suppression s’est produite, puis sélectionnez OK.

Remarque

Le chemin d’accès de nom unique est également appelé chemin DN. Par exemple, si la suppression s’est produite dans le contoso.com domaine, le chemin d’accès DN est le chemin suivant :
cn=objets supprimés,dc=contoso,dc=com
Dans le volet gauche de la fenêtre, double-cliquez sur le conteneur d’objets supprimés.

Remarque

Comme résultat de recherche de la requête Idap, seuls 1 000 objets sont retournés par défaut. Par exemple, si plus de 1 000 objets existent dans le conteneur Objets supprimés, tous les objets n’apparaissent pas dans ce conteneur. Si votre objet cible n’apparaît pas, utilisez ntdsutil, puis définissez le nombre maximal à l’aide de maxpagesize pour obtenir les résultats de la recherche.
Double-cliquez sur l’objet que vous souhaitez supprimer ou réanimer.
Cliquez avec le bouton droit sur l’objet à réanimer, puis sélectionnez Modifier.

Modifiez la valeur de l’attribut isDeleted et le chemin d’accès DN dans une seule opération de modification du protocole LDAP (Lightweight Directory Access Protocol). Pour configurer la boîte de dialogue Modifier , procédez comme suit :
1. Dans la zone Modifier l’attribut d’entrée , le type est Supprimé. Laissez la zone Valeur vide.
2. Sélectionnez le bouton Supprimer , puis sélectionnez Entrée pour effectuer la première des deux entrées dans la boîte de dialogue Liste d’entrées .
  
  Importante
  
  Ne sélectionnez pas Exécuter.
3. Dans la zone Attribut , tapez distinguishedName.
4. Dans la zone Valeurs , tapez le nouveau chemin d’accès DN de l’objet réanimé.
  
  Par exemple, pour réanimer le compte d’utilisateur JohnDoe dans l’unité d’organisation Mayberry, utilisez le chemin DN suivant : cn= JohnDoe,ou= Mayberry,dc= contoso,dc= com
  
  Remarque
  
  Si vous souhaitez réanimer un objet supprimé dans son conteneur d’origine, ajoutez la valeur de l’attribut lastKnownParent de l’objet supprimé à sa valeur CN, puis collez le chemin DN complet dans la zone Valeurs .
5. Dans la zone Opération , sélectionnez REMPLACER.
6. Sélectionnez ENTRÉE.
7. Cochez la case Synchrone .
8. Cochez la case Étendue .
9. Sélectionnez EXÉCUTER.
Après avoir réanimé les objets, sélectionnez Contrôles dans le menu Options , sélectionnez le bouton Extraire pour supprimer (1.2.840.113556.1.4.417) de la liste des contrôles actifs .
Réinitialiser les mots de passe de compte d’utilisateur, les profils, les répertoires d’accueil et les appartenances aux groupes pour les utilisateurs supprimés.

Lorsque l’objet a été supprimé, toutes les valeurs d’attribut, à l’exception SIDde LastKnownParent, ObjectGUIDet SAMAccountName ont été supprimées.
Activez le compte réanimé dans Utilisateurs et ordinateurs Active Directory.

Remarque

L’objet réanimé a le même SID principal qu’avant la suppression, mais l’objet doit être ajouté à nouveau aux mêmes groupes de sécurité pour avoir le même niveau d’accès aux ressources. La première version de Windows Server 2003 et versions ultérieures ne conserve pas l’attribut sur les comptes d’utilisateur, les comptes d’ordinateur et les sIDHistory groupes de sécurité réanimés. Windows Server 2003 et versions ultérieures avec Service Pack 1 conserve l’attribut sur les sIDHistory objets supprimés.
Supprimez les attributs Microsoft Exchange et reconnectez l’utilisateur à la boîte aux lettres Exchange.

Remarque

La réanimation des objets supprimés est prise en charge lorsque la suppression se produit sur un contrôleur de domaine Windows Server 2003 et ultérieur. La réanimation des objets supprimés n’est pas prise en charge lorsque la suppression se produit sur un contrôleur de domaine Windows 2000 qui est ensuite mis à niveau vers Windows Server 2003 et versions ultérieures.

Remarque

Si la suppression se produit sur un contrôleur de domaine Windows 2000 dans le domaine, l’attribut lastParentOf n’est pas renseigné sur les contrôleurs de domaine Windows Server 2003 et versions ultérieures.

