通过

如何让非管理员查看 Active Directory 已删除的对象容器

本文介绍如何更改权限,以便非管理员可以查看 Active Directory 已删除的对象容器。

原始 KB 数: 892806

总结

删除 Active Directory 对象后,一小部分对象将保留在已删除的对象容器中一段时间。 它保持不变,以便复制更改的其他域控制器将意识到删除。 默认情况下,只有系统帐户和管理员组的成员才能查看此容器的内容。 本文介绍如何修改对已删除对象容器的权限。

如果满足以下条件,可能需要修改对已删除对象容器的权限:

  • 你有企业应用程序或服务,这些服务使用非系统帐户或非管理员帐户绑定到 Active Directory。
  • 这些企业应用程序或服务轮询目录更改。

详细信息

若要修改对已删除对象容器的权限,以便非管理员可以查看此容器,请使用DSACLS.exe程序。 DSACLS.exe程序包含在 Active Directory 应用程序模式(ADAM)管理工具中。

对于 Windows Server 2008 和更新工具,该工具包含在操作系统中。

对于 Windows 2000 和 Server 2003,可以通过获取和安装 ADAM 管理工具来完成此操作,请执行以下步骤:

  1. 下载 ADAM 零售包。

    有关如何下载Microsoft 支持部门文件的详细信息,请单击以下文章编号以查看Microsoft知识库中的文章:
    119591如何从联机服务获取Microsoft支持文件,Microsoft扫描此文件以获取病毒。 Microsoft 使用的是文件发布时可以获得的最新病毒检测软件。 该文件存储在安全性得到增强的服务器上,以防止对文件进行未经授权的更改。

    注意

    此版本的 ADAM 管理工具是从 Windows Server 2003 支持工具中的版本升级。 Microsoft Windows Server 2003 标准版支持此版本的 ADAM 管理工具;Microsoft Windows Server 2003 企业版;Microsoft Windows Server 2003,Datacenter Edition;Microsoft Windows XP Professional。

  2. 若要提取在步骤 1 中下载的文件的内容,请双击该文件,然后在系统提示时指定目录。

  3. 在将文件解压缩到步骤 2 的目录中,双击 Adamsetup.exe 程序以启动 Active Directory 应用程序模式安装向导,然后单击“ 下一步”。

  4. 查看和接受许可条款,然后单击“下一步”

  5. 仅选择 ADAM 管理工具,然后单击“下一步”。

  6. 查看所选内容,然后单击“ 下一步”。

  7. 安装完成后,单击“ 完成”。

安装 ADAM 管理工具后,可以修改对已删除对象容器的权限。 为此,请按照下列步骤进行操作:

  1. 使用属于域管理员组成员的用户帐户登录。

  2. 单击“开始”,指向“所有程序”,指向 ADAM,然后单击“ADAM 工具命令提示符”。

  3. 在命令提示符处,键入类似于以下示例的命令:dsacls “CN=Deleted Objects,DC=Contoso,DC=com” /takeownership。

    • 键入此命令时,请使用域的已删除对象容器的名称。

    • 林中的每个域都有其自己的已删除对象容器。 应显示类似于以下示例的输出:

      所有者:Contoso\Domain Admins
      组:NT AUTHORITY\SYSTEM
      访问列表:
      {此对象受从父对象继承权限的保护}
      允许 BUILTIN\Administrators SPECIAL ACCESS
      列出内容
      READ 属性
      允许 NT AUTHORITY\SYSTEM SPECIAL ACCESS
      DELETE
      读取 PERMISSONS
      写入权限
      更改所有权
      CREATE CHILD
      DELETE CHILD
      列出内容
      WRITE SELF
      WRITE 属性
      READ 属性
      命令成功完成

  4. 若要授予安全主体查看已删除对象容器中的对象的权限,请键入类似于以下示例的命令:dsacls“CN=Deleted Objects,DC=Contoso,DC=com” /g CONTOSO\EricLang:LCRP

    应显示类似于以下示例的输出:

    所有者:CONTOSO\域管理员
    组:NT AUTHORITY\SYSTEM
    访问列表:
    {此对象受从父对象继承权限的保护}
    允许 BUILTIN\Administrators SPECIAL ACCESS
    列出内容
    READ 属性
    允许 NT AUTHORITY\SYSTEM SPECIAL ACCESS
    DELETE
    读取 PERMISSONS
    写入权限
    更改所有权
    CREATE CHILD
    DELETE CHILD
    列出内容
    WRITE SELF
    WRITE 属性
    READ 属性
    允许 CONTOSO\EricLang SPECIAL ACCESS
    列出内容
    READ 属性
    命令成功完成

在此示例中,用户“CONTOSO\EricLang”已被授予“CONTOSO”域中已删除对象容器的列表内容和读取属性权限。 这些权限允许用户查看已删除的对象容器的内容,但不允许此用户对容器中的对象进行任何更改。 这些权限等效于向管理员组授予的默认权限。 默认情况下,只有系统帐户有权修改已删除的对象容器中的对象。