Activer la corbeille Active Directory sur Windows Server 2022

Avant d'activer la Corbeille, vérifiez que votre forêt répond aux exigences minimales. Ouvrez une session PowerShell avec élévation de privilèges et vérifiez le niveau fonctionnel de votre forêt.

Import-Module ActiveDirectory
Get-ADForest | Format-List FunctionalLevel

La sortie devrait afficher Windows2008R2Forest ou supérieur. Si elle affiche Windows2008Forest ou inférieur, vous devrez d'abord augmenter le niveau fonctionnel.

Ensuite, vérifiez que votre version de schéma répond aux exigences :

Get-ADObject (Get-ADRootDSE).schemaNamingContext -Property objectVersion

L'objectVersion devrait être 47 ou supérieur. Vérifiez également que tous les contrôleurs de domaine répliquent correctement :

repadmin /showrepl

La méthode GUI est simple et fournit une confirmation visuelle. Ouvrez le Gestionnaire de serveur et accédez à Outils > Centre d'administration Active Directory, ou exécutez dsac.exe à partir d'une invite de commande avec élévation de privilèges.

Dans ADAC, sélectionnez votre domaine dans le volet de navigation de gauche. Si votre domaine n'est pas visible, cliquez sur Gérer > Ajouter des nœuds de navigation et ajoutez votre domaine.

Dans le volet Tâches à droite, cliquez sur Activer la Corbeille. Vous verrez une boîte de dialogue d'avertissement expliquant que cette action est irréversible et supprimera les objets tombstone existants. Cliquez sur OK pour continuer.

Une deuxième boîte de dialogue apparaîtra vous demandant de rafraîchir le Centre d'administration. Cliquez sur OK puis appuyez sur F5 ou cliquez sur l'icône de rafraîchissement.

Vérification : Après le rafraîchissement, l'option "Activer la Corbeille" devrait être grisée, et vous devriez voir un nouveau conteneur "Objets supprimés" dans la navigation de votre domaine.

Pour l'automatisation ou lorsque l'accès à l'interface graphique n'est pas disponible, utilisez PowerShell. Tout d'abord, obtenez le nom de domaine racine de votre forêt et le nom distingué :

$ForestDN = (Get-ADRootDSE).rootDomainNamingContext
$ForestName = (Get-ADForest).Name
Write-Host "Forest DN: $ForestDN"
Write-Host "Forest Name: $ForestName"

Activez maintenant la fonctionnalité de la Corbeille en utilisant le cmdlet Enable-ADOptionalFeature :

Enable-ADOptionalFeature -Identity "CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Services,CN=Configuration,$ForestDN" -Scope ForestOrConfigurationSet -Target $ForestName

Lorsque vous y êtes invité, tapez Y et appuyez sur Entrée pour confirmer l'opération irréversible.

Vérification : Vérifiez que la fonctionnalité est activée :

Get-ADOptionalFeature -Filter 'Name -eq "Recycle Bin Feature"' | Format-List Name,EnabledScopes

Les EnabledScopes devraient afficher votre DN de forêt, confirmant l'activation réussie.

Par défaut, les objets supprimés restent dans la Corbeille pendant 180 jours (deletedObjectLifetime). Vous pouvez modifier cette valeur en fonction des besoins de votre organisation. Vérifiez le paramètre actuel :

Get-ADObject "CN=Directory Service,CN=Services,CN=Configuration,$((Get-ADRootDSE).configurationNamingContext)" -Properties deletedObjectLifetime | Format-List deletedObjectLifetime

Si la valeur est <not set>, elle est par défaut de 180 jours. Pour la modifier (par exemple, à 365 jours) :

Set-ADObject "CN=Directory Service,CN=Services,CN=Configuration,$((Get-ADRootDSE).configurationNamingContext)" -Replace @{deletedObjectLifetime=365}

Vérifiez également la durée de vie des tombstones, qui détermine quand les objets sont définitivement purgés :

Get-ADObject "CN=Directory Service,CN=Services,CN=Configuration,$((Get-ADRootDSE).configurationNamingContext)" -Properties tombstoneLifetime | Format-List tombstoneLifetime

La durée de vie des tombstones doit être plus longue que la durée de vie des objets supprimés pour assurer un nettoyage approprié.

Créez une unité d'organisation de test pour vérifier la fonctionnalité de la Corbeille. Dans ADAC, cliquez avec le bouton droit sur votre domaine et sélectionnez Nouveau > Unité d'organisation. Nommez-la "Test-RecycleBin-OU".

Après avoir créé l'OU, cliquez dessus avec le bouton droit et sélectionnez Supprimer. Confirmez la suppression lorsque vous y êtes invité.