Comment déterminer quand et où une suppression s’est produite

Lorsque les utilisateurs sont supprimés en raison d’une suppression en bloc, vous souhaiterez peut-être savoir d’où provient la suppression. Pour ce faire, procédez comme suit :

Pour localiser les principaux de sécurité supprimés, suivez les étapes 1 à 7 de la section Comment supprimer manuellement des objets dans la section conteneur d’un objet supprimé . Si une arborescence a été supprimée, procédez comme suit pour localiser un conteneur parent de l’objet supprimé.
Copiez la valeur de l’attribut objectGUID dans le Presse-papiers Windows. Vous pouvez coller cette valeur lorsque vous entrez la commande à l’étape Repadmin 4.
Sur la ligne de commande, exécutez la commande suivante :
```
repadmin /showmeta GUID=<objectGUID> <FQDN>
```
Par exemple, si l’objet ou le objectGUID conteneur supprimé est 791273b2-eba7-4285-a117-aa804ea76e95 et que le nom de domaine complet (FQDN) est dc.contoso.com, exécutez la commande suivante :
```
repadmin /showmeta GUID=791273b2-eba7-4285-a117-aa804ea76e95 dc.contoso.com
```
La syntaxe de cette commande doit inclure le GUID de l’objet ou du conteneur supprimé et le nom de domaine complet du serveur à partir duquel vous souhaitez effectuer la source.

Dans la sortie de Repadmin commande, recherchez la date, l’heure et le contrôleur de domaine d’origine pour l’attribut isDeleted . Par exemple, les informations relatives à l’attribut isDeleted apparaissent dans la cinquième ligne de l’exemple de sortie suivant :

Loc.USN	Contrôleur de domaine d’origine	Org.USN	Org.Time/Date	Ver	Attribut
134759	Default-First-Site-Name\NA-DC1	134759	Date/heure	1	objectClass
134760	Default-First-Site-Name\NA-DC1	134760	Date/heure	2	ou
134759	Default-First-Site-Name\NA-DC1	134759	Date/heure	1	instanceType
134759	Default-First-Site-Name\NA-DC1	134759	Date/heure	1	whenCreated
134760	Default-First-Site-Name\NA-DC1	134760	Date/heure	1	isDeleted
134759	Default-First-Site-Name\NA-DC1	134759	Date/heure	1	nTSecurityDescriptor
134760	Default-First-Site-Name\NA-DC1	134760	Date/heure	2	nom
134760	Default-First-Site-Name\NA-DC1	134760	Date/heure	1	lastKnownParent
134760	Default-First-Site-Name\NA-DC1	134760	Date/heure	2	objectCategory

Si le nom du contrôleur de domaine d’origine apparaît sous la forme d’un GUID alphanumérique de 32 caractères, utilisez la commande Ping pour résoudre le GUID à l’adresse IP et le nom du contrôleur de domaine à l’origine de la suppression. La commande Ping utilise la syntaxe suivante :
```
ping -a <originating DC GUID>._msdomain controllers.<fully qualified path for forest root domain>
```
Remarque

L’option -a respecte la casse. Utilisez le nom de domaine complet du domaine racine de forêt, quel que soit le domaine dans lequel réside le contrôleur de domaine d’origine.

Par exemple, si le contrôleur de domaine d’origine réside dans un domaine de la Contoso.com forêt et a un GUID de 644eb7e7-1566-4f29-a778-4b487637564b, exécutez la commande suivante :
```
ping -a 644eb7e7-1566-4f29-a778-4b487637564b._msdomain controllers.contoso.com
```
La sortie retournée par cette commande est similaire à celle qui suit :
```
Pinging na-dc1.contoso.com [65.53.65.101] with 32 bytes of data:

Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
```

Comment réduire l’impact des suppressions en bloc à l’avenir

Les clés permettant de réduire l’impact de la suppression en bloc des utilisateurs, des ordinateurs et des groupes de sécurité sont les suivantes :

Assurez-vous que vous disposez de sauvegardes d’état système à jour.
Contrôler étroitement l’accès aux comptes d’utilisateur privilégiés.
Contrôlez étroitement ce que ces comptes peuvent faire.
Pratiquez la récupération à partir de suppressions en bloc.

