Cómo permitir que los no administradores vean el contenedor de objetos eliminados de Active Directory
En este artículo se explica cómo cambiar los permisos para que los no administradores puedan ver el contenedor de objetos eliminados de Active Directory.
Se aplica a: Windows Server 2012 R2
Número de KB original: 892806
Resumen
Cuando se elimina un objeto de Active Directory, una pequeña parte del objeto permanece en el contenedor de objetos eliminados durante un tiempo especificado. Permanece allí para que otros controladores de dominio que replican cambios se enterarán de la eliminación. De forma predeterminada, solo la cuenta del sistema y los miembros del grupo Administradores pueden ver el contenido de este contenedor. En este artículo se describe cómo modificar los permisos en el contenedor de objetos eliminados.
Es posible que tenga que modificar los permisos en el contenedor de objetos eliminados si se cumplen las condiciones siguientes:
- Tiene aplicaciones o servicios empresariales que se enlazan a Active Directory con una cuenta que no es del sistema o una cuenta que no es de administrador.
- Estas aplicaciones o servicios empresariales sondean los cambios de directorio.
Más información
Para modificar los permisos en el contenedor de objetos eliminados para que los no administradores puedan ver este contenedor, use el programa DSACLS.exe. El programa de DSACLS.exe se incluye con las herramientas de administración del modo de aplicación de Active Directory (ADAM).
Para Windows Server 2008 y versiones más recientes, la herramienta se incluye en el sistema operativo.
Para Windows 2000 y Server 2003, puede hacerlo mediante la obtención e instalación de las Herramientas de administración de ADAM, siga estos pasos:
Descargue el paquete comercial adam.
Para obtener más información sobre cómo descargar archivos Soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
119591 Obtención de archivos de soporte técnico de Microsoft de servicios en línea Microsoft ha examinado este archivo en busca de virus. Microsoft usó el software de detección de virus más actual que estaba disponible en la fecha en que se publicó el archivo. El archivo se almacena en servidores mejorados de seguridad que ayudan a evitar cambios no autorizados en el archivo.Nota:
Esta versión de las Herramientas de administración de ADAM es una actualización de la versión de las Herramientas de soporte técnico de Windows Server 2003. Esta versión de las herramientas de administración de ADAM es compatible con Microsoft Windows Server 2003, Standard Edition; Microsoft Windows Server 2003, Enterprise Edition; Microsoft Windows Server 2003, Datacenter Edition; y Microsoft Windows XP Professional.
Para extraer el contenido del archivo que descargó en el paso 1, haga doble clic en el archivo y, a continuación, especifique un directorio cuando se le solicite.
En el directorio en el que extrajo el archivo en el paso 2, haga doble clic en el
Adamsetup.exe
programa para iniciar el Asistente para la instalación del modo de aplicación de Active Directory y, a continuación, haga clic en Siguiente.Revise y acepte los términos de licencia y haga clic en Siguiente.
Seleccione Solo herramientas de administración de ADAM y, a continuación, haga clic en Siguiente.
Revise las selecciones y haga clic en Siguiente.
Cuando finalice el programa de instalación, haga clic en Finalizar.
Después de instalar las herramientas de administración de ADAM, puede modificar los permisos en el contenedor de objetos eliminados. Para ello, siga estos pasos:
Inicie sesión con una cuenta de usuario que sea miembro del grupo Administradores de dominio .
Haga clic en Inicio, seleccione Todos los programas, ADAMy, a continuación, haga clic en Símbolo del sistema de herramientas de ADAM.
En el símbolo del sistema, escriba un comando similar al ejemplo siguiente: dsacls "CN=Deleted Objects,DC=Contoso,DC=com" /takeownership.
Cuando escriba este comando, use el nombre del contenedor de objetos eliminados para el dominio.
Cada dominio del bosque tendrá su propio contenedor de objetos eliminados. Se debe mostrar una salida similar al ejemplo siguiente:
Propietario: Contoso\Domain Admins
Grupo: NT AUTHORITY\SYSTEM
Lista de acceso:
{Este objeto está protegido contra la hereda de permisos del elemento primario}
Permitir ACCESO ESPECIAL DE BUILTIN\Administrators
CONTENIDO DE LA LISTA
READ (PROPIEDAD)
Permitir EL ACCESO ESPECIAL DE NT AUTHORITY\SYSTEM
DELETE
LEER PERMISSONS
PERMISOS DE ESCRITURA
CAMBIAR PROPIEDAD
CREATE CHILD
ELIMINAR ELEMENTO SECUNDARIO
CONTENIDO DE LA LISTA
ESCRITURA AUTOMÁTICA
WRITE (PROPIEDAD)
READ (PROPIEDAD)
El comando se completó correctamente
Para conceder a una entidad de seguridad permiso para ver los objetos en el contenedor de objetos eliminados, escriba un comando similar al siguiente ejemplo: dsacls "CN=Deleted Objects,DC=Contoso,DC=com" /g CONTOSO\EricLang:LCRP
Se debe mostrar una salida similar al ejemplo siguiente:
Propietario: CONTOSO\Domain Admins
Grupo: NT AUTHORITY\SYSTEM
Lista de acceso:
{Este objeto está protegido contra la hereda de permisos del elemento primario}
Permitir ACCESO ESPECIAL DE BUILTIN\Administrators
CONTENIDO DE LA LISTA
READ (PROPIEDAD)
Permitir EL ACCESO ESPECIAL DE NT AUTHORITY\SYSTEM
DELETE
LEER PERMISSONS
PERMISOS DE ESCRITURA
CAMBIAR PROPIEDAD
CREATE CHILD
ELIMINAR ELEMENTO SECUNDARIO
CONTENIDO DE LA LISTA
ESCRITURA AUTOMÁTICA
WRITE (PROPIEDAD)
READ (PROPIEDAD)
Permitir EL ACCESO ESPECIAL DE CONTOSO\EricLang
CONTENIDO DE LA LISTA
READ (PROPIEDAD)
El comando se completó correctamente
En este ejemplo, al usuario "CONTOSO\EricLang" se le han concedido los permisos Contenido de lista y Propiedad de lectura en el contenedor de objetos eliminados en el dominio "CONTOSO". Estos permisos permiten a este usuario ver el contenido del contenedor de objetos eliminados, pero no permiten que este usuario realice ningún cambio en los objetos del contenedor. Estos permisos son equivalentes a los permisos predeterminados que se conceden al grupo Administradores. De forma predeterminada, solo la cuenta del sistema tiene permiso para modificar objetos en el contenedor de objetos eliminados.
Comentarios
https://aka.ms/ContentUserFeedback.
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea:Enviar y ver comentarios de