Activer et utiliser la corbeille Active Directory sous Windows Server 2022

I. Présentation

Dans ce tutoriel, nous allons apprendre à activer et utiliser la corbeille Active Directory ! Nouveauté de l'Active Directory depuis Windows Server 2008 R2, la corbeille Active Directory est devenue une fonctionnalité incontournable pour lutter contre les suppressions accidentelles d'objets, notamment les comptes utilisateurs.

Toutefois, par défaut cette fonctionnalité est désactivée et c'est bien dommage... Mais nous verrons comment l'activer. Sachez qu’une fois que cette fonctionnalité est activée, c’est impossible de faire marche arrière.

Avant toute chose, assurez-vous que le niveau fonctionnel de votre domaine soit sur Windows Server 2008 R2 au minimum.

Note : La procédure décrit la navigation dans les menus pour Windows Server 2022, mais c’est sensiblement la même chose pour les versions précédentes de Windows Server.

Version originale publiée le 10 décembre 2012.

II. Activer la corbeille Active Directory

Pour activer la corbeille Active Directory, nous allons utiliser la console "Centre d'administration Avec Directory", bien que ce soit possible de le faire avec PowerShell (voir un peu plus bas dans l'article). Ouvrez la console "Centre d'administration Active Directory" et positionnez-vous à gauche sur votre domaine.

Activer la corbeille Active Directory - Etape 1

Ensuite, à droite, cliquez sur le bouton "Activer la corbeille". Si le bouton est grisé, c'est que la Corbeille Active Directory est déjà activée !

Activer la corbeille Active Directory - Etape 2

Une fenêtre de confirmation apparaît, cliquez sur "OK". J'insiste une nouvelle fois sur le fait que cette action est irréversible.

Activer la corbeille Active Directory - Etape 3

C'est fait ! Il ne reste plus qu'à attendre que cette modification dans le schéma Active Directory soit répliquée sur tous les contrôleurs de domaine.

Activer la corbeille Active Directory - Etape 4

L'activation de la corbeille Active Directory donne lieu à un nouveau conteneur dans l'annuaire. Celui-ci se nomme "Deleted Objects" et il contiendra tous les futurs objets supprimés.

Activer la corbeille Active Directory - Etape 5

Pour ceux qui souhaitent activer la corbeille Active Directory via PowerShell, lisez ce qui suit. Cette opération implique d'avoir le module Active Directory de PowerShell, ce qui devrait être le cas si vous exécutez la commande depuis un contrôleur de domaine.

Vous devez adapter la commande ci-dessous pour qu'elle corresponde à votre environnement. Dans cet exemple, j'utilise le domaine "it-connect.local" et cela se voit au niveau des paramètres -Identity et -Target.

Enable-ADOptionalFeature -Identity "CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=it-connect,DC=local" -Scope ForestOrConfigurationSet -Target "it-connect.local"

Une fois la commande saisie et exécutée, la console vous demande si vous êtes sur de vouloir activer la corbeille puisque l’action est irréversible, comme je vous le disais dans la présentation. Indiquez « T » pour Oui pour tout.

Activer corbeille AD avec PowerShell

III. Restaurer un objet supprimé

Nous allons voir maintenant comment restaurer un objet supprimé de l’Active Directory. Par exemple, je vais supprimer l’utilisateur "Vincent Timmes" de mon annuaire AD dans le but de le restaurer par la suite... Lorsqu’on restaure un objet situé dans la corbeille, il est restauré dans son intégralité, à l’identique.

Supprimer un objet AD - Corbeille

Pour restaurer les objets, on peut utiliser PowerShell ou l'interface graphique. D'ailleurs, initialement c'était possible uniquement avec PowerShell, mais depuis Windows Server 2012 la restauration d’objets peut se faire par l’interface graphique dans le Centre d’administration Active Directory.

Dans le cadre de ce tutoriel, nous allons voir les deux méthodes pour que vous puissiez restaurer des objets que vous soyez sur 2008 R2 ou 2012.