Les changements d’état du système se produisent tous les jours. Ces modifications peuvent inclure :

Réinitialisations de mot de passe sur les comptes d’utilisateur et les comptes d’ordinateur
Modifications de l’appartenance au groupe
Autres modifications d’attributs sur les comptes d’utilisateur, les comptes d’ordinateur et les groupes de sécurité.

Si votre matériel ou logiciel échoue, ou si votre site subit un autre sinistre, vous souhaiterez restaurer les sauvegardes effectuées après chaque ensemble significatif de modifications dans chaque domaine et site Active Directory de la forêt. Si vous ne conservez pas les sauvegardes actuelles, vous risquez de perdre des données ou de devoir restaurer des objets restaurés.

Microsoft vous recommande de suivre les étapes suivantes pour éviter les suppressions en bloc :

Ne partagez pas le mot de passe des comptes d’administrateur intégrés ou autorisez le partage des comptes d’utilisateurs administratifs courants. Si le mot de passe du compte d’administrateur intégré est connu, modifiez le mot de passe et définissez un processus interne qui décourage son utilisation. Les événements d’audit pour les comptes d’utilisateur partagés rendent impossible la détermination de l’identité de l’utilisateur qui apporte des modifications dans Active Directory. Par conséquent, l’utilisation de comptes d’utilisateur partagés doit être déconseillée.
Il est rare que les comptes d’utilisateur, les comptes d’ordinateur et les groupes de sécurité soient supprimés intentionnellement. C’est particulièrement vrai pour les suppressions d’arbres. Dissociez la capacité du service et des administrateurs délégués à supprimer ces objets de la possibilité de créer et de gérer des comptes d’utilisateur, des comptes d’ordinateur, des groupes de sécurité, des conteneurs d’unité d’organisation et leurs attributs. Accordez uniquement aux comptes d’utilisateur ou aux groupes de sécurité les plus privilégiés le droit d’effectuer des suppressions d’arborescence. Ces comptes d’utilisateur privilégiés peuvent inclure des administrateurs d’entreprise.
Accordez aux administrateurs délégués l’accès uniquement à la classe d’objet que ces administrateurs sont autorisés à gérer. Par exemple, le travail principal d’un administrateur de support technique consiste à modifier les propriétés des comptes d’utilisateur. Il ne dispose pas des autorisations nécessaires pour créer et supprimer des comptes d’ordinateur, des groupes de sécurité ou des conteneurs d’unité d’organisation. Cette restriction s’applique également aux autorisations de suppression pour les administrateurs d’autres classes d’objets spécifiques.
Testez les paramètres d’audit pour suivre les opérations de suppression dans un domaine lab. Une fois que vous êtes à l’aise avec les résultats, appliquez votre meilleure solution au domaine de production.
Les modifications de contrôle d’accès en gros et d’audit sur les conteneurs qui hébergent des dizaines de milliers d’objets peuvent faire croître considérablement la base de données Active Directory, en particulier dans les domaines Windows 2000. Utilisez un domaine de test qui met en miroir le domaine de production pour évaluer les modifications potentielles apportées à l’espace disque libre. Vérifiez les volumes de disque dur qui hébergent les fichiers Ntds.dit et les fichiers journaux des contrôleurs de domaine dans le domaine de production pour obtenir de l’espace disque libre. Évitez de définir les modifications de contrôle d’accès et d’audit sur l’en-tête du contrôleur de réseau de domaine. Ces modifications s’appliquent inutilement à tous les objets de toutes les classes dans tous les conteneurs de la partition. Par exemple, évitez d’apporter des modifications à LNS (Domain Name System) et à l’inscription d’enregistrement DLT (Distributed Link Tracking) dans le dossier CN=SYSTEM de la partition de domaine.
Utilisez la structure d’unité d’organisation recommandée pour séparer les comptes d’utilisateur, les comptes d’ordinateur, les groupes de sécurité et les comptes de service dans leur propre unité organisationnelle. Lorsque vous utilisez cette structure, vous pouvez appliquer des listes de contrôle d’accès discrétionnaire (DACL) à des objets d’une classe unique pour l’administration déléguée. Vous pouvez également restaurer des objets en fonction de la classe d’objets s’ils doivent être restaurés. La structure d’unité d’organisation recommandée est décrite dans la section Création d’une conception d’unité d’organisation de l’article suivant :
Meilleures pratiques de conception Active Directory pour la gestion des réseaux Windows
Testez les suppressions en bloc dans un environnement de laboratoire qui reflète votre domaine de production. Choisissez la méthode de récupération qui vous semble logique, puis personnalisez-la dans votre organisation. Vous souhaiterez peut-être identifier les éléments suivants :
- Noms des contrôleurs de domaine dans chaque domaine qui est régulièrement sauvegardé
- Emplacement de stockage des images de sauvegarde
  Dans l’idéal, ces images sont stockées sur un disque dur supplémentaire local dans un catalogue global dans chaque domaine de la forêt.
- Les membres de l’organisation du support technique à contacter
- La meilleure façon d’établir ce contact
La plupart des suppressions en bloc de comptes d’utilisateurs, de comptes d’ordinateurs et de groupes de sécurité que Microsoft voit sont accidentelles. Discutez de ce scénario avec votre équipe informatique et développez un plan d’action interne. Concentrez-vous sur la détection précoce. Et retournez les fonctionnalités à vos utilisateurs de domaine et à votre entreprise le plus rapidement possible. Vous pouvez également prendre des mesures pour empêcher les suppressions en bloc accidentelles de se produire en modifiant les listes de contrôle d’accès (ACL) des unités d’organisation.

