Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird erläutert, wie Sie Berechtigungen ändern, sodass Nichtadministratoren den Container für gelöschte Active Directory-Objekte anzeigen können.
Ursprüngliche KB-Nummer: 892806
Übersicht
Wenn ein Active Directory-Objekt gelöscht wird, verbleibt ein kleiner Teil des Objekts für einen bestimmten Zeitraum im Container für gelöschte Objekte. Es bleibt dort, sodass andere Domänencontroller, die Änderungen replizieren, über den Löschvorgang informiert werden. Standardmäßig können nur das Systemkonto und die Mitglieder der Gruppe "Administratoren" den Inhalt dieses Containers anzeigen. In diesem Artikel wird beschrieben, wie Sie die Berechtigungen für den Container für gelöschte Objekte ändern.
Möglicherweise müssen Sie die Berechtigungen für den Container für gelöschte Objekte ändern, wenn die folgenden Bedingungen erfüllt sind:
- Sie verfügen über Unternehmensanwendungen oder -dienste, die eine Bindung an Active Directory mit einem Nicht-Systemkonto oder einem Nicht-Administratorkonto herstellen.
- Diese Unternehmensanwendungen oder Dienste rufen Verzeichnisänderungen ab.
Weitere Informationen
Verwenden Sie das DSACLS.exe Programm, um die Berechtigungen für den Container für gelöschte Objekte so zu ändern, dass Nichtadministratoren diesen Container anzeigen können. Das DSACLS.exe-Programm ist in den Active Directory-Verwaltungstools für den Anwendungsmodus (ADAM) enthalten.
Für Windows Server 2008 und neuer ist das Tool im Betriebssystem enthalten.
Führen Sie für Windows 2000 und Server 2003 dies durch Abrufen und Installieren der ADAM-Verwaltungstools aus:
Laden Sie das ADAM-Einzelhandelspaket herunter.
Weitere Informationen zum Herunterladen Microsoft-Support Dateien finden Sie unter der folgenden Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
119591 Abrufen von Microsoft-Supportdateien von Onlinedienste Microsoft hat diese Datei auf Viren gescannt. Dazu wurde die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war. Die Datei befindet sich auf Servern mit verstärkter Sicherheit, wodurch nicht autorisierte Änderungen an der Datei weitestgehend verhindert werden.Notiz
Diese Version der ADAM-Verwaltungstools ist ein Upgrade von der Version in den Windows Server 2003-Supporttools. Diese Version der ADAM-Verwaltungstools wird von Microsoft Windows Server 2003, Standard Edition unterstützt; Microsoft Windows Server 2003, Enterprise Edition; Microsoft Windows Server 2003, Datacenter Edition; und Microsoft Windows XP Professional.
Um den Inhalt der Datei zu extrahieren, die Sie in Schritt 1 heruntergeladen haben, doppelklicken Sie auf die Datei, und geben Sie dann ein Verzeichnis an, wenn Sie dazu aufgefordert werden.
Doppelklicken Sie im Verzeichnis, in das Sie die Datei in Schritt 2 extrahiert haben, auf das
Adamsetup.exeProgramm, um den Setup-Assistenten für den Active Directory-Anwendungsmodus zu starten, und klicken Sie dann auf Weiter.Überprüfen und akzeptieren Sie die Lizenzbedingungen, und klicken Sie dann auf Weiter.
Wählen Sie nur ADAM-Verwaltungstools aus, und klicken Sie dann auf "Weiter".
Überprüfen Sie Ihre Auswahl, und klicken Sie dann auf "Weiter".
Wenn Setup abgeschlossen ist, klicken Sie auf "Fertig stellen".
Nachdem Sie die ADAM-Verwaltungstools installiert haben, können Sie die Berechtigungen für den Container "Gelöschte Objekte" ändern. Gehen Sie dazu wie folgt vor:
Melden Sie sich mit einem Benutzerkonto an, das Mitglied der Gruppe "Domänenadministratoren" ist.
