Visualiser le conteneur « Deleted Objects »

Envoyer

Visualiser le conteneur « Deleted Objects » avec l’outil LDP

Le conteneur « Deleted Objects » (permettant le stockage des tombstones) est un conteneur caché. Pour le visualiser ainsi que son contenu, il est nécessaire de passer par l’outil LDP.

Ce dernier est disponible par défaut sur un contrôleur de domaine Windows Server 2008.

Sur un serveur Windows Server 2008, Il peut être mise à disposition via la fonctionnalité « Composants logiciels enfichables et outils en ligne de commande AD DS » depuis  « Outils d’administration de serveur distant » | « Outils d’administration de rôles » | « Outils AD DS et AD LDS » | « Outils AD DS » (à partir de la console gestionnaire de serveur).

Pour un serveur sous Windows Server 2003, il faudra passer par les Support Tools.

 

Nous débutons par l’exécution de « ldp.exe » depuis « Démarrer » | « Exécuter ».

 

 

 

 

 

Une fois LDP lancé, nous nous connectons à l’annuaire depuis « Connexion » | « Se connecter … » depuis la barre d’outil en indiquant un contrôleur de domaine disponible.

 

 

 

 

 

 

 

 

Spécifiez les informations d’identification d’un compte membre du groupe « Admins du domaine » depuis « Connexion » | « Lier… » dans la barre d’outil.

 

 

 

 

 

 

 

 

Pour visualiser le conteneur « Deleted Objects » et son contenu, il faut charger le filtre « Return deleted objects » depuis « Options » | « Contrôles » dans la barre d’outils.

 

 

 

 

 

 

 

 

Il ne vous reste plus qu’à entrer le nom unique de base « CN=deleted objects,DC=DOMAIN,DC=LOCAL »  (pour le domaine domain.local) depuis « Affichage » | « Arborescence ».

Remarque: dans l’exemple ci-dessous le nom unique de base est « CN=deleted objects,DC=corpnet,DC=net » pour le domaine « corpnet.net ».

 

 

 

 

 

 

 

 

Nous avons désormais accès au contenu de « Deleted Objects ». Notez toutefois que LDP ne retournera qu'un maximum de 1000 entrées par défaut. Si vous voulez étendre cette limite, vous pouvez consulter l'article Modifier les limites d'administration LDAP sur Active Directory.

 

 

 

 

 

 

 

 

 

Permettre à un non-administrateur de visualiser le conteneur « Deleted Objects »

Seuls les membres du groupe Admins du domaine peuvent visualiser le conteneur « Deleted Objects ». Il reste cependant possible de le rendre visible pour d’autres comptes utilisateurs ou groupes en modifiant les autorisations de sécurité du conteneur  « Deleted Objects ».

Comme le conteneur n’est pas visualisable depuis la console Utilisateurs et ordinateurs Active Directory ou le centre d’administration Active Directory, il n’est pas possible d’en éditer les autorisations de sécurité via une interface graphique. Toutefois, un outil en ligne de commande est disponible pour pallier à cette contrainte: dsacls.

Dsacls est à la base un outil disponible pour gérer les autorisations sur les instances ADAM/AD LDS mais il peut être également utilisé pour automatiser la gestion des autorisations aux conteneurs et aux objets via scripts. L’outil accompagne LDP donc vous pouvez vous référez à ses prérequis pour en disposer.

Ouvrez une invite de commandes et exécutez la commande « dsacls "CN=Deleted Objects,DC=MONDOMAINE,DC=LOCAL" /takeownership » afin de prendre possession de l’objet. Notez qu’en résultat vous obtenez la liste des autorisations du conteneur.

Remarque: dans l’exemple ci-dessous, nous allons prendre possession du conteneur « Deleted Objects » sur le domaine « corpnet.net ».

 

 

 

 

 

Ci-dessous, nous rajoutons les droits de « lecture du contenu » et de « lecture des propriétés » pour le compte jdurand sur le conteneur « Deleted Objects » et avec le commutateur « /g ».

 

 

 

 

 

Si vous voulez supprimer les droits d’accès pour un compte particulier utiliser le commutateur « /r » en précisant le sAMAccountName du compte concerné.

 

 

 

 

Il vous est possible de restaurer à tout moment la sécurité par défaut d’un conteneur à l’aide du commutateur « /resetDefaultDACL ».

 

 

 

 

Dsacls nécessiterait un article dédié. En attendant et si vous désirez approfondir le sujet, je vous convie à consulter les articles Microsoft dsacls et View or Set Permissions on a Directory Object.

Mise à jour le Lundi, 14 Novembre 2011 12:03