Comment permettre aux non-administrateurs d’afficher le conteneur d’objets supprimés Active Directory
Cet article explique comment modifier les autorisations afin que les non-administrateurs puissent afficher le conteneur d’objets supprimés Active Directory.
S’applique à : Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 892806
Résumé
Lorsqu’un objet Active Directory est supprimé, une petite partie de l’objet reste dans le conteneur d’objets supprimés pendant une durée spécifiée. Il y reste afin que les autres contrôleurs de domaine qui répliquent des modifications prennent conscience de la suppression. Par défaut, seuls le compte système et les membres du groupe Administrateurs peuvent afficher le contenu de ce conteneur. Cet article explique comment modifier les autorisations sur le conteneur d’objets supprimés.
Vous devrez peut-être modifier les autorisations sur le conteneur d’objets supprimés si les conditions suivantes sont remplies :
- Vous disposez d’applications ou de services d’entreprise qui sont liés à Active Directory avec un compte non-système ou un compte non administrateur.
- Ces applications ou services d’entreprise interrogent les modifications d’annuaire.
Plus d’informations
Pour modifier les autorisations sur le conteneur d’objets supprimés afin que les non-administrateurs puissent afficher ce conteneur, utilisez le programme DSACLS.exe. Le programme DSACLS.exe est inclus dans les outils d’administration adam (Active Directory Application Mode).
Pour Windows Server 2008 et versions ultérieures, l’outil est inclus dans le système d’exploitation.
Pour Windows 2000 et Server 2003, vous pouvez effectuer cette opération en obtenant et en installant les outils d’administration ADAM, procédez comme suit :
Téléchargez le package de vente au détail ADAM.
Pour plus d’informations sur le téléchargement des fichiers Support Microsoft, cliquez sur le numéro d’article suivant pour afficher l’article dans la Base de connaissances Microsoft :
119591 Comment obtenir des fichiers de support Microsoft auprès de services en ligne Microsoft a analysé ce fichier à la recherche de virus. Microsoft a utilisé le logiciel de détection de virus le plus actuel disponible à la date de publication du fichier. Le fichier est stocké sur des serveurs à sécurité renforcée qui permettent d’empêcher toute modification non autorisée du fichier.Remarque
Cette version des outils d’administration ADAM est une mise à niveau à partir de la version des outils de support windows Server 2003. Cette version des outils d’administration ADAM est prise en charge par Microsoft Windows Server 2003, Édition Standard. Microsoft Windows Server 2003, Êdition Entreprise ; Microsoft Windows Server 2003, Datacenter Edition ; et Microsoft Windows XP Professionnel.
Pour extraire le contenu du fichier que vous avez téléchargé à l’étape 1, double-cliquez sur le fichier, puis spécifiez un répertoire lorsque vous y êtes invité.
Dans le répertoire dans lequel vous avez extrait le fichier à l’étape 2, double-cliquez sur le
Adamsetup.exe
programme pour démarrer l’Assistant Configuration du mode application Active Directory, puis cliquez sur Suivant.Lisez et acceptez les termes de la licence, puis cliquez sur Suivant.
Sélectionnez Outils d’administration ADAM uniquement, puis cliquez sur Suivant.
Passez en revue vos sélections, puis cliquez sur Suivant.
Une fois le programme d’installation terminé, cliquez sur Terminer.
Une fois que vous avez installé les outils d’administration ADAM, vous pouvez modifier les autorisations sur le conteneur d’objets supprimés. Pour cela, procédez comme suit :
Ouvrez une session avec un compte d’utilisateur membre du groupe Administrateurs du domaine .
Cliquez sur Démarrer, pointez sur Tous les programmes, sur ADAM, puis cliquez sur Invite de commandes outils ADAM.
À l’invite de commandes, tapez une commande similaire à l’exemple suivant : dsacls « CN=Deleted Objects,DC=Contoso,DC=com » /takeownership.
Lorsque vous tapez cette commande, utilisez le nom du conteneur d’objets supprimés pour votre domaine.
Chaque domaine de la forêt aura son propre conteneur d’objets supprimés. La sortie similaire à l’exemple suivant doit être affichée :
Propriétaire : Contoso\Domain Admins
Groupe : NT AUTHORITY\SYSTEM
Liste d’accès :
{Cet objet est protégé contre l’héritage des autorisations du parent}
Autoriser l’ACCÈS SPÉCIAL BUILTIN\Administrators
LISTER LE CONTENU
READ, PROPRIÉTÉ
Autoriser l’ACCÈS SPÉCIAL DE L’AUTORITÉ NT\SYSTÈME
SUPPRIMER
LIRE PERMISSONS
AUTORISATIONS D’ÉCRITURE
MODIFIER LA PROPRIÉTÉ
CREATE CHILD
DELETE CHILD
LISTER LE CONTENU
ÉCRIRE SOI
WRITE, PROPRIÉTÉ
READ, PROPRIÉTÉ
La commande a été exécutée comme il se doit
Pour accorder à un principal de sécurité l’autorisation d’afficher les objets dans le conteneur d’objets supprimés, tapez une commande similaire à l’exemple suivant : dsacls « CN=Deleted Objects,DC=Contoso,DC=com » /g CONTOSO\EricLang :LCRP
La sortie similaire à l’exemple suivant doit être affichée :
Propriétaire : CONTOSO\Domain Admins
Groupe : NT AUTHORITY\SYSTEM
Liste d’accès :
{Cet objet est protégé contre l’héritage des autorisations du parent}
Autoriser l’ACCÈS SPÉCIAL BUILTIN\Administrators
LISTER LE CONTENU
READ, PROPRIÉTÉ
Autoriser l’ACCÈS SPÉCIAL DE L’AUTORITÉ NT\SYSTÈME
SUPPRIMER
LIRE PERMISSONS
AUTORISATIONS D’ÉCRITURE
MODIFIER LA PROPRIÉTÉ
CREATE CHILD
DELETE CHILD
LISTER LE CONTENU
ÉCRIRE SOI
WRITE, PROPRIÉTÉ
READ, PROPRIÉTÉ
Autoriser l’ACCÈS SPÉCIAL CONTOSO\EricLang
LISTER LE CONTENU
READ, PROPRIÉTÉ
La commande a été exécutée comme il se doit
Dans cet exemple, l’utilisateur « CONTOSO\EricLang » a reçu les autorisations Contenu de la liste et Lire la propriété sur le conteneur d’objets supprimés dans le domaine « CONTOSO ». Ces autorisations permettent à cet utilisateur d’afficher le contenu du conteneur d’objets supprimés, mais ne permettent pas à cet utilisateur d’apporter des modifications aux objets du conteneur. Ces autorisations sont équivalentes aux autorisations par défaut accordées au groupe Administrateurs. Par défaut, seul le compte système est autorisé à modifier des objets dans le conteneur d’objets supprimés.
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour