Visualiser le conteneur « Deleted Objects »

Visualiser le conteneur « Deleted Objects » avec l’outil LDP

Le conteneur « Deleted Objects » (permettant le stockage des tombstones) est un conteneur caché. Pour le visualiser ainsi que son contenu, il est nécessaire de passer par l’outil LDP.

Ce dernier est disponible par défaut sur un contrôleur de domaine Windows Server 2008.

Sur un serveur Windows Server 2008, Il peut être mise à disposition via la fonctionnalité « Composants logiciels enfichables et outils en ligne de commande AD DS » depuis  « Outils d’administration de serveur distant » | « Outils d’administration de rôles » | « Outils AD DS et AD LDS » | « Outils AD DS » (à partir de la console gestionnaire de serveur).

Pour un serveur sous Windows Server 2003, il faudra passer par les Support Tools.

 

Nous débutons par l’exécution de « ldp.exe » depuis « Démarrer » | « Exécuter ».

{gallery}37_DeletedObjects/01{/gallery}

 

 

 

 

 

Une fois LDP lancé, nous nous connectons à l’annuaire depuis « Connexion » | « Se connecter … » depuis la barre d’outil en indiquant un contrôleur de domaine disponible.

{gallery}37_DeletedObjects/02{/gallery}

 

 

 

 

 

 

 

 

Spécifiez les informations d’identification d’un compte membre du groupe « Admins du domaine » depuis « Connexion » | « Lier… » dans la barre d’outil.

{gallery}37_DeletedObjects/03{/gallery}

 

 

 

 

 

 

 

 

Pour visualiser le conteneur « Deleted Objects » et son contenu, il faut charger le filtre « Return deleted objects » depuis « Options » | « Contrôles » dans la barre d’outils.

{gallery}37_DeletedObjects/04{/gallery}

 

 

 

 

 

 

 

 

Il ne vous reste plus qu’à entrer le nom unique de base « CN=deleted objects,DC=DOMAIN,DC=LOCAL »  (pour le domaine domain.local) depuis « Affichage » | « Arborescence ».

Remarque: dans l’exemple ci-dessous le nom unique de base est « CN=deleted objects,DC=corpnet,DC=net » pour le domaine « corpnet.net ».

{gallery}37_DeletedObjects/05{/gallery}

 

 

 

 

 

 

 

 

Nous avons désormais accès au contenu de « Deleted Objects ». Notez toutefois que LDP ne retournera qu’un maximum de 1000 entrées par défaut. Si vous voulez étendre cette limite, vous pouvez consulter l’article Modifier les limites d’administration LDAP sur Active Directory.

{gallery}37_DeletedObjects/06{/gallery}

 

 

 

 

 

 

 

 

 

Permettre à un non-administrateur de visualiser le conteneur « Deleted Objects »

Seuls les membres du groupe Admins du domaine peuvent visualiser le conteneur « Deleted Objects ». Il reste cependant possible de le rendre visible pour d’autres comptes utilisateurs ou groupes en modifiant les autorisations de sécurité du conteneur  « Deleted Objects ».

Comme le conteneur n’est pas visualisable depuis la console Utilisateurs et ordinateurs Active Directory ou le centre d’administration Active Directory, il n’est pas possible d’en éditer les autorisations de sécurité via une interface graphique. Toutefois, un outil en ligne de commande est disponible pour pallier à cette contrainte: dsacls.

Dsacls est à la base un outil disponible pour gérer les autorisations sur les instances ADAM/AD LDS mais il peut être également utilisé pour automatiser la gestion des autorisations aux conteneurs et aux objets via scripts. L’outil accompagne LDP donc vous pouvez vous référez à ses prérequis pour en disposer.

Ouvrez une invite de commandes et exécutez la commande « dsacls « CN=Deleted Objects,DC=MONDOMAINE,DC=LOCAL » /takeownership » afin de prendre possession de l’objet. Notez qu’en résultat vous obtenez la liste des autorisations du conteneur.

Remarque: dans l’exemple ci-dessous, nous allons prendre possession du conteneur « Deleted Objects » sur le domaine « corpnet.net ».

{gallery}37_DeletedObjects/07{/gallery}

 

 

 

 

 

Ci-dessous, nous rajoutons les droits de « lecture du contenu » et de « lecture des propriétés » pour le compte jdurand sur le conteneur « Deleted Objects » et avec le commutateur « /g ».

{gallery}37_DeletedObjects/08{/gallery}

 

 

 

 

 

Si vous voulez supprimer les droits d’accès pour un compte particulier utiliser le commutateur « /r » en précisant le sAMAccountName du compte concerné.

{gallery}37_DeletedObjects/09{/gallery}

 

 

 

 

Il vous est possible de restaurer à tout moment la sécurité par défaut d’un conteneur à l’aide du commutateur « /resetDefaultDACL ».

