ANAVEM
en
Référence
Masterclassmedium

Comment activer la corbeille Active Directory sur Windows Server 2022

Emanuel DE ALMEIDA
3/13/2026 15 MIN 0 VIEWS

Executive Summary

Activez et configurez la Corbeille Active Directory pour récupérer des objets AD supprimés sans sauvegardes. Apprenez les méthodes PowerShell et GUI avec des étapes de vérification.

Quelles sont les conditions préalables pour activer la Corbeille Active Directory sur Windows Server 2022 ?

Avant de plonger dans la configuration, vérifions que votre environnement répond à toutes les exigences. La fonctionnalité de la Corbeille Active Directory nécessite des conditions spécifiques qui doivent être remplies avant l'activation.

Ouvrez une session PowerShell avec élévation de privilèges et vérifiez le niveau fonctionnel de votre forêt :

Import-Module ActiveDirectory
Get-ADForest | Format-List FunctionalLevel

La sortie doit afficher Windows2008R2Forest ou supérieur. Si vous voyez Windows2008Forest ou inférieur, vous devrez d'abord augmenter le niveau fonctionnel en utilisant adprep.exe ou l'interface graphique.

Ensuite, vérifiez que votre version de schéma répond à l'exigence minimale de la version 47 :

Get-ADObject (Get-ADRootDSE).schemaNamingContext -Property objectVersion

Vérifiez que tous les contrôleurs de domaine sont en ligne et répliquent correctement :

repadmin /showrepl
Avertissement : L'activation de la Corbeille AD est totalement irréversible. Une fois activée, vous ne pouvez pas la désactiver. Tous les objets tombstone existants seront définitivement supprimés lorsque vous activerez la fonctionnalité.

Comment activer la Corbeille Active Directory en utilisant la méthode GUI ?

La méthode graphique fournit une confirmation visuelle et est parfaite pour une configuration unique. Ouvrez le Gestionnaire de serveur et accédez à Outils > Centre d'administration Active Directory, ou exécutez dsac.exe à partir d'une invite de commande avec élévation de privilèges.

Dans ADAC, sélectionnez votre domaine dans le volet de navigation de gauche. Si votre domaine n'est pas visible, cliquez sur Gérer > Ajouter des nœuds de navigation et ajoutez votre domaine manuellement.

Cherchez le volet Tâches sur le côté droit et cliquez sur Activer la Corbeille. Une boîte de dialogue d'avertissement apparaîtra expliquant que cette action est irréversible et supprimera les objets tombstone existants. Cliquez sur OK pour procéder à l'activation.

Une seconde boîte de dialogue vous invitera à actualiser le Centre d'administration. Cliquez sur OK puis appuyez sur F5 ou cliquez sur l'icône d'actualisation pour mettre à jour l'interface.

Après actualisation, vérifiez l'activation en vérifiant que l'option "Activer la Corbeille" est maintenant grisée et qu'un nouveau conteneur "Objets supprimés" apparaît dans votre arbre de navigation de domaine.

Astuce pro : Si vous avez plusieurs domaines dans votre forêt, l'activation de la Corbeille dans un domaine l'active automatiquement pour toute la forêt. Vous n'avez besoin de réaliser cette opération qu'une seule fois par forêt.

Quels sont les commandes PowerShell pour activer la Corbeille Active Directory ?

Pour les scénarios d'automatisation ou lorsque l'accès à l'interface graphique n'est pas disponible, PowerShell fournit une solution scriptable. Tout d'abord, rassemblez les informations requises sur la forêt :

$ForestDN = (Get-ADRootDSE).rootDomainNamingContext
$ForestName = (Get-ADForest).Name
Write-Host "Forest DN: $ForestDN"
Write-Host "Forest Name: $ForestName"

Activez maintenant la fonctionnalité de la Corbeille en utilisant la cmdlet Enable-ADOptionalFeature avec le chemin exact du nom distingué :

Enable-ADOptionalFeature -Identity "CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Services,CN=Configuration,$ForestDN" -Scope ForestOrConfigurationSet -Target $ForestName

Lorsque vous y êtes invité, tapez Y et appuyez sur Entrée pour confirmer cette opération irréversible.

