你能告诉我,如何在没有管理员登录的情况下查看活动目录中已删除的对象。否则,请告诉我可以使用哪些 ACE 来查看那些已删除的对象。
2 回答
查看存储在 Active Directory 域控制器上的已删除对象:
- 启动 Ldp.exe,然后单击连接菜单上的连接。键入企业域控制器的服务器名称,验证端口设置是否设置为 389,单击以清除无连接复选框,然后单击确定。建立连接后,特定于服务器的数据将显示在右窗格中。
- 在“连接”菜单上,单击“绑定”。在相应的框中键入用户名、密码和域名(DNS 格式)(您可能需要单击以选中“域”复选框),然后单击“确定”。如果绑定成功,您应该会在右侧窗格中收到类似于“Authenticated as dn:'YourUserID'”的消息。
在视图菜单上,单击树。在“基本 DN”框中键入域的可分辨名称 (DN)。基本 DN 是 Active Directory 层次结构中搜索开始的起点。在 Base DN 框中,键入 dc=,dc= 替换 和 适当的域名。
这会在左侧窗格中生成一个以您键入的 DN 开头的树视图。双击树视图的根节点,在右侧窗格中,找到与“wellKnownObjects”属性关联的数据。查找与“已删除对象”数据关联的行。例如,这可能看起来像:B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=YOURDOMAIN,DC=COM
- 复制第二个冒号之后但第三个冒号之前的所有数据。例如:18E2EA80684F11D2B9AA00C04F79F805
在浏览菜单上,单击搜索。在 Base DN 框中,键入
<WKGUID=18E2EA80684F11D2B9AA00C04F79F805,DC=YOURDOMAIN,DC=COM>
将“18E2EA80684F11D2B9AA00C04F79F805”替换为您在上一步中复制的值。注意:开始和结束的“<”和“>”字符非常重要。
在过滤器框中,键入:(objectClass=*)
- 单击选项,然后单击控件。在对象标识符框中,键入:1.2.840.113556.1.4.417
- 清除 Value 框,将 Control Type 设置为 Server,单击以清除 Critical 复选框,然后单击 Check in >>。单击确定。
在对话框的 Search Call Type 部分,单击 Extended 并检查以下复选框的状态: 仅属性 - 清除 Chase 引用 - 清除显示结果 - 选中 将“大小限制:”设置为足够大的值,以便所有查询可以返回目录中已删除的对象。LDP 将返回“大小限制:”中指定的对象数量,如果有更多对象无法返回,则会记录错误。右侧窗格中返回的错误是:错误:搜索:超出大小限制。<4> 如果您遇到此错误,请将“大小限制:”设置得更高,然后再次执行搜索。
如有必要,将超时值从零修改为 60000 毫秒。
10. 单击确定关闭搜索选项对话框,单击范围框中的子树,然后单击运行。
这个问题的答案可以在kb892806中找到。简而言之:
要修改已删除对象容器的权限以便非管理员可以查看此容器,请使用 DSACLS.exe 程序。
要授予安全主体查看已删除对象容器中的对象的权限,请键入类似于以下示例的命令:dsacls "CN=Deleted Objects,DC=Contoso,DC=com" /g CONTOSO\EricLang:LCRP
在此示例中,已授予用户“CONTOSO\EricLang”对“CONTOSO”域中已删除对象容器的“列出内容”和“读取属性”权限。