{gallery}37_DeletedObjects/10{/gallery}

 

 

 

 

Dsacls nécessiterait un article dédié. En attendant et si vous désirez approfondir le sujet, je vous convie à consulter les articles Microsoft dsacls et View or Set Permissions on a Directory Object.

Modifier les limites d’administration LDAP sur Active Directory

Sommaire

 

 

Les règles de requêtes LDAP

Les requêtes LDAP sous Active Directory disposent d’un ensemble de limites afin d’en assurer la performance et la sécurité. Ces règles définissent entre autres le nombre de requêtes LDAP exécutées simultanément, le nombre de connexions simultanées ou le nombre maximum d’objets retournés pour une requête (Pour la liste des valeurs possibles, veuillez consulter l’article Microsoft LDAP policies).

Par exemple, une requête LDAP sur l’annuaire Active Directory retourne par défaut un maximum de 1000 objets via la valeur MaxPageSize. Nous allons donc voir comment modifier cette valeur à titre d’exemple.

ATTENTION !!! Ces valeurs ne doivent pas être modifiées à la légère car elles peuvent entrainer des problèmes de stabilité sur votre annuaire Active Directory.

 

 

Modifier MaxPageSize avec NTDSUTIL

En guise de démonstration, nous allons modifier la valeur MaxPageSize.  Pour cela, nous allons passer par l’outil ntdsutil.

ATTENTION !!! la modification d’une valeur impactera l’ensemble de votre forêt.

Débutons par l’exécution de « ntdsutil » depuis une invite de commandes.

 

Une fois dans ntdsutil, exécutez la commande « ldap policies ».

 

Nous allons devoir maintenant nous connecter sur un contrôleur de domaine. Saisissez donc la commande « Connections » et ensuite « Connect to server SERVEUR » où SERVEUR est le nom d’un de vos contrôleurs de domaine. Une fois la connexion établie, quittez le menu server connections à l’aide de la commande « q ».

 

Vous pouvez maintenant visualiser la liste des valeurs définies pour les limites fixées aux requêtes LDAP à l’aide de la commande « show values ». Nous pouvons constater que la valeur par défaut de MaxPageSize est de 1000.

 

Pour modifier cette valeur à 2500, saisissez la commande  « set MaxPageSize to 2500 ».

 

Vérifiez que la nouvelle valeur a bien été prise en compte de nouveau à l’aide de la commande « show values ». La nouvelle valeur apparait entre parenthèses.

 

Pour terminer, il faut valider la modification à l’aide de la commande « commit changes ». La prise en compte de cette modification est immédiate et ne nécessite pas de redémarrage des contrôleurs de domaine.

 

 

Modifier MaxPageSize avec ADSIEDIT

Si vous n’êtes pas à l’aise avec ntdsutil, il est possible de réaliser la même opération via adsiedit.

Nous exécutons « adsiedit.msc » depuis « Démarrer » | « Exécuter ».

{gallery}36_LDAP_POLICY/08{/gallery}

 

 

 

 

 

La stratégie LDAP est stockée dans le contexte d’attribution de noms configuration. Nous allons donc nous connecter sur la partition de configuration. Pour cela, réalisons un clic droit sur « Modification ADSI » et choisissons « Connexion… ». Il suffit de préciser dès lors le point de connexion « Configuration » dans la liste « Sélectionnez un contexte d’attribution de noms connu : » depuis la fenêtre Paramètres de connexion.

{gallery}36_LDAP_POLICY/09{/gallery}

 

 

 

 

 

 

 

 

Réalisez un clic droit sur l’objet « CN=Default Query Policy » ayant pour chemin « CN=Query-Policies,CN=Windows NT,CN=Services,CN=Configuration,DC=corpnet,DC=net » (pour la forêt corpnet.net) et sélectionnez « Propriétés ».

{gallery}36_LDAP_POLICY/10{/gallery}

 

 

 

 

 

 

Remarque: CN=Default Query Policy  est un objet de la classe queryPolicy.

ATTENTION !!! Si vous modifiez CN=Default Query Policy cela aura un impact sur l’ensemble de votre forêt.

Repérez et sélectionnez l’attribut « lDAPAdminLimits » puis cliquez sur « Modifier ».

{gallery}36_LDAP_POLICY/11{/gallery}

 

 

 

 

 

 

 

 

 

Choisissez la valeur « MaxPageSize=1000 » et supprimez-là à l’aide du bouton « Supprimer ». Il ne reste plus qu’à préciser la nouvelle valeur (dans notre exemple MaxPageSize=2500) et cliquez sur le bouton « Ajouter ».