Maintenant, naviguez vers le conteneur Objets supprimés dans ADAC. Vous devriez voir votre OU supprimée listée avec une icône X rouge et des attributs supplémentaires indiquant quand elle a été supprimée.

Pour restaurer l'objet, cliquez avec le bouton droit sur l'OU supprimée et sélectionnez Restaurer. L'objet sera restauré à son emplacement d'origine. Alternativement, sélectionnez "Restaurer vers" pour choisir un autre conteneur parent.

Vérification : Retournez à la racine de votre domaine et confirmez que l'OU a été restaurée avec toutes ses propriétés d'origine intactes.

Nettoyez en supprimant à nouveau l'OU de test (vous pouvez la laisser dans Objets supprimés pour des tests futurs).

PowerShell offre plus de flexibilité pour les opérations en masse et les scripts. Pour afficher tous les objets supprimés dans votre domaine :

Get-ADObject -Filter 'isDeleted -eq $true' -IncludeDeletedObjects -Properties Name,Deleted,LastKnownParent | Format-Table Name,Deleted,LastKnownParent -AutoSize

Pour restaurer un objet spécifique par nom (remplacez "Test-RecycleBin-OU" par le nom de votre objet) :

Get-ADObject -Filter 'isDeleted -eq $true -and Name -eq "Test-RecycleBin-OU"' -IncludeDeletedObjects | Restore-ADObject

Pour des scénarios plus complexes, vous pouvez restaurer des objets à différents emplacements :

$DeletedObject = Get-ADObject -Filter 'isDeleted -eq $true -and Name -eq "Test-RecycleBin-OU"' -IncludeDeletedObjects
Restore-ADObject -Identity $DeletedObject -TargetPath "OU=Restored,DC=yourdomain,DC=com"

Pour restaurer tous les objets supprimés au cours des dernières 24 heures :

$Yesterday = (Get-Date).AddDays(-1)
Get-ADObject -Filter 'isDeleted -eq $true' -IncludeDeletedObjects -Properties Deleted | Where-Object {$_.Deleted -gt $Yesterday} | Restore-ADObject

Vérification : Utilisez Get-ADObject sans le paramètre -IncludeDeletedObjects pour confirmer que les objets restaurés sont visibles dans les requêtes AD normales.

Une surveillance régulière garantit que la Corbeille fonctionne correctement et ne consomme pas d'espace excessif. Créez un script de surveillance pour vérifier le nombre et l'âge des objets supprimés :

$DeletedObjects = Get-ADObject -Filter 'isDeleted -eq $true' -IncludeDeletedObjects -Properties Name,Deleted,objectClass
$TotalCount = $DeletedObjects.Count
$OldObjects = $DeletedObjects | Where-Object {$_.Deleted -lt (Get-Date).AddDays(-150)}

Write-Host "Total des objets supprimés : $TotalCount"
Write-Host "Objets de plus de 150 jours : $($OldObjects.Count)"

# Regrouper par type d'objet
$DeletedObjects | Group-Object objectClass | Sort-Object Count -Descending | Format-Table Name,Count

Configurez une tâche planifiée pour exécuter ce script chaque semaine et alerter les administrateurs si le nombre devient anormalement élevé.

Surveillez la santé de la réplication pour vous assurer que les objets supprimés se répliquent correctement sur tous les contrôleurs de domaine :

repadmin /replsummary

Vérifiez les erreurs de réplication qui pourraient affecter la fonctionnalité de la Corbeille :

repadmin /showrepl * /errorsonly

Bien que la Corbeille offre une excellente protection contre les suppressions accidentelles, maintenez une stratégie de sauvegarde complète. La Corbeille ne protège pas contre :

• Corruption de la base de données AD
• Suppressions massives malveillantes qui dépassent votre période de rétention
• Modifications d'attributs (seules les suppressions sont protégées)

Configurez Windows Server Backup pour créer des sauvegardes régulières de l'état du système :

wbadmin start systemstatebackup -backupTarget:E: -quiet

Documentez vos procédures de récupération et formez votre équipe sur les procédures de récupération de la Corbeille et de restauration autoritaire. Créez un runbook de récupération qui inclut :

• Étapes pour identifier les objets supprimés
• Commandes PowerShell pour la récupération en masse
• Procédures d'escalade pour les scénarios complexes
• Informations de contact pour les administrateurs seniors

Testez vos procédures de récupération trimestriellement en supprimant délibérément des objets de test et en les récupérant à l'aide des méthodes GUI et PowerShell.

Vérification : Assurez-vous que votre stratégie de sauvegarde couvre à la fois la récupération de la Corbeille et les scénarios de restauration autoritaire traditionnelle. Testez les procédures de restauration dans un environnement de laboratoire avant de les mettre en œuvre en production.