Visualiser le conteneur « Deleted Objects »

Visualiser le conteneur « Deleted Objects » avec l’outil LDP

Le conteneur « Deleted Objects » (permettant le stockage des tombstones) est un conteneur caché. Pour le visualiser ainsi que son contenu, il est nécessaire de passer par l’outil LDP.

Ce dernier est disponible par défaut sur un contrôleur de domaine Windows Server 2008.

Sur un serveur Windows Server 2008, Il peut être mise à disposition via la fonctionnalité « Composants logiciels enfichables et outils en ligne de commande AD DS » depuis  « Outils d’administration de serveur distant » | « Outils d’administration de rôles » | « Outils AD DS et AD LDS » | « Outils AD DS » (à partir de la console gestionnaire de serveur).

Pour un serveur sous Windows Server 2003, il faudra passer par les Support Tools.

 

Nous débutons par l’exécution de « ldp.exe » depuis « Démarrer » | « Exécuter ».

{gallery}37_DeletedObjects/01{/gallery}

 

 

 

 

 

Une fois LDP lancé, nous nous connectons à l’annuaire depuis « Connexion » | « Se connecter … » depuis la barre d’outil en indiquant un contrôleur de domaine disponible.

{gallery}37_DeletedObjects/02{/gallery}

 

 

 

 

 

 

 

 

Spécifiez les informations d’identification d’un compte membre du groupe « Admins du domaine » depuis « Connexion » | « Lier… » dans la barre d’outil.

{gallery}37_DeletedObjects/03{/gallery}

 

 

 

 

 

 

 

 

Pour visualiser le conteneur « Deleted Objects » et son contenu, il faut charger le filtre « Return deleted objects » depuis « Options » | « Contrôles » dans la barre d’outils.

{gallery}37_DeletedObjects/04{/gallery}

 

 

 

 

 

 

 

 

Il ne vous reste plus qu’à entrer le nom unique de base « CN=deleted objects,DC=DOMAIN,DC=LOCAL »  (pour le domaine domain.local) depuis « Affichage » | « Arborescence ».

Remarque: dans l’exemple ci-dessous le nom unique de base est « CN=deleted objects,DC=corpnet,DC=net » pour le domaine « corpnet.net ».

{gallery}37_DeletedObjects/05{/gallery}

 

 

 

 

 

 

 

 

Nous avons désormais accès au contenu de « Deleted Objects ». Notez toutefois que LDP ne retournera qu’un maximum de 1000 entrées par défaut. Si vous voulez étendre cette limite, vous pouvez consulter l’article Modifier les limites d’administration LDAP sur Active Directory.

{gallery}37_DeletedObjects/06{/gallery}

 

 

 

 

 

 

 

 

 

Permettre à un non-administrateur de visualiser le conteneur « Deleted Objects »

Seuls les membres du groupe Admins du domaine peuvent visualiser le conteneur « Deleted Objects ». Il reste cependant possible de le rendre visible pour d’autres comptes utilisateurs ou groupes en modifiant les autorisations de sécurité du conteneur  « Deleted Objects ».

Comme le conteneur n’est pas visualisable depuis la console Utilisateurs et ordinateurs Active Directory ou le centre d’administration Active Directory, il n’est pas possible d’en éditer les autorisations de sécurité via une interface graphique. Toutefois, un outil en ligne de commande est disponible pour pallier à cette contrainte: dsacls.

Dsacls est à la base un outil disponible pour gérer les autorisations sur les instances ADAM/AD LDS mais il peut être également utilisé pour automatiser la gestion des autorisations aux conteneurs et aux objets via scripts. L’outil accompagne LDP donc vous pouvez vous référez à ses prérequis pour en disposer.

Ouvrez une invite de commandes et exécutez la commande « dsacls « CN=Deleted Objects,DC=MONDOMAINE,DC=LOCAL » /takeownership » afin de prendre possession de l’objet. Notez qu’en résultat vous obtenez la liste des autorisations du conteneur.

Remarque: dans l’exemple ci-dessous, nous allons prendre possession du conteneur « Deleted Objects » sur le domaine « corpnet.net ».

{gallery}37_DeletedObjects/07{/gallery}

 

 

 

 

 

Ci-dessous, nous rajoutons les droits de « lecture du contenu » et de « lecture des propriétés » pour le compte jdurand sur le conteneur « Deleted Objects » et avec le commutateur « /g ».

{gallery}37_DeletedObjects/08{/gallery}

 

 

 

 

 

Si vous voulez supprimer les droits d’accès pour un compte particulier utiliser le commutateur « /r » en précisant le sAMAccountName du compte concerné.

