Cómo permitir que los no administradores vean el contenedor de objetos eliminados de Active Directory

  • Artículo

En este artículo se explica cómo cambiar los permisos para que los no administradores puedan ver el contenedor de objetos eliminados de Active Directory.

Se aplica a: Windows Server 2012 R2
Número de KB original: 892806

Resumen

Cuando se elimina un objeto de Active Directory, una pequeña parte del objeto permanece en el contenedor de objetos eliminados durante un tiempo especificado. Permanece allí para que otros controladores de dominio que replican cambios se enterarán de la eliminación. De forma predeterminada, solo la cuenta del sistema y los miembros del grupo Administradores pueden ver el contenido de este contenedor. En este artículo se describe cómo modificar los permisos en el contenedor de objetos eliminados.

Es posible que tenga que modificar los permisos en el contenedor de objetos eliminados si se cumplen las condiciones siguientes:

  • Tiene aplicaciones o servicios empresariales que se enlazan a Active Directory con una cuenta que no es del sistema o una cuenta que no es de administrador.
  • Estas aplicaciones o servicios empresariales sondean los cambios de directorio.

Más información

Para modificar los permisos en el contenedor de objetos eliminados para que los no administradores puedan ver este contenedor, use el programa DSACLS.exe. El programa de DSACLS.exe se incluye con las herramientas de administración del modo de aplicación de Active Directory (ADAM).

Para Windows Server 2008 y versiones más recientes, la herramienta se incluye en el sistema operativo.

Para Windows 2000 y Server 2003, puede hacerlo mediante la obtención e instalación de las Herramientas de administración de ADAM, siga estos pasos:

  1. Descargue el paquete comercial adam.

    Para obtener más información sobre cómo descargar archivos Soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    119591 Obtención de archivos de soporte técnico de Microsoft de servicios en línea Microsoft ha examinado este archivo en busca de virus. Microsoft usó el software de detección de virus más actual que estaba disponible en la fecha en que se publicó el archivo. El archivo se almacena en servidores mejorados de seguridad que ayudan a evitar cambios no autorizados en el archivo.

    Nota:

    Esta versión de las Herramientas de administración de ADAM es una actualización de la versión de las Herramientas de soporte técnico de Windows Server 2003. Esta versión de las herramientas de administración de ADAM es compatible con Microsoft Windows Server 2003, Standard Edition; Microsoft Windows Server 2003, Enterprise Edition; Microsoft Windows Server 2003, Datacenter Edition; y Microsoft Windows XP Professional.

  2. Para extraer el contenido del archivo que descargó en el paso 1, haga doble clic en el archivo y, a continuación, especifique un directorio cuando se le solicite.

  3. En el directorio en el que extrajo el archivo en el paso 2, haga doble clic en el Adamsetup.exe programa para iniciar el Asistente para la instalación del modo de aplicación de Active Directory y, a continuación, haga clic en Siguiente.

  4. Revise y acepte los términos de licencia y haga clic en Siguiente.

  5. Seleccione Solo herramientas de administración de ADAM y, a continuación, haga clic en Siguiente.

  6. Revise las selecciones y haga clic en Siguiente.

  7. Cuando finalice el programa de instalación, haga clic en Finalizar.

Después de instalar las herramientas de administración de ADAM, puede modificar los permisos en el contenedor de objetos eliminados. Para ello, siga estos pasos:

  1. Inicie sesión con una cuenta de usuario que sea miembro del grupo Administradores de dominio .

  2. Haga clic en Inicio, seleccione Todos los programas, ADAMy, a continuación, haga clic en Símbolo del sistema de herramientas de ADAM.

  3. En el símbolo del sistema, escriba un comando similar al ejemplo siguiente: dsacls "CN=Deleted Objects,DC=Contoso,DC=com" /takeownership.

    • Cuando escriba este comando, use el nombre del contenedor de objetos eliminados para el dominio.

    • Cada dominio del bosque tendrá su propio contenedor de objetos eliminados. Se debe mostrar una salida similar al ejemplo siguiente:

      Propietario: Contoso\Domain Admins
      Grupo: NT AUTHORITY\SYSTEM
      Lista de acceso:
      {Este objeto está protegido contra la hereda de permisos del elemento primario}
      Permitir ACCESO ESPECIAL DE BUILTIN\Administrators
      CONTENIDO DE LA LISTA
      READ (PROPIEDAD)
      Permitir EL ACCESO ESPECIAL DE NT AUTHORITY\SYSTEM
      DELETE
      LEER PERMISSONS
      PERMISOS DE ESCRITURA
      CAMBIAR PROPIEDAD
      CREATE CHILD
      ELIMINAR ELEMENTO SECUNDARIO
      CONTENIDO DE LA LISTA
      ESCRITURA AUTOMÁTICA
      WRITE (PROPIEDAD)
      READ (PROPIEDAD)
      El comando se completó correctamente

  4. Para conceder a una entidad de seguridad permiso para ver los objetos en el contenedor de objetos eliminados, escriba un comando similar al siguiente ejemplo: dsacls "CN=Deleted Objects,DC=Contoso,DC=com" /g CONTOSO\EricLang:LCRP

    Se debe mostrar una salida similar al ejemplo siguiente:

    Propietario: CONTOSO\Domain Admins
    Grupo: NT AUTHORITY\SYSTEM
    Lista de acceso:
    {Este objeto está protegido contra la hereda de permisos del elemento primario}
    Permitir ACCESO ESPECIAL DE BUILTIN\Administrators
    CONTENIDO DE LA LISTA
    READ (PROPIEDAD)
    Permitir EL ACCESO ESPECIAL DE NT AUTHORITY\SYSTEM
    DELETE
    LEER PERMISSONS
    PERMISOS DE ESCRITURA
    CAMBIAR PROPIEDAD
    CREATE CHILD
    ELIMINAR ELEMENTO SECUNDARIO
    CONTENIDO DE LA LISTA
    ESCRITURA AUTOMÁTICA
    WRITE (PROPIEDAD)
    READ (PROPIEDAD)
    Permitir EL ACCESO ESPECIAL DE CONTOSO\EricLang
    CONTENIDO DE LA LISTA
    READ (PROPIEDAD)
    El comando se completó correctamente

En este ejemplo, al usuario "CONTOSO\EricLang" se le han concedido los permisos Contenido de lista y Propiedad de lectura en el contenedor de objetos eliminados en el dominio "CONTOSO". Estos permisos permiten a este usuario ver el contenido del contenedor de objetos eliminados, pero no permiten que este usuario realice ningún cambio en los objetos del contenedor. Estos permisos son equivalentes a los permisos predeterminados que se conceden al grupo Administradores. De forma predeterminada, solo la cuenta del sistema tiene permiso para modificar objetos en el contenedor de objetos eliminados.