Klicken Sie auf "Start", zeigen Sie auf "Alle Programme", zeigen Sie auf ADAM, und klicken Sie dann auf "ADAM Tools".
Geben Sie an der Eingabeaufforderung einen Befehl ein, der dem folgenden Beispiel ähnelt: dsacls "CN=Deleted Objects,DC=Contoso,DC=com" /takeownership.
Wenn Sie diesen Befehl eingeben, verwenden Sie den Namen des Containers für gelöschte Objekte für Ihre Domäne.
Jede Domäne in der Gesamtstruktur verfügt über einen eigenen Container für gelöschte Objekte. Die Ausgabe, die dem folgenden Beispiel ähnelt, sollte angezeigt werden:
Besitzer: Contoso\Domain Admins
Gruppe: NT AUTHORITY\SYSTEM
Zugriffsliste:
{Dieses Objekt ist vor dem Erben von Berechtigungen vom übergeordneten Objekt geschützt}
Allow BUILTIN\Administrators SPECIAL ACCESS
LISTENINHALTE
READ-EIGENSCHAFT
NT AUTHORITY\SYSTEM SPECIAL ACCESS zulassen
DELETE
LESEBERECHTIGUNGEN
SCHREIBBERECHTIGUNGEN
ÄNDERN DES BESITZES
UNTERGEORDNETES ELEMENT ERSTELLEN
UNTERGEORDNETES ELEMENT LÖSCHEN
LISTENINHALTE
SELBST SCHREIBEN
WRITE-EIGENSCHAFT
READ-EIGENSCHAFT
Der Befehl wurde erfolgreich abgeschlossen.
Um einem Sicherheitsprinzipal die Berechtigung zum Anzeigen der Objekte im Container für gelöschte Objekte zu erteilen, geben Sie einen Befehl ein, der dem folgenden Beispiel ähnelt: dsacls "CN=Deleted Objects,DC=com" /g CONTOSO\EricLang:LCRP
Die Ausgabe, die dem folgenden Beispiel ähnelt, sollte angezeigt werden:
Besitzer: CONTOSO\Domänenadministratoren
Gruppe: NT AUTHORITY\SYSTEM
Zugriffsliste:
{Dieses Objekt ist vor dem Erben von Berechtigungen vom übergeordneten Objekt geschützt}
Allow BUILTIN\Administrators SPECIAL ACCESS
LISTENINHALTE
READ-EIGENSCHAFT
NT AUTHORITY\SYSTEM SPECIAL ACCESS zulassen
DELETE
LESEBERECHTIGUNGEN
SCHREIBBERECHTIGUNGEN
ÄNDERN DES BESITZES
UNTERGEORDNETES ELEMENT ERSTELLEN
UNTERGEORDNETES ELEMENT LÖSCHEN
LISTENINHALTE
SELBST SCHREIBEN
WRITE-EIGENSCHAFT
READ-EIGENSCHAFT
CONTOSO\EricLang SPECIAL ACCESS zulassen
LISTENINHALTE
READ-EIGENSCHAFT
Der Befehl wurde erfolgreich abgeschlossen.
In diesem Beispiel wurde dem Benutzer "CONTOSO\EricLang" Listeninhalte und Leseeigenschaftsberechtigungen für den Container "gelöschte Objekte" in der Domäne "CONTOSO" erteilt. Diese Berechtigungen ermöglichen es diesem Benutzer, den Inhalt des Containers für gelöschte Objekte anzuzeigen, aber nicht zulassen, dass dieser Benutzer Änderungen an Objekten im Container vornehmen kann. Diese Berechtigungen entsprechen den Standardberechtigungen, die der Gruppe "Administratoren" gewährt werden. Standardmäßig verfügt nur das Systemkonto über die Berechtigung zum Ändern von Objekten im Container für gelöschte Objekte.