Как разрешить неадминистраторам просматривать контейнер удаленных объектов Active Directory
В этой статье объясняется, как изменить разрешения, чтобы пользователи, не являющиеся администраторами, могли просматривать контейнер удаленных объектов Active Directory.
Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 892806
Сводка
При удалении объекта Active Directory небольшая часть объекта остается в контейнере удаленных объектов в течение указанного времени. Он остается там, чтобы другие контроллеры домена, которые реплицируют изменения, узнали об удалении. По умолчанию только системная учетная запись и члены группы администраторов могут просматривать содержимое этого контейнера. В этой статье описывается изменение разрешений для контейнера удаленных объектов.
При выполнении следующих условий может потребоваться изменить разрешения для контейнера удаленных объектов:
- У вас есть корпоративные приложения или службы, которые привязываются к Active Directory с помощью учетной записи, отличной от системной или неадминистрационной.
- Эти корпоративные приложения или службы опроса на наличие изменений каталога.
Дополнительная информация
Чтобы изменить разрешения на контейнер удаленных объектов, чтобы пользователи, не являющиеся администраторами, могли просматривать этот контейнер, используйте программу DSACLS.exe. Программа DSACLS.exe входит в состав средств администрирования режима приложений Active Directory (ADAM).
Для Windows Server 2008 и более поздней версии средство входит в операционную систему.
Для Windows 2000 и Server 2003 это можно сделать, получив и установив средства администрирования ADAM, выполните следующие действия.
Скачайте розничный пакет ADAM.
Дополнительные сведения о том, как скачать служба поддержки Майкрософт файлы, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:
119591 Как получить файлы поддержки Майкрософт от веб-службы корпорация Майкрософт проверила этот файл на наличие вирусов. Корпорация Майкрософт использовала самое последнее программное обеспечение для обнаружения вирусов, доступное на дату публикации файла. Файл хранится на серверах с повышенной безопасностью, которые помогают предотвратить любые несанкционированные изменения файла.Примечание.
Эта версия средств администрирования ADAM является обновлением версии в средствах поддержки Windows Server 2003. Эта версия средств администрирования ADAM поддерживается Microsoft Windows Server 2003, Standard Edition; Microsoft Windows Server 2003, выпуск Enterprise; Microsoft Windows Server 2003, Datacenter Edition; и Microsoft Windows XP Professional.
Чтобы извлечь содержимое файла, загруженного на шаге 1, дважды щелкните файл, а затем укажите каталог при появлении запроса.
В каталоге, в который вы извлекли файл на шаге 2, дважды щелкните
Adamsetup.exeпрограмму, чтобы запустить мастер настройки режима приложения Active Directory, а затем нажмите кнопку Далее.Прочитайте и примите условия лицензионного соглашения, а затем нажмите кнопку Далее.
Выберите Только средства администрирования ADAM и нажмите кнопку Далее.
Просмотрите выбранные параметры и нажмите кнопку Далее.
После завершения установки нажмите кнопку Готово.
После установки средств администрирования ADAM можно изменить разрешения на контейнер удаленных объектов. Для этого выполните следующие действия:
Войдите в систему с учетной записью пользователя, которая является членом группы "Администраторы домена ".
Нажмите кнопку Пуск, наведите указатель мыши на пункт Все программы, наведите указатель на adam, а затем выберите пункт Командная строка инструментов ADAM.
В командной строке введите команду, аналогичную следующему примеру: dsacls "CN=Deleted Objects,DC=Contoso,DC=com" /takeownership.
При вводе этой команды используйте имя контейнера удаленных объектов для домена.
Каждый домен в лесу будет иметь собственный контейнер удаленных объектов. Должны отображаться выходные данные, аналогичные следующему примеру:
Владелец: Contoso\Domain Admins
Группа: NT AUTHORITY\SYSTEM
Список доступа:
{Этот объект защищен от наследования разрешений от родительского объекта}
Разрешить BUILTIN\Administrators SPECIAL ACCESS
СОДЕРЖИМОЕ СПИСКА
READ PROPERTY
Разрешить NT AUTHORITY\SYSTEM SPECIAL ACCESS
DELETE
ЧТЕНИЕ PERMISSONS
РАЗРЕШЕНИЯ НА ЗАПИСЬ
СМЕНА ВЛАДЕЛЬЦА
CREATE CHILD
DELETE CHILD
СОДЕРЖИМОЕ СПИСКА
САМОСТОЯТЕЛЬНОЕ НАПИСАНИЕ
СВОЙСТВО WRITE
READ PROPERTY
Команда успешно завершена
Чтобы предоставить субъекту безопасности разрешение на просмотр объектов в контейнере удаленных объектов, введите команду, аналогичную следующему примеру: dsacls "CN=Deleted Objects,DC=Contoso,DC=com" /g CONTOSO\EricLang:LCRP
Должны отображаться выходные данные, аналогичные следующему примеру:
Владелец: CONTOSO\Domain Admins
Группа: NT AUTHORITY\SYSTEM
Список доступа:
{Этот объект защищен от наследования разрешений от родительского объекта}
Разрешить BUILTIN\Administrators SPECIAL ACCESS
СОДЕРЖИМОЕ СПИСКА
READ PROPERTY
Разрешить NT AUTHORITY\SYSTEM SPECIAL ACCESS
DELETE
ЧТЕНИЕ PERMISSONS
РАЗРЕШЕНИЯ НА ЗАПИСЬ
СМЕНА ВЛАДЕЛЬЦА
CREATE CHILD
DELETE CHILD
СОДЕРЖИМОЕ СПИСКА
САМОСТОЯТЕЛЬНОЕ НАПИСАНИЕ
СВОЙСТВО WRITE
READ PROPERTY
Разрешить CONTOSO\EricLang SPECIAL ACCESS
СОДЕРЖИМОЕ СПИСКА
READ PROPERTY
Команда успешно завершена
В этом примере пользователю CONTOSO\EricLang предоставлены разрешения На содержимое списка и Чтение свойств в контейнере удаленных объектов в домене CONTOSO. Эти разрешения позволяют пользователю просматривать содержимое контейнера удаленных объектов, но не позволяют этому пользователю вносить какие-либо изменения в объекты в контейнере. Эти разрешения эквивалентны разрешениям по умолчанию, предоставленным группе администраторов. По умолчанию только системная учетная запись имеет разрешение на изменение объектов в контейнере удаленных объектов.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по