Exporter (0) Imprimer
Développer tout

Nouveautés des AD DS : Corbeille Active Directory

Mis à jour: janvier 2009

S'applique à: Windows Server 2008 R2

Quels sont les principaux changements ?

La suppression accidentelle des objets Active Directory est un événement qui affecte souvent les utilisateurs d’Active Directory Domain Services (AD DS) et Active Directory Lightweight Directory Services (AD LDS).

Dans les domaines Windows Server 2008 Active Directory, vous pouviez récupérer les objets supprimés par accident à partir de copies de sauvegarde effectuées à l’aide de la Sauvegarde de Windows Server. Vous pouviez utiliser la commande de restauration faisant autorité ntdsutil pour marquer les objets comme faisant autorité et vous assurer que les données restaurées soient répliquées dans l’ensemble du domaine. L’inconvénient de la solution de restauration faisant autorité était qu’elle devait être effectuée en mode de restauration des services d’annuaire. Dans ce mode, le contrôleur de domaine en cours de restauration devait rester hors connexion. Il n’était dès lors pas en mesure de traiter les demandes de clients.

Par ailleurs, dans Windows Server 2003 Active Directory et Windows Server 2008 AD DS, vous pouviez récupérer les objets Active Directory supprimés par le biais de la récupération des désactivations (tombstone). Dans Windows Server 2003 et Windows Server 2008, un objet Active Directory supprimé n’a pas été immédiatement supprimé physiquement de la base de données. À la place, le nom unique (également connu sous le nom de DN) a été tronqué, la plupart des attributs à valeur non liée ont été supprimés, tous les attributs à valeur liée ont été supprimés physiquement et l’objet a été déplacé vers un conteneur spécial dans le contexte d’appellation de l’objet (également connu sous le nom de NC) nommé Objets supprimés. L'objet, désormais appelé objet désactivé (tombstone), était invisible pour les opérations d’annuaire normales. Les objets désactivés pouvaient être récupérés à tout moment pendant leur durée de vie et redevenir des objets Active Directory. La durée de vie par défaut des objets désactivés était 180 jours dans Windows Server 2003 et Windows Server 2008. Vous pouviez utiliser la réanimation des désactivations pour récupérer les objets supprimés sans mettre hors connexion votre contrôleur de domaine ou votre instance AD LDS. Toutefois, les attributs à valeur liée des objets réanimés (par exemple, les appartenances de groupe des comptes d’utilisateur) qui étaient supprimés physiquement et les attributs à valeur non liée qui étaient supprimés n’étaient pas récupérés. Par conséquent, les administrateurs ne pouvaient pas se fier à la réanimation des désactivations comme solution suprême pour la suppression accidentelle d’objets.

La corbeille Active Directory dans Windows Server 2008 R2 s’appuie sur l’infrastructure existante de réanimation des désactivations et améliore votre capacité à conserver et récupérer les objets Active Directory supprimés par accident. Pour plus d’informations sur la réanimation des désactivations, voir Réanimation des objets désactivés Active Directory (http://go.microsoft.com/fwlink/?LinkID=125452) (en anglais).

La corbeille Active Directory dans Windows Server 2008 R2 réduit les temps morts du service d’annuaire. Vous pouvez l’utiliser pour conserver et restaurer les objets Active Directory supprimés par accident dans leur intégralité, sans avoir à restaurer les données Active Directory à partir de copies de sauvegarde, redémarrer AD DS ou relancer les contrôleurs de domaine.

À quoi la corbeille Active Directory sert-elle ?

Lorsque vous activez la corbeille Active Directory, tous les attributs à valeur liée et à valeur non liée des objets Active Directory supprimés sont préservés et les objets sont restaurés dans leur intégralité dans le même état logique et cohérent qu’ils avaient juste avant la suppression. Par exemple, les comptes d’utilisateurs restaurés retrouvent automatiquement toutes les appartenances aux groupes et les droits d’accès correspondants dont ils disposaient juste avant la suppression, dans et entre les domaines. La corbeille Active Directory fonctionne pour les environnements AD DS et AD LDS.

À qui cette fonctionnalité s’adresse-t-elle ?