Vérifiez l'activation réussie en vérifiant l'état de la fonctionnalité :

Get-ADOptionalFeature -Filter 'Name -eq "Recycle Bin Feature"' | Format-List Name,EnabledScopes

La propriété EnabledScopes doit afficher votre DN de forêt, confirmant que la fonctionnalité est active dans toute votre forêt.

Comment configurer les paramètres de durée de vie des objets supprimés dans Active Directory ?

La période de rétention par défaut pour les objets supprimés est de 180 jours, mais vous pouvez l'ajuster en fonction des besoins de récupération de votre organisation. Vérifiez le paramètre actuel deletedObjectLifetime :

Get-ADObject "CN=Directory Service,CN=Services,CN=Configuration,$((Get-ADRootDSE).configurationNamingContext)" -Properties deletedObjectLifetime | Format-List deletedObjectLifetime

Si la valeur affiche <not set>, le système utilise la rétention par défaut de 180 jours. Pour modifier ce paramètre (par exemple, l'étendre à 365 jours) :

Set-ADObject "CN=Directory Service,CN=Services,CN=Configuration,$((Get-ADRootDSE).configurationNamingContext)" -Replace @{deletedObjectLifetime=365}

Vérifiez également le paramètre de durée de vie des tombstones, qui détermine quand les objets sont définitivement purgés du système :

Get-ADObject "CN=Directory Service,CN=Services,CN=Configuration,$((Get-ADRootDSE).configurationNamingContext)" -Properties tombstoneLifetime | Format-List tombstoneLifetime

La durée de vie des tombstones doit toujours être plus longue que la durée de vie des objets supprimés pour assurer un séquencement correct du nettoyage.

Astuce pro : Alignez votre deletedObjectLifetime avec votre politique de rétention de sauvegarde. Cela offre plusieurs options de récupération et garantit que vous ne dépendez pas uniquement de la Corbeille pour les scénarios de récupération à long terme.

Comment tester et vérifier la fonctionnalité de la Corbeille Active Directory ?

Tester la Corbeille garantit qu'elle fonctionne correctement avant d'en avoir besoin en cas d'urgence. Créez une unité d'organisation de test dans ADAC en cliquant avec le bouton droit sur votre domaine et en sélectionnant Nouveau > Unité d'organisation. Nommez-la "Test-RecycleBin-OU" pour une identification facile.

Après avoir créé l'UO, cliquez dessus avec le bouton droit et sélectionnez Supprimer. Confirmez la suppression lorsque le système vous y invite.

Accédez au conteneur Objets supprimés dans ADAC. Vous devriez voir votre UO supprimée répertoriée avec une icône X rouge et des métadonnées supplémentaires indiquant quand elle a été supprimée et son emplacement d'origine.

Pour restaurer l'objet, cliquez avec le bouton droit sur l'UO supprimée et sélectionnez Restaurer pour la renvoyer à son emplacement d'origine. Sinon, choisissez "Restaurer vers" pour spécifier un conteneur parent différent pour l'objet restauré.

Vérifiez la restauration en naviguant à nouveau vers la racine de votre domaine et en confirmant que l'UO apparaît avec toutes ses propriétés d'origine intactes.

Quels sont les commandes PowerShell pour récupérer des objets Active Directory supprimés ?

PowerShell offre des capacités puissantes pour les opérations de récupération en masse et l'automatisation. Pour afficher tous les objets supprimés dans votre domaine :

Get-ADObject -Filter 'isDeleted -eq $true' -IncludeDeletedObjects -Properties Name,Deleted,LastKnownParent | Format-Table Name,Deleted,LastKnownParent -AutoSize

Pour restaurer un objet spécifique par nom :

Get-ADObject -Filter 'isDeleted -eq $true -and Name -eq "Test-RecycleBin-OU"' -IncludeDeletedObjects | Restore-ADObject