A. Restauration par l’interface graphique

Dans le Gestionnaire de serveur, cliquez sur « Outils » puis sur « Centre d’administration Active Directory ».

Une fois que la console est ouverte, accédez au conteneur Deleted Objets que l'on a vu précédemment. Ici, on remarque l'utilisateur "Vincent Timmes" ce qui est une bonne nouvelle, car cela signifie que la corbeille fonctionne.

Active Directory - Voir la corbeille

Pour le restaurer, il suffit de faire clic droit dessus puis « Restaurer ». Il sera restauré dans l'unité d'organisation d'origine. Le fait d’utiliser l’option « Restaurer sur… » permet de restaurer l’objet dans un conteneur au choix.

Restaurer un objet de la corbeille AD

Une fois la restauration effectuée, vous pouvez retrouver votre objet dans l’annuaire dans le même état qu’il l’était avant la suppression.

B. Restauration avec la console PowerShell

Avec la console PowerShell, on sélectionne dans l’Active Directory l’objet qu’on souhaite restaurer en incluant les objets supprimés pour que la sélection retourne quelque chose puis on précise qu’on souhaite restaurer cet objet.

Prenons toujours le cas où l’utilisateur « Vincent Timmes » s’est retrouvé supprimé par erreur, nous allons le restaurer via cette commande PowerShell en l'identifiant par son login (SamAccountName) :

Get-ADObject -Filter 'SamAccountName -eq "vincent.timmes"' -IncludeDeletedObjects | Restore-ADObject

Le cmdlet « Get-ADObject » permet de récupérer un objet dans l’annuaire et une fois qu’on a récupéré l’objet, il est restauré avec le cmdlet « Restore-ADObject » qui s'applique sur l'objet envoyé via le pipeline de PowerShell. La commande, même lorsqu’elle s’exécute avec succès n’affiche pas de message de validation pour la restauration de l’objet.

Vous n’avez qu’à le vérifier en allant dans l’Active Directory (en pensant à Actualiser) dans l’OU où doit être l’objet restauré. Ou, à partir de PowerShell avec Get-ADObject ou Get-ADUser.

IV. Conclusion

Suite à la lecture de ce tutoriel, vous êtes capable d'activer et d'utiliser la corbeille Active Directory, aussi bien à partir de PowerShell que de l'interface graphique.

Par défaut, les objets sont conservés dans la corbeille Active Directory pendant 180 jours (cette valeur est modifiable). Lorsqu'un objet est supprimé, l'attribut "isDeleted" passe sur "True". Ensuite, quand le délai de 180 jours est passé, cet attribut ne change pas tandis que l'attribut "isRecycled" passe à "True" également, ce qui empêche la restauration via la corbeille.

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5501.Voir tous les posts

6 thoughts on “Activer et utiliser la corbeille Active Directory sous Windows Server 2022

  • Bonjour j’ai essayé mais voila le message d’erreur qu’il affiche après la confirmation:
    Enable-ADOptionalFeature : La méthode spécifiée n’est pas prise en charge Au niveau de ligne : 1 Caractère : 25
    + Enable-ADOptionalFeature <<<< -Identity "CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=satelcomgn,DC=lan" -Scope ForestOrConfigurationSet -Target 'satelcomgn.lan'+ CategoryInfo : NotSpecified: (CN=Recycle Bin …telcomgn,DC=lan :ADOptionalFeature) [Enable-ADOptionalFeature], ADException + FullyQualifiedErrorId : La méthode spécifiée n'est pas prise en charge,Microsoft.ActiveDirectory.Management.Commands.EnableADOptionalFeature

    Qu'est ce qui ne va pas? je suis débutant!

    Répondre
    • Vérifie bien le niveau fonctionnel de ta forêt (en powershell: Get-ADForest) -> niveau 2008r2 minimum

      Répondre
  • Merci pour ce tuto
    est il possible de récupérer un user supprimé avant la mise en place de cette corbeille?

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.