Exporter (0) Imprimer
Développer tout

Services de domaine Active Directory : Outil de montage de base de données

Mis à jour: mai 2008

S'applique à: Windows Server 2008

L’outil de montage de base de données Active Directory® (Dsamain.exe) contribue à améliorer les processus de récupération de votre organisation, car il vous permet de comparer les données contenues dans les captures instantanées ou les sauvegardes effectuées à différents moments afin de choisir judicieusement les données à restaurer après une perte de données. Il n’est donc plus nécessaire de restaurer plusieurs sauvegardes pour comparer les données Active Directory qu’elles contiennent.

noteRemarque
Durant le développement du produit, cette fonctionnalité a également été désignée d’après les noms de code précédents (entre autres, Visionneuse de captures instantanées et Outil d’exploration de données Active Directory).

Grâce à l’outil de montage de base de données Active Directory, vous pouvez examiner les modifications apportées aux données qui sont stockées dans les services de domaine Active Directory. Par exemple, si un objet est modifié par inadvertance, vous pouvez recourir à l’outil de montage de base de données Active Directory pour examiner les modifications et pour mieux déterminer comment les corriger si besoin est.

Quel est le rôle de l’outil de montage de base de données Active Directory ?

Bien que l’outil de montage de base de données Active Directory ne récupère pas les objets supprimés à lui seul, il permet de simplifier la procédure de récupération des objets qui ont été accidentellement supprimés. Avant le système d’exploitation Windows Server® 2008, lorsque des objets ou des unités d’organisation étaient malencontreusement supprimés, la restauration des données à partir de sauvegardes était la seule solution pour déterminer précisément les objets ayant été supprimés. Cette méthode présentait deux inconvénients majeurs :

  • Pour procéder à une restauration faisant autorité, il était nécessaire de redémarrer les services Active Directory en mode de restauration des services d’annuaire.

  • Un administrateur ne pouvait pas comparer les données figurant dans les différentes sauvegardes (sauf si les sauvegardes étaient restaurées sur différents contrôleurs de domaine, ce qui n’était pas possible).

L’outil de montage de base de données Active Directory a pour rôle d’exposer les données des services de domaine Active Directory qui sont stockées dans des captures instantanées ou des sauvegardes en ligne. Les administrateurs peuvent alors comparer les données des captures instantanées ou des sauvegardes réalisées à différents moments, ce qui leur permet ensuite de déterminer plus précisément les données à restaurer, sans être confrontés à des interruptions de service.

À qui cette fonctionnalité s’adresse-t-elle ?

Les informations sur l’outil de montage de base de données Active Directory sont destinées aux personnes suivantes :

  • Planificateurs et analystes informatiques qui procèdent à une évaluation technique du produit

  • Concepteurs et planificateurs informatiques au sein des organisations

  • Administrateurs, opérateurs et responsables chargés des opérations informatiques, notamment de la récupération des données AD DS supprimées

Existe-t-il des considérations particulières ?

Le problème de la récupération des données supprimées comporte deux aspects :

  • La conservation des données supprimées de sorte qu’elles puissent être récupérées

  • La récupération effective des données supprimées lorsque cette opération est nécessaire

L’outil de montage de base de données Active Directory permet de conserver les données des services de domaine Active Directory (AD DS) ou Active Directory Lightweight Directory Services (AD LDS) supprimées sous forme de captures instantanées AD DS qui sont opérées par le service VSS (Volume Shadow Copy). L’outil ne récupère pas véritablement les objets et les conteneurs supprimés ; l’administrateur doit procéder à une étape de récupération des données.

Vous pouvez utiliser un outil LDAP (Lightweight Directory Access Protocol) tel que l’outil Ldp.exe, intégré à Windows Server 2008, pour afficher les données qui sont exposées dans les captures instantanées. Ces données sont en lecture seule. Par défaut, seuls les membres des groupes Administrateurs du domaine et Administrateurs de l’entreprise sont autorisés à afficher les captures instantanées car ces dernières contiennent des données Active Directory sensibles.

Protégez les captures instantanées AD DS contre les accès non autorisés de la même manière que vous protégez les sauvegardes AD DS. Un utilisateur malveillant ayant accès aux captures instantanées peut les utiliser pour divulguer des données sensibles éventuellement stockées dans les services de domaine Active Directory. Par exemple, un utilisateur malintentionné peut copier des captures instantanées AD DS de la forêt A vers la forêt B, puis il peut utiliser les informations d’identification d’administrateur de domaine ou d’administrateur de l’entreprise de la forêt B pour examiner les données. Utilisez un mécanisme de chiffrement ou d’autres mesures de sécurité des données avec les captures instantanées AD DS pour contribuer à limiter les tentatives d’accès non autorisé.

Comment préparer le déploiement de cette fonctionnalité ?

La procédure d’utilisation de l’outil de montage de base de données Active Directory inclut les étapes suivantes :

  1. Vous pouvez éventuellement planifier une tâche qui exécute régulièrement Ntdsutil.exe pour produire des captures instantanées du volume contenant la base de données AD DS.

  2. Exécutez l’outil Ntdsutil.exe pour dresser la liste des captures instantanées disponibles, puis montez la capture instantanée que vous voulez afficher.

  3. Exécutez Dsamain.exe pour exposer le volume monté en instantané en tant que serveur LDAP.

    Dsamain.exe utilise les arguments suivants :

    • Chemin d’accès du fichier (Ntds.dit) de base de données AD DS. Par défaut, ce fichier est ouvert en lecture seule, mais il doit être au format ASCII.

    • Chemin des fichiers journaux. Il peut s’agir d’un chemin temporaire, mais vous devez bénéficier d’un accès en écriture.

    • Quatre numéros de port pour LDAP, LDAP-SSL, Catalogue global et Catalogue global–SSL. Seul le port LDAP est requis. Si les autres ports ne sont pas spécifiés, ils utilisent respectivement LDAP+1, LDAP+2 et LDAP+3. Par exemple, si vous spécifiez le port LDAP 41389 sans indiquer d’autres valeurs de port, le port LDAP-SSL utilise le port 41390 par défaut, et ainsi de suite.

    Pour arrêter Dsamain, appuyez sur Ctrl+C dans la fenêtre Invite de commandes ou, si vous exécutez la commande à distance, définissez l’attribut stopservice sur l’objet rootDSE.

  4. Exécutez l’outil Ldp.exe et associez-le au port LDAP de la capture instantanée que vous avez spécifié lors de l’exposition de la capture instantanée en tant que serveur LDAP à l’étape précédente.

  5. Parcourez la capture instantanée exactement comme vous le feriez pour un contrôleur de domaine actif.

Si vous connaissez les unités d’organisation ou les objets qui ont été supprimés, vous pouvez rechercher les objets supprimés dans les captures instantanées et enregistrer les attributs et les liens retour qui appartenaient aux objets supprimés. Récupérez ces objets à l’aide de la fonctionnalité de récupération des désactivations. Ensuite, reconstituez manuellement ces objets avec les liens retour et les attributs supprimés tels qu’ils étaient identifiés dans les captures instantanées.

Bien que vous deviez recréer manuellement les liens retour et les attributs supprimés, l’outil de montage de base de données Active Directory vous permet de recréer les objets supprimés et leurs liens retour sans redémarrer le contrôleur de domaine en mode de restauration des services d’annuaire. Vous pouvez également utiliser l’outil pour examiner des aspects des configurations antérieures des services de domaine Active Directory ; par exemple, les autorisations qui étaient en vigueur.

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2014 Microsoft