Pour des scénarios de récupération plus complexes, vous pouvez restaurer des objets à différents emplacements :

$DeletedObject = Get-ADObject -Filter 'isDeleted -eq $true -and Name -eq "Test-RecycleBin-OU"' -IncludeDeletedObjects
Restore-ADObject -Identity $DeletedObject -TargetPath "OU=Restored,DC=yourdomain,DC=com"

Pour effectuer une récupération en masse d'objets récemment supprimés (au cours des dernières 24 heures) :

$Yesterday = (Get-Date).AddDays(-1)
Get-ADObject -Filter 'isDeleted -eq $true' -IncludeDeletedObjects -Properties Deleted | Where-Object {$_.Deleted -gt $Yesterday} | Restore-ADObject

Vérifiez la récupération réussie en interrogeant les objets sans le paramètre -IncludeDeletedObjects pour confirmer qu'ils sont visibles dans les opérations AD normales.

Comment surveiller et maintenir les performances de la Corbeille Active Directory ?

Une surveillance régulière prévient les problèmes de performance et garantit que la Corbeille fonctionne efficacement. Créez un script de surveillance pour suivre le nombre d'objets supprimés et la distribution par âge :

$DeletedObjects = Get-ADObject -Filter 'isDeleted -eq $true' -IncludeDeletedObjects -Properties Name,Deleted,objectClass
$TotalCount = $DeletedObjects.Count
$OldObjects = $DeletedObjects | Where-Object {$_.Deleted -lt (Get-Date).AddDays(-150)}

Write-Host "Total deleted objects: $TotalCount"
Write-Host "Objects older than 150 days: $($OldObjects.Count)"

# Group by object type for analysis
$DeletedObjects | Group-Object objectClass | Sort-Object Count -Descending | Format-Table Name,Count

Planifiez ce script pour qu'il s'exécute chaque semaine et alertez les administrateurs si le nombre d'objets supprimés devient anormalement élevé, ce qui pourrait indiquer des événements de suppression en masse ou des problèmes de sécurité potentiels.

Surveillez la santé de la réplication pour vous assurer que les objets supprimés se répliquent correctement sur tous les contrôleurs de domaine :

repadmin /replsummary

Vérifiez les erreurs de réplication qui pourraient affecter la fonctionnalité de la Corbeille :

repadmin /showrepl * /errorsonly
Avertissement : Un grand nombre d'objets supprimés peut affecter les performances d'Active Directory. Envisagez de purger les objets supprimés très anciens si votre Corbeille contient des milliers d'éléments et que vous disposez d'une couverture de sauvegarde adéquate pour ces périodes.

Quelles stratégies de sauvegarde complètent la Corbeille Active Directory ?

Bien que la Corbeille offre une excellente protection contre les suppressions accidentelles, elle ne remplace pas une stratégie de sauvegarde complète. La Corbeille ne peut pas protéger contre la corruption de la base de données AD, les suppressions en masse malveillantes dépassant votre période de rétention, ou les modifications d'attributs (elle ne protège que les suppressions).

Configurez Windows Server Backup pour des sauvegardes régulières de l'état du système :

wbadmin start systemstatebackup -backupTarget:E: -quiet

Documentez des procédures de récupération complètes et formez votre équipe à la fois sur la récupération de la Corbeille et sur les méthodes de restauration autoritaire traditionnelles. Votre manuel de récupération doit inclure des procédures étape par étape pour identifier les objets supprimés, des commandes PowerShell pour la récupération en masse, des procédures d'escalade pour les scénarios complexes, et les coordonnées des administrateurs principaux.

Testez vos procédures de récupération trimestriellement en supprimant délibérément des objets de test et en les récupérant à l'aide des méthodes GUI et PowerShell. Cela garantit que votre équipe peut exécuter des opérations de récupération efficacement lors d'incidents réels.

Vérifiez que votre stratégie de sauvegarde couvre à la fois les scénarios de récupération de la Corbeille et les situations de restauration autoritaire traditionnelles. Testez ces procédures dans un environnement de laboratoire avant de les mettre en œuvre en production pour éviter les surprises lors des opérations de récupération critiques.