La corbeille Active Directory peut intéresser les groupes suivants dans Windows Server 2008 R2 :

  • Les premiers utilisateurs de Windows Server 2008 R2 et les administrateurs, planificateurs et analystes des technologies de l’information qui évaluent Windows Server 2008 R2

  • Les planificateurs et les concepteurs des technologies de l’information d’une entreprise

  • Les responsables des opérations informatiques en charge de la gestion des réseaux et des serveurs, des budgets matériels et logiciels et des décisions techniques

  • Les administrateurs Active Directory

Existe-t-il des considérations particulières ?

  • Par défaut, la corbeille Active Directory est désactivée. Pour l’activer, vous devez d’abord augmenter le niveau fonctionnel de la forêt de votre environnement AD DS ou AD LDS au niveau de Windows Server 2008 R2. À son tour, cette opération requiert que tous les contrôleurs de domaine de la forêt ou tous les serveurs hébergeant des instances de jeux de configuration AD LDS exécutent Windows Server 2008 R2.

  • Dans Windows Server 2008 R2, le processus d’activation de la corbeille Active Directory est irréversible. Après avoir activé la corbeille Active Directory dans votre environnement, vous ne pouvez plus la désactiver.

Quelles sont les nouvelles fonctionnalités de la corbeille Active Directory ?

Le diagramme suivant indique le cycle de vie d’un nouvel objet Active Directory dans Windows Server 2008 R2 lorsque la fonctionnalité de la corbeille Active Directory est activée.

8eee582d-ce09-4d6b-96f8-b9e79794cc85

Après avoir activé la corbeille Active Directory dans Windows Server 2008 R2, lorsqu’un objet Active Directory est supprimé, le système conserve tous les attributs à valeur liée et non liée de l’objet, et ce dernier est logiquement supprimé, ce qui correspond à un nouvel état introduit dans Windows Server 2008 R2. Un objet supprimé est déplacé vers le conteneur Objets supprimés et son nom unique est tronqué. Un objet supprimé reste dans le conteneur Objets supprimés avec l’état « supprimé logiquement » pendant toute la durée du cycle de vie de l’objet supprimé.

La durée de vie de l’objet supprimé est déterminée par la valeur de l’attribut msDS-deletedObjectLifetime. La durée de vie de l’objet désactivé est déterminée par la valeur de l’attribut tombstoneLifetime. Par défaut, l’attribut msDS-deletedObjectLifetime est défini sur la valeur null. Lorsque msDS-deletedObjectLifetime est défini sur une valeur null, la durée de vie de l’objet supprimé est définie sur la valeur de la durée de vie de l’objet désactivé. Par défaut, tombstoneLifetime est également défini sur une valeur null. Lorsque tombstoneLifetime est défini sur une valeur null, la valeur de la durée de vie de l’objet désactivé indique par défaut 180 jours. À tout moment, vous pouvez modifier les valeurs de msDS-deletedObjectLifetime et tombstoneLifetime. Après avoir défini msDS-deletedObjectLife sur une valeur quelconque (autre que null), elle ne prend plus la valeur de l’attribut tombstoneLifetime.

Au cours de la durée de vie de l’objet supprimé, un objet supprimé peut être récupéré et redevenir à nouveau un objet Active Directory actif. Au terme de la durée de vie de l’objet supprimé, l’objet supprimé logiquement est converti en objet recyclé et la plupart de ses attributs sont supprimés.

noteRemarque
Par défaut, un objet recyclé Windows Server 2008 R2 conserve le même jeu d’attributs qu’un objet désactivé dans Windows Server 2003 et Windows Server 2008. Pour modifier le jeu d’attributs qui sont conservés dans un objet recyclé Windows Server 2008 R2 (c’est-à-dire, pour s’assurer qu’un attribut particulier d’un objet soit conservé lorsque cet objet est recyclé), définissez la valeur de searchFlags pour cet attribut dans le schéma sur 0x00000008. Ce processus est similaire au processus de conservation des attributs dans Windows Server 2003 et les objets désactivés Windows Server 2008. Pour plus d’informations, voir Attribut Search-Flags (http://go.microsoft.com/fwlink/?LinkID=125453) (éventuellement en anglais).