{gallery}37_DeletedObjects/09{/gallery}

 

 

 

 

Il vous est possible de restaurer à tout moment la sécurité par défaut d’un conteneur à l’aide du commutateur « /resetDefaultDACL ».

{gallery}37_DeletedObjects/10{/gallery}

 

 

 

 

Dsacls nécessiterait un article dédié. En attendant et si vous désirez approfondir le sujet, je vous convie à consulter les articles Microsoft dsacls et View or Set Permissions on a Directory Object.

Mettre à jour rapidement votre Edition de Windows Server 2008 R2

Grâce à l’outil en ligne de commande « Deployement Image Servicing and Management tool » vous avez la possibilité désormais de mettre à jour rapidement votre édition de Windows Server 2008 R2 (ou Windows 7). En clair, vous pouvez passer d’une version Standard à une version Entreprise très rapidement et le plus simplement du monde sans support d’installation ou de procédure in-place upgrade.

L’outil DISM est intégré par défaut sur 2008 R2 ou Windows 7 et peut être utilisé aussi bien sur une image (mode offline) que sur le système d’exploitation (mode online).

La méthode ne concerne que les versions de produits de la même famille (il n’est pas possible de passer d’une version Core à une version complète) et la rétrogradation n’est pas possible (passage d’une édition Datacenter vers une édition Standard). Ci-dessous, vous trouverez les différents scénarios supportés.

{gallery}31_UPGREDT/1{/gallery}

 

 

 

 

 

 

 

ATTENTION!!! l’outil ne fonctionne pas sur un contrôleur de domaine. Vous obtiendrez « erreur 50 ». La seule solution sera de le rétrograder si nécessaire.

Vous pouvez tout d’abord contrôler l’édition installée à l’aide de la commande « DISM /online /Get-CurrentEdition »

{gallery}31_UPGREDT/2{/gallery}

 

 

 

 

Vous pouvez ensuite vérifier toutes les éditions supportées à l’aide de la commande « DISM /online /Get-TargetEditions »

{gallery}31_UPGREDT/3{/gallery}

 

 

 

 

La commande « DISM /online /Set-Edition:<Edition cible> /ProductKey:XXXXX-XXXXX-XXXXX-XXXXX-XXXXX » va enfin vous permettre de mettre à jour votre édition. Notez qu’il vous faudra une clé d’activation valide pour réaliser cette opération. Dans notre exemple ci-dessous, nous allons saisir la commande « DISM /online /Set-Edition:ServerEnterprise /productkey:489J6-VHDMP-X63PK-3K798-CPX3Y » (il s’agit d’une clé de configuration KMS disponible ici).

{gallery}31_UPGREDT/4{/gallery}

 

 

 

 

 

ATTENTION!!! Il n’y a aucune demande de confirmation de la part de l’outil.

Après un double redémarrage, votre édition est mise à jour!!!

Si vous désirez plus d’information sur l’outil DISM, vous pouvez vous rendre sur l’article Technet Windows Edition-Servicing Command-Line Options.

Vérifier simplement la version du schéma Active Directory

 

Plusieurs méthodes existent pour vérifier la version du schéma. Elles sont toutes plus ou moins efficace. En effet, la plus part des méthodes proposées s’appuient sur la vérification de l’attribut « objectVersion » de l’objet « CN=schema,CN=configuration,DC=domain,DC=local » (une partie est détaillée dans cette KB Microsoft).

Il existe pourtant un outil Microsoft qui permet de retrouver bien plus simplement ce numéro de version sans réaliser une requête sur l’annuaire et qui n’est autre que « SCHUPGR.EXE » (seule cette KB Microsoft semble l’évoquer officiellement). A noter, qu’il est disponible sur toutes les versions Windows Server.

Il suffit donc simplement d’ouvrir une invite de commandes et de saisir la commande « schupgr » pour obtenir le numéro de version du schéma Active Directory. Même si la commande renvoie une erreur, la troisième ligne vous indiquera la bonne version du schéma (Ci-dessous un exemple de retour de la commande sur un contrôleur 2003 et 2008 R2).

{gallery}30_ADSCHEMA{/gallery}

 

 

 

 

 

Il suffit de comparer le numéro de version retournée par schupgr avec le tableau suivant :

Schema Version
Windows Server 2000 13
Windows Server 2003 30
Windows Server 2003 R2 31
Windows Server 2008 44
Windows Server 2008 R2 47
Windows Server 2012 56

Et le tour est joué !