Astuce pro : Créez des fonctions PowerShell personnalisées pour les tâches de récupération courantes et stockez-les dans votre profil PowerShell. Cela accélère considérablement les opérations de récupération lors de situations de stress élevé où chaque minute compte.

Step-by-Step Implementation

1

Vérifier les prérequis et le niveau fonctionnel de la forêt

Avant d'activer la Corbeille, vérifiez que votre forêt répond aux exigences minimales. Ouvrez une session PowerShell avec élévation de privilèges et vérifiez le niveau fonctionnel de votre forêt.

Import-Module ActiveDirectory
Get-ADForest | Format-List FunctionalLevel

La sortie devrait afficher Windows2008R2Forest ou supérieur. Si elle affiche Windows2008Forest ou inférieur, vous devrez d'abord augmenter le niveau fonctionnel.

Ensuite, vérifiez que votre version de schéma répond aux exigences :

Get-ADObject (Get-ADRootDSE).schemaNamingContext -Property objectVersion

L'objectVersion devrait être 47 ou supérieur. Vérifiez également que tous les contrôleurs de domaine répliquent correctement :

repadmin /showrepl
Avertissement : L'activation de la Corbeille AD est irréversible. Une fois activée, vous ne pouvez pas la désactiver. Tous les objets tombstone existants seront définitivement supprimés lorsque vous activerez la fonctionnalité.
2

Activer la Corbeille à l'aide du Centre d'administration Active Directory

La méthode GUI est simple et fournit une confirmation visuelle. Ouvrez le Gestionnaire de serveur et accédez à Outils > Centre d'administration Active Directory, ou exécutez dsac.exe à partir d'une invite de commande avec élévation de privilèges.

Dans ADAC, sélectionnez votre domaine dans le volet de navigation de gauche. Si votre domaine n'est pas visible, cliquez sur Gérer > Ajouter des nœuds de navigation et ajoutez votre domaine.

Dans le volet Tâches à droite, cliquez sur Activer la Corbeille. Vous verrez une boîte de dialogue d'avertissement expliquant que cette action est irréversible et supprimera les objets tombstone existants. Cliquez sur OK pour continuer.

Une deuxième boîte de dialogue apparaîtra vous demandant de rafraîchir le Centre d'administration. Cliquez sur OK puis appuyez sur F5 ou cliquez sur l'icône de rafraîchissement.

Vérification : Après le rafraîchissement, l'option "Activer la Corbeille" devrait être grisée, et vous devriez voir un nouveau conteneur "Objets supprimés" dans la navigation de votre domaine.

Astuce pro : Si vous avez plusieurs domaines dans votre forêt, l'activation de la Corbeille dans un domaine l'active automatiquement pour toute la forêt dans tous les domaines.
3

Activer la Corbeille à l'aide de commandes PowerShell

Pour l'automatisation ou lorsque l'accès à l'interface graphique n'est pas disponible, utilisez PowerShell. Tout d'abord, obtenez le nom de domaine racine de votre forêt et le nom distingué :

$ForestDN = (Get-ADRootDSE).rootDomainNamingContext
$ForestName = (Get-ADForest).Name
Write-Host "Forest DN: $ForestDN"
Write-Host "Forest Name: $ForestName"

Activez maintenant la fonctionnalité de la Corbeille en utilisant le cmdlet Enable-ADOptionalFeature :

Enable-ADOptionalFeature -Identity "CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Services,CN=Configuration,$ForestDN" -Scope ForestOrConfigurationSet -Target $ForestName

Lorsque vous y êtes invité, tapez Y et appuyez sur Entrée pour confirmer l'opération irréversible.

Vérification : Vérifiez que la fonctionnalité est activée :

Get-ADOptionalFeature -Filter 'Name -eq "Recycle Bin Feature"' | Format-List Name,EnabledScopes

Les EnabledScopes devraient afficher votre DN de forêt, confirmant l'activation réussie.