{gallery}36_LDAP_POLICY/12{/gallery}

 

 

 

 

 

 

 

 

 

Remarque: notez que l’attribut lDAPAdminLimits contient l’ensemble des valeurs des limites d’administration LDAP.

 

 

 

Appliquer une limite d’administration LDAP sur un contrôleur ou site spécifique

Les modifications des valeurs de limite d’administration LDAP réalisées via ntdsutil ou sur l’objet « CN=Default Query Policy,CN=Query-Policies,CN=Windows NT,CN=Services,CN=Configuration,DC=corpnet,DC=net » concerne l’ensemble de la forêt. Il est par contre possible de modifier ces valeurs pour un site ou un contrôleur de domaine en particulier.

Premièrement, il faut créer un nouvel objet issu de la classe queryPolicy au sein du conteneur « CN=Query-Policies,CN=Windows NT,CN=Services,CN=Configuration,DC=corpnet,DC=net ». Comme le propose Microsoft dans sa KB, nous allons l’injecter à l’aide d’un fichier .ldf et de l’outil ldifde.

Créez donc un fichier avec l’extension .ldf et, à l’aide de Notepad, ajoutez le contenu suivant (Modifiez les valeurs en fonction de vos besoins) :

{codecitation style= »brush: diff »}

dn: CN=Extended MaxPageSize,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=CORPNET,DC=NET

changetype: add

instanceType: 4

lDAPAdminLimits: InitRecvTimeout=120

lDAPAdminLimits: MaxConnections=5000

lDAPAdminLimits: MaxConnIdleTime=900

lDAPAdminLimits: MaxDatagramRecv=4096

lDAPAdminLimits: MaxNotificationPerConn=5

lDAPAdminLimits: MaxPageSize=1500

lDAPAdminLimits: MaxPoolThreads=4

lDAPAdminLimits: MaxQueryDuration=120

lDAPAdminLimits: MaxReceiveBuffer=10485760

lDAPAdminLimits: MaxResultSetSize=262144

lDAPAdminLimits: MaxTempTableSize=10000

lDAPAdminLimits: MaxValRange=1500

objectClass: queryPolicy

showInAdvancedViewOnly: TRUE

{/codecitation}

Remarque: faites attention aux espaces possibles à la fin de chaque ligne.

Nous avons pris comme DN « CN=Extended MaxPageSize,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=CORPNET,DC=NET » où « CN=Extended MaxPageSize » sera le nom de notre nouvelle stratégie et « DC=CORPNET,DC=NET » est le nom de notre forêt.

Une fois le fichier créé et depuis un invite de commandes, saisissez la commande suivante : ldifde -i -f ldap-policy.ldf -v -c DC=X DC=CORPNET,DC=NET

{gallery}36_LDAP_POLICY/13{/gallery}

 

 

 

 

 

Remarque: Modifiez DC=CORPNET,DC=NET en fonction du nom de votre forêt. Conservez DC=X tel quel.

La nouvelle stratégie est créée. Elle est désormais disponible depuis le conteneur « CN=Query-Policies,CN=Windows NT,CN=Services,CN=Configuration,DC=corpnet,DC=net ».

{gallery}36_LDAP_POLICY/14{/gallery}

 

 

 

 

 

 

Il faut maintenant la lier à l’objet « NTDS Settings » du contrôleur de domaine ou du site concerné à l’aide de l’attribut « queryPolicyObject ».

  • L’objet « NTDS Settings » d’un site sera localisé dans le conteneur « CN=MONSITE,CN=Sites,CN=Configuration,DC=corpnet,DC=net ».
  • L’objet « NTDS Settings » d’un contrôleur de domaine sera localisé dans le conteneur « CN=MONSERVER,CN=Servers,CN=MONSITE,CN=Sites,CN=Configuration,DC=corpnet,DC=net ».

A titre d’exemple, nous allons référencer notre nouvelle stratégie au contrôleur de domaine WIN2008-1. A l’aide de adsiedit, nous naviguons jusqu’à l’objet NTDS Settings du contrôleur de domaine, nous réalisons un clic droit sur ce dernier et sélectionnons « Propriétés ». Nous localisons ensuite l’attribut « queryPolicyObject » pour le modifier et y entrer le distinguishedName de notre nouvelle police.

{gallery}36_LDAP_POLICY/15{/gallery}

 

 

 

 

 

 

 

 

 

Le contrôleur de domaine dispose désormais d’une stratégie spécifique sur les limites d’administration LDAP. Notez qu’il sera toutefois nécessaire de redémarrer le ou les contrôleurs de domaine concernés lorsque vous tentez d’appliquer une nouvelle stratégie.

ATTENTION !!! ntdsutil n’affichera que la stratégie par défaut du domaine mais si vous êtes connecté sur le contrôleur de domaine concerné. Il n’est pas possible de visualiser une stratégie spécifique avec ntdsutil.