Pour plus d’informations sur l’utilisation des outils d’interface Windows pour empêcher les suppressions en bloc accidentelles, consultez Protection contre les suppressions en bloc accidentelles dans Active Directory.

Pour plus d’informations sur la façon d’éviter les suppressions en bloc accidentelles à l’aide d'Dsacls.exe ou d’un script, consultez l’article suivant :

Script pour protéger les unités organisationnelles contre la suppression accidentelle.

Outils et scripts qui peuvent vous aider à récupérer à partir de suppressions en bloc

L’utilitaire de ligne de commande Groupadd.exe lit l’attribut memberOf sur une collection d’utilisateurs dans une unité d’organisation et génère un fichier .ldf qui ajoute chaque compte d’utilisateur restauré aux groupes de sécurité dans chaque domaine de la forêt.

Groupadd.exe découvre automatiquement les domaines et les groupes de sécurité dont les utilisateurs supprimés étaient membres et les ajoute à ces groupes. Ce processus est expliqué plus en détail à l’étape 11 de la méthode 1.

Groupadd.exe s’exécute sur les contrôleurs de domaine Windows Server 2003 et versions ultérieures.

Groupadd.exe utilise la syntaxe suivante :

groupadd / after_restore ldf_file [/ before_restore ldf_file ]

Ici, ldf_file représente le nom du fichier .ldf à utiliser avec l’argument précédent, after_restore représente la source de données du fichier utilisateur et before_restore représente les données utilisateur de l’environnement de production. (La source de données du fichier utilisateur est la bonne donnée utilisateur.)

Pour obtenir Groupadd.exe, contactez les services de support technique Microsoft.

Les produits tiers mentionnés dans le présent article sont fabriqués par des sociétés indépendantes de Microsoft. Microsoft exclut toute garantie, implicite ou autre, concernant les performances ou la fiabilité de ces produits.

References

Pour plus d’informations sur l’utilisation de la fonctionnalité Corbeille AD incluse dans Windows Server 2008 R2, consultez le Guide pas à pas de la Corbeille Active Directory.

Comment restaurer des comptes d’utilisateurs supprimés et leurs appartenances à des groupes dans Active Directory

Introduction

Plus d’informations

Méthode 1 : restaurer les comptes d’utilisateur supprimés, puis rajouter les utilisateurs restaurés à leurs groupes à l’aide de l’outil en ligne de commande Ntdsutil.exe

Méthode 2 : restaurer les comptes d’utilisateur supprimés, puis rajouter les utilisateurs restaurés à leurs groupes

Méthode 3 : restaurer les utilisateurs supprimés et les groupes de sécurité des utilisateurs supprimés deux fois

Comment récupérer des utilisateurs supprimés sur un contrôleur de domaine lorsque vous n’avez pas de sauvegarde d’état système valide

Comment supprimer manuellement des objets dans le conteneur d’un objet supprimé

Comment déterminer quand et où une suppression s’est produite

Comment réduire l’impact des suppressions en bloc à l’avenir

Outils et scripts qui peuvent vous aider à récupérer à partir de suppressions en bloc

References

Commentaires

Ressources supplémentaires

Ressources supplémentaires