Anzeigen des Containers für gelöschte Active Directory-Objekte durch Nichtadministratoren

  • Artikel

In diesem Artikel wird erläutert, wie Sie Berechtigungen ändern, damit Nichtadministratoren den Container für gelöschte Active Directory-Objekte anzeigen können.

Gilt für: Windows Server 2012 R2
Ursprüngliche KB-Nummer: 892806

Zusammenfassung

Wenn ein Active Directory-Objekt gelöscht wird, verbleibt ein kleiner Teil des Objekts für einen bestimmten Zeitraum im Container für gelöschte Objekte. Er bleibt dort, sodass andere Domänencontroller, die Änderungen replizieren, über den Löschvorgang informiert werden. Standardmäßig können nur das Systemkonto und mitglieder der Gruppe Administratoren den Inhalt dieses Containers anzeigen. In diesem Artikel wird beschrieben, wie Sie die Berechtigungen für den Container für gelöschte Objekte ändern.

Möglicherweise müssen Sie die Berechtigungen für den Container für gelöschte Objekte ändern, wenn die folgenden Bedingungen erfüllt sind:

  • Sie verfügen über Unternehmensanwendungen oder -dienste, die mit einem Nicht-Systemkonto oder einem Nicht-Administratorkonto an Active Directory gebunden sind.
  • Diese Unternehmensanwendungen oder -dienste rufen Verzeichnisänderungen ab.

Weitere Informationen

Um die Berechtigungen für den Container für gelöschte Objekte so zu ändern, dass Nichtadministratoren diesen Container anzeigen können, verwenden Sie das Programm DSACLS.exe. Das DSACLS.exe-Programm ist in den ADAM-Verwaltungstools (Active Directory Application Mode) enthalten.

Für Windows Server 2008 und höher ist das Tool im Betriebssystem enthalten.

Für Windows 2000 und Server 2003 können Sie dies erreichen, indem Sie die ADAM-Verwaltungstools abrufen und installieren. Führen Sie die folgenden Schritte aus:

  1. Laden Sie das ADAM Retail-Paket herunter.

    Weitere Informationen zum Herunterladen Microsoft-Support Dateien finden Sie in der Microsoft Knowledge Base im folgenden Artikel:
    119591 So erhalten Sie Microsoft-Supportdateien von Onlinedienste Microsoft hat diese Datei auf Viren gescannt. Microsoft verwendete die aktuellste Virenerkennungssoftware, die zum Zeitpunkt der Veröffentlichung der Datei verfügbar war. Die Datei wird auf Servern mit verbesserter Sicherheit gespeichert, die nicht autorisierte Änderungen an der Datei verhindern.

    Hinweis

    Diese Version der ADAM-Verwaltungstools ist ein Upgrade von der Version in den Windows Server 2003-Supporttools. Diese Version der ADAM-Verwaltungstools wird von Microsoft Windows Server 2003 Standard Edition unterstützt. Microsoft Windows Server 2003, Enterprise Edition; Microsoft Windows Server 2003, Datacenter Edition; und Microsoft Windows XP Professional.

  2. Um den Inhalt der Datei zu extrahieren, die Sie in Schritt 1 heruntergeladen haben, doppelklicken Sie auf die Datei, und geben Sie dann ein Verzeichnis an, wenn Sie dazu aufgefordert werden.

  3. Doppelklicken Sie in dem Verzeichnis, in das Sie die Datei in Schritt 2 extrahiert haben, auf das Adamsetup.exe Programm, um den Setup-Assistenten für den Active Directory-Anwendungsmodus zu starten, und klicken Sie dann auf Weiter.

  4. Lesen und akzeptieren Sie die Lizenzbedingungen, und klicken Sie dann auf Weiter.

  5. Wählen Sie nur ADAM-Verwaltungstools aus, und klicken Sie dann auf Weiter.

  6. Überprüfen Sie Ihre Auswahl, und klicken Sie dann auf Weiter.