4

Configurer les paramètres de durée de vie des objets supprimés

Par défaut, les objets supprimés restent dans la Corbeille pendant 180 jours (deletedObjectLifetime). Vous pouvez modifier cette valeur en fonction des besoins de votre organisation. Vérifiez le paramètre actuel :

Get-ADObject "CN=Directory Service,CN=Services,CN=Configuration,$((Get-ADRootDSE).configurationNamingContext)" -Properties deletedObjectLifetime | Format-List deletedObjectLifetime

Si la valeur est <not set>, elle est par défaut de 180 jours. Pour la modifier (par exemple, à 365 jours) :

Set-ADObject "CN=Directory Service,CN=Services,CN=Configuration,$((Get-ADRootDSE).configurationNamingContext)" -Replace @{deletedObjectLifetime=365}

Vérifiez également la durée de vie des tombstones, qui détermine quand les objets sont définitivement purgés :

Get-ADObject "CN=Directory Service,CN=Services,CN=Configuration,$((Get-ADRootDSE).configurationNamingContext)" -Properties tombstoneLifetime | Format-List tombstoneLifetime

La durée de vie des tombstones doit être plus longue que la durée de vie des objets supprimés pour assurer un nettoyage approprié.

Astuce pro : Définissez deletedObjectLifetime pour correspondre à votre politique de rétention de sauvegarde. Cela garantit que vous avez plusieurs options de récupération disponibles.
5

Test de suppression et récupération d'objet via GUI

Créez une unité d'organisation de test pour vérifier la fonctionnalité de la Corbeille. Dans ADAC, cliquez avec le bouton droit sur votre domaine et sélectionnez Nouveau > Unité d'organisation. Nommez-la "Test-RecycleBin-OU".

Après avoir créé l'OU, cliquez dessus avec le bouton droit et sélectionnez Supprimer. Confirmez la suppression lorsque vous y êtes invité.

Maintenant, naviguez vers le conteneur Objets supprimés dans ADAC. Vous devriez voir votre OU supprimée listée avec une icône X rouge et des attributs supplémentaires indiquant quand elle a été supprimée.

Pour restaurer l'objet, cliquez avec le bouton droit sur l'OU supprimée et sélectionnez Restaurer. L'objet sera restauré à son emplacement d'origine. Alternativement, sélectionnez "Restaurer vers" pour choisir un autre conteneur parent.

Vérification : Retournez à la racine de votre domaine et confirmez que l'OU a été restaurée avec toutes ses propriétés d'origine intactes.

Nettoyez en supprimant à nouveau l'OU de test (vous pouvez la laisser dans Objets supprimés pour des tests futurs).

6

Récupérer des objets supprimés à l'aide de PowerShell

PowerShell offre plus de flexibilité pour les opérations en masse et les scripts. Pour afficher tous les objets supprimés dans votre domaine :

Get-ADObject -Filter 'isDeleted -eq $true' -IncludeDeletedObjects -Properties Name,Deleted,LastKnownParent | Format-Table Name,Deleted,LastKnownParent -AutoSize

Pour restaurer un objet spécifique par nom (remplacez "Test-RecycleBin-OU" par le nom de votre objet) :

Get-ADObject -Filter 'isDeleted -eq $true -and Name -eq "Test-RecycleBin-OU"' -IncludeDeletedObjects | Restore-ADObject

Pour des scénarios plus complexes, vous pouvez restaurer des objets à différents emplacements :

$DeletedObject = Get-ADObject -Filter 'isDeleted -eq $true -and Name -eq "Test-RecycleBin-OU"' -IncludeDeletedObjects
Restore-ADObject -Identity $DeletedObject -TargetPath "OU=Restored,DC=yourdomain,DC=com"

Pour restaurer tous les objets supprimés au cours des dernières 24 heures :

$Yesterday = (Get-Date).AddDays(-1)
Get-ADObject -Filter 'isDeleted -eq $true' -IncludeDeletedObjects -Properties Deleted | Where-Object {$_.Deleted -gt $Yesterday} | Restore-ADObject

Vérification : Utilisez Get-ADObject sans le paramètre -IncludeDeletedObjects pour confirmer que les objets restaurés sont visibles dans les requêtes AD normales.