Lorsqu’un objet Active Directory supprimé devient un objet recyclé, il ne peut plus être récupéré. Il s’agit d’un nouveau comportement de Windows Server 2008 R2. L’objet recyclé reste dans le conteneur Objets supprimés jusqu’au terme de sa durée de vie de désactivation.

noteRemarque
Par défaut, si vous avez créé vos environnements AD DS ou AD LDS en effectuant de nouvelles installations de Windows Server 2008 R2, la durée de vie de désactivation est définie sur 180 jours.

Au terme de la durée de vie de désactivation, un processus de nettoyage de la mémoire supprime dans la base de données l’objet Active Directory recyclé.

Existe-t-il des dépendances ?

Par défaut, la corbeille Active Directory est désactivée dans Windows Server 2008 R2. Pour l’activer, vous devez d’abord augmenter le niveau fonctionnel de la forêt de votre environnement AD DS ou AD LDS au niveau de Windows Server 2008 R2. À son tour, cette opération requiert que tous les contrôleurs de domaine de la forêt ou tous les serveurs hébergeant des instances de jeux de configuration AD LDS exécutent Windows Server 2008 R2.

Comment préparer le déploiement de la corbeille Active Directory ?

Pour activer la corbeille Active Directory dans votre environnement AD DS, procédez comme suit :

  • Exécutez Adprep pour mettre à jour votre schéma Active Directory avec les attributs nécessaires de la corbeille Active Directory. Il est nécessaire d’appartenir au minimum au groupe Administrateurs du schéma pour mener à bien les tâches Adprep suivantes :

    noteRemarque
    Si vous effectuez une nouvelle installation d’une forêt Active Directory dans Windows Server 2008 R2, vous ne devez pas exécuter Adprep. En outre, votre schéma Active Directory contiendra automatiquement tous les attributs qui sont nécessaires pour que la corbeille Active Directory fonctionne correctement. Toutefois, si vous introduisez un contrôleur de domaine Windows Server 2008 R2 dans votre forêt Windows Server 2003 ou Windows Server 2008 existante et que par la suite vous mettez à niveau le reste des contrôleurs de domaine vers Windows Server 2008 R2, vous devez exécuter Adprep pour mettre à jour votre schéma Active Directory avec les attributs qui sont nécessaires pour que la corbeille Active Directory fonctionne correctement.

    • Préparez la forêt en exécutant la commande adprep /forestprep sur le serveur détenant le rôle de maître d’opérations de contrôleur de schéma (on parle également d’opérations à maître unique flottant ou FSMO) afin de mettre à jour le schéma.

    • Préparez le domaine en exécutant la commande adprep /domainprep /gpprep sur le serveur détenant le rôle de maître d’opérations de l’infrastructure.

    • Si un contrôleur de domaine en lecture seule est présent dans votre environnement AD DS, vous devez également exécuter la commande adprep /rodcprep.

  • Vérifiez que tous les contrôleurs de domaine dans votre forêt Active Directory exécutent Windows Server 2008 R2.

  • Augmentez le niveau fonctionnel de votre forêt Active Directory à Windows Server 2008 R2.

Pour activer la corbeille Active Directory dans votre environnement AD LDS, procédez comme suit :

  • Mettez à niveau le schéma de votre jeu de configuration AD LDS avec les attributs de corbeille Active Directory nécessaires en utilisant la commande ldifde -$ pour importer le fichier MS-ADAM-Upgrade-2.ldf.

  • Vérifiez que tous les serveurs hébergeant des instances de votre jeu de configuration AD LDS exécutent Windows Server 2008 R2.

  • Augmentez le niveau fonctionnel de votre jeu de configuration AD LDS à Windows Server 2008 R2.

Quelles éditions incluent la corbeille Active Directory ?

La corbeille Active Directory est disponible dans les éditions suivantes de Windows Server 2008 R2 :

  • Windows Server 2008 R2 Standard

  • Windows Server 2008 R2 Enterprise

  • Windows Server 2008 R2 Datacenter

La corbeille Active Directory n’est pas disponible dans les éditions suivantes de Windows Server 2008 R2 :

  • Windows Server 2008 R2 pour les systèmes Itanium

  • Windows Web Server 2008 R2

Références supplémentaires

Pour plus d’informations sur l’activation de la corbeille Active Directory dans Windows Server 2008 R2, voir le Guide pas à pas de la corbeille Active Directory (http://go.microsoft.com/fwlink/?LinkId=133971) (éventuellement en anglais).

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2014 Microsoft