  7. Klicken Sie nach Abschluss des Setups auf Fertig stellen.

Nachdem Sie die ADAM-Verwaltungstools installiert haben, können Sie die Berechtigungen für den Container für gelöschte Objekte ändern. Gehen Sie dazu wie folgt vor:

  1. Melden Sie sich mit einem Benutzerkonto an, das Mitglied der Gruppe Domänenadministratoren ist.

  2. Klicken Sie auf Start, zeigen Sie auf Alle Programme, zeigen Sie auf ADAM, und klicken Sie dann auf ADAM Tools-Eingabeaufforderung.

  3. Geben Sie an der Eingabeaufforderung einen Befehl ein, der dem folgenden Beispiel ähnelt: dsacls "CN=Deleted Objects,DC=Contoso,DC=com" /takeownership.

    • Wenn Sie diesen Befehl eingeben, verwenden Sie den Namen des Containers für gelöschte Objekte für Ihre Domäne.

    • Jede Domäne in der Gesamtstruktur verfügt über einen eigenen Container für gelöschte Objekte. Eine Ausgabe, die dem folgenden Beispiel ähnelt, sollte angezeigt werden:

      Besitzer: Contoso\Domänenadministratoren
      Gruppe: NT AUTHORITY\SYSTEM
      Zugriffsliste:
      {Dieses Objekt ist vor dem Erben von Berechtigungen vom übergeordneten Element geschützt}
      Allow BUILTIN\Administrators SPECIAL ACCESS
      INHALT AUFLISTEN
      READ-EIGENSCHAFT
      NT AUTHORITY\SYSTEM SPECIAL ACCESS zulassen
      LÖSCHEN
      LESEBERECHTIGUNGEN
      SCHREIBBERECHTIGUNGEN
      ÄNDERN DES BESITZES
      CREATE CHILD
      UNTERGEORDNETES ELEMENT LÖSCHEN
      INHALT AUFLISTEN
      SELBST SCHREIBEN
      WRITE-EIGENSCHAFT
      READ-EIGENSCHAFT
      Der Befehl wurde erfolgreich abgeschlossen.

  4. Um einem Sicherheitsprinzipal die Berechtigung zum Anzeigen der Objekte im Container für gelöschte Objekte zu erteilen, geben Sie einen Befehl ein, der dem folgenden Beispiel ähnelt: dsacls "CN=Deleted Objects,DC=Contoso,DC=com" /g CONTOSO\EricLang:LCRP

    Eine Ausgabe, die dem folgenden Beispiel ähnelt, sollte angezeigt werden:

    Besitzer: CONTOSO\Domänenadministratoren
    Gruppe: NT AUTHORITY\SYSTEM
    Zugriffsliste:
    {Dieses Objekt ist vor dem Erben von Berechtigungen vom übergeordneten Element geschützt}
    Allow BUILTIN\Administrators SPECIAL ACCESS
    INHALT AUFLISTEN
    READ-EIGENSCHAFT
    NT AUTHORITY\SYSTEM SPECIAL ACCESS zulassen
    LÖSCHEN
    LESEBERECHTIGUNGEN
    SCHREIBBERECHTIGUNGEN
    ÄNDERN DES BESITZES
    CREATE CHILD
    UNTERGEORDNETES ELEMENT LÖSCHEN
    INHALT AUFLISTEN
    SELBST SCHREIBEN
    WRITE-EIGENSCHAFT
    READ-EIGENSCHAFT
    Allow CONTOSO\EricLang SPECIAL ACCESS
    INHALT AUFLISTEN
    READ-EIGENSCHAFT
    Der Befehl wurde erfolgreich abgeschlossen.

In diesem Beispiel wurden dem Benutzer "CONTOSO\EricLang" die Berechtigungen "List Contents" und Read Property für den Container für gelöschte Objekte in der Domäne "CONTOSO" erteilt. Diese Berechtigungen ermöglichen es diesem Benutzer, den Inhalt des Containers für gelöschte Objekte anzuzeigen, aber dieser Benutzer darf keine Änderungen an Objekten im Container vornehmen. Diese Berechtigungen entsprechen den Standardberechtigungen, die der Gruppe Administratoren erteilt werden. Standardmäßig verfügt nur das Systemkonto über die Berechtigung zum Ändern von Objekten im Container für gelöschte Objekte.