7

Surveiller et entretenir la Corbeille

Une surveillance régulière garantit que la Corbeille fonctionne correctement et ne consomme pas d'espace excessif. Créez un script de surveillance pour vérifier le nombre et l'âge des objets supprimés :

$DeletedObjects = Get-ADObject -Filter 'isDeleted -eq $true' -IncludeDeletedObjects -Properties Name,Deleted,objectClass
$TotalCount = $DeletedObjects.Count
$OldObjects = $DeletedObjects | Where-Object {$_.Deleted -lt (Get-Date).AddDays(-150)}

Write-Host "Total des objets supprimés : $TotalCount"
Write-Host "Objets de plus de 150 jours : $($OldObjects.Count)"

# Regrouper par type d'objet
$DeletedObjects | Group-Object objectClass | Sort-Object Count -Descending | Format-Table Name,Count

Configurez une tâche planifiée pour exécuter ce script chaque semaine et alerter les administrateurs si le nombre devient anormalement élevé.

Surveillez la santé de la réplication pour vous assurer que les objets supprimés se répliquent correctement sur tous les contrôleurs de domaine :

repadmin /replsummary

Vérifiez les erreurs de réplication qui pourraient affecter la fonctionnalité de la Corbeille :

repadmin /showrepl * /errorsonly
Avertissement : Un grand nombre d'objets supprimés peut affecter les performances d'AD. Envisagez de purger les objets supprimés très anciens si votre Corbeille contient des milliers d'éléments et que vous disposez d'une couverture de sauvegarde adéquate.
8

Mettre en œuvre une stratégie de sauvegarde et les meilleures pratiques

Bien que la Corbeille offre une excellente protection contre les suppressions accidentelles, maintenez une stratégie de sauvegarde complète. La Corbeille ne protège pas contre :

  • Corruption de la base de données AD
  • Suppressions massives malveillantes qui dépassent votre période de rétention
  • Modifications d'attributs (seules les suppressions sont protégées)

Configurez Windows Server Backup pour créer des sauvegardes régulières de l'état du système :

wbadmin start systemstatebackup -backupTarget:E: -quiet

Documentez vos procédures de récupération et formez votre équipe sur les procédures de récupération de la Corbeille et de restauration autoritaire. Créez un runbook de récupération qui inclut :

  • Étapes pour identifier les objets supprimés
  • Commandes PowerShell pour la récupération en masse
  • Procédures d'escalade pour les scénarios complexes
  • Informations de contact pour les administrateurs seniors

Testez vos procédures de récupération trimestriellement en supprimant délibérément des objets de test et en les récupérant à l'aide des méthodes GUI et PowerShell.

Vérification : Assurez-vous que votre stratégie de sauvegarde couvre à la fois la récupération de la Corbeille et les scénarios de restauration autoritaire traditionnelle. Testez les procédures de restauration dans un environnement de laboratoire avant de les mettre en œuvre en production.

Astuce pro : Créez des fonctions PowerShell pour les tâches de récupération courantes et stockez-les dans votre profil PowerShell. Cela accélère les opérations de récupération lors de situations stressantes.

Intelligence Complémentaire

Approfondissez vos connaissances

Changer le nom du dossier de profil utilisateur dans Windows 11 25H2
tutorial
Windows

Changer le nom du dossier de profil utilisateur dans Windows 11 25H2

Explorer
Bloquer les lecteurs USB à l'aide des politiques de réduction de la surface d'attaque de Microsoft Intune
tutorial
Cybersecurity

Bloquer les lecteurs USB à l'aide des politiques de réduction de la surface d'attaque de Microsoft Intune

Explorer
Vérifier si votre PC possède les nouveaux certificats Secure Boot 2023 (Windows UEFI CA 2023)
tutorial
Cybersecurity

Vérifier si votre PC possède les nouveaux certificats Secure Boot 2023 (Windows UEFI CA 2023)

Explorer

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...