Qu'est-ce que Active Directory Forest Recovery?

Avant de parler de Active Directory Forest Recovery, essayons de voir quels sont les différents scénarios de récupération, et à quel moment j'aurai besoin de chacun d'entre eux.

(Note : si vous n'êtes ici que pour le titre, allez jusqu'au bas de l'article).

La première, et la plus simple, est la récupération d'objets.

La récupération d'objets est le processus de récupération d'un objet (ou d'objets) qui a été supprimé. Cela peut résulter d'une erreur humaine, d'une erreur matérielle (la solution de gestion des identités déprovisionne par erreur un utilisateur) ou d'une violation de la sécurité, qui fera l'objet d'une section distincte.

La récupération d'objets est relativement facile, notamment grâce à la fonction de corbeille introduite par Windows 2008 R2 (plus d'informations à ce sujet ici : https://technet.microsoft.com/en-us/library/dd379542(v=ws.10).aspx).

La deuxième, qui n'est pas très difficile non plus, est la récupération du serveur.

Supposons que vous ayez un contrôleur de domaine sur deux (au moins, sinon , s'il vous plaît, promouvez immédiatement le deuxième), et que ce serveur subisse une défaillance matérielle. Quelle est la chose la plus simple à faire pour récupérer un DC ? Eh bien, il suffit de le promouvoir ! Comme il n'y a pas de différence entre un DC et le suivant, la récupération d'un serveur est aussi simple que de promouvoir ce contrôleur de domaine spécifique à partir de zéro. Évidemment, vous voudrez peut-être garder le même nom et la même adresse IP, mais si vous vous êtes procuré un guide de construction, vous devriez savoir comment construire un contrôleur de domaine à partir de zéro.

Le troisième est la récupération de domaine.

Avec une récupération de domaine, vous récupérez un seul domaine dans une forêt entière. Quelle peut en être la cause ? Eh bien, à commencer par l'erreur humaine, mais en général, cela est dû à des défaillances matérielles multiples (tous les DC du DomainX ont disparu, ou s'il n'y en a qu'un seul), à des suppressions massives dans la base de données, ou à des problèmes de configuration. La récupération d'un domaine est un peu difficile à expliquer dans un seul article de blog, mais j'aborderai certainement le sujet de la récupération d'un seul domaine dans un environnement de forêt dans un article ultérieur.

C'est là que les choses se compliquent

Récupération d'attributs

Imaginons que vous exécutiez accidentellement un script qui supprime le contenu de l'attribut du prénom de chaque personne. Comment récupérer cette information ? Soit vous procédez à une récupération d'objet pour tous les utilisateurs, mais vous risquez alors de manquer des modifications, en fonction de la date à laquelle la sauvegarde a été effectuée.

Imaginons maintenant que cela ait été fait par quelqu'un d'autre, comme un bogue dans un logiciel ou une faille de sécurité dans l'organisation qui aurait permis à un pirate de manipuler votre contenu ?

Pour l'instant, il n'existe pas de solution parfaite à ce problème. Vous pourriez utiliser des instantanés et les utiliser comme référence, mais faire passer le bon contenu de l'instantané à la base de données active pourrait facilement devenir un cauchemar pour l'IDE (de plus, trouver la différence entre l'instantané et la base de données active n'est pas non plus une tâche facile).

Et mon préféré : Active Directory Forest Recovery

Pour cela, je vais me tourner vers le livre blanc de Microsoft sur la récupération des forêts : https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/manage/ad-forest-recovery-guide.

Et citez la section intitulée "Décider quand effectuer une récupération forestière":

Tous les contrôleurs de domaine ont été logiquement corrompus ou physiquement endommagés au point que la continuité des activités est impossible ; par exemple, toutes les applications commerciales qui dépendent d'AD DS ne fonctionnent pas.

Un administrateur malhonnête a compromis l'environnement Active Directory.

Un attaquant exécute intentionnellement ou un administrateur exécute accidentellement un script qui corrompt les données dans la forêt.

Un pirate ou un administrateur étend accidentellement le schéma Active Directory en y apportant des modifications malveillantes ou contradictoires.

Aucun des contrôleurs de domaine ne peut répliquer avec ses partenaires de réplication.

Aucun contrôleur de domaine ne peut modifier AD DS.

Les nouveaux contrôleurs de domaine ne peuvent être installés dans aucun domaine.

Comment procéder ? Les pages 29 à 54 du livre blanc décrivent en détail les étapes à suivre.

Semperis figure sur la liste Deloitte Tech Fast 500 pour la troisième année consécutive

Semperis se classe parmi les cinq entreprises américaines à la croissance la plus rapide dans le domaine de la cybersécurité

Semperis remporte le prestigieux Partner Program Guide de CRN deux années de suite

Le point de vue du RSSI sur la sécurité fondée sur l'identité, avec Simon Hodgkinson

Semperis figure sur la "Cyber 60 List" de 2023 du magazine Fortune

Qu'est-ce que Active Directory Forest Recovery?

Semperis figure sur la liste Deloitte Tech Fast 500 pour la troisième année consécutive

Semperis se classe parmi les cinq entreprises américaines à la croissance la plus rapide dans le domaine de la cybersécurité

Semperis remporte le prestigieux Partner Program Guide de CRN deux années de suite

Le point de vue du RSSI sur la sécurité fondée sur l'identité, avec Simon Hodgkinson

Semperis figure sur la "Cyber 60 List" de 2023 du magazine Fortune

Qu'est-ce que Active Directory Forest Recovery?

S'inscrire pour recevoir les actualités de Semperis