Comment permettre aux non-administrateurs d’afficher le conteneur d’objets supprimés Active Directory

  • Article

Cet article explique comment modifier les autorisations afin que les non-administrateurs puissent afficher le conteneur d’objets supprimés Active Directory.

S’applique à : Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 892806

Résumé

Lorsqu’un objet Active Directory est supprimé, une petite partie de l’objet reste dans le conteneur d’objets supprimés pendant une durée spécifiée. Il y reste afin que les autres contrôleurs de domaine qui répliquent des modifications prennent conscience de la suppression. Par défaut, seuls le compte système et les membres du groupe Administrateurs peuvent afficher le contenu de ce conteneur. Cet article explique comment modifier les autorisations sur le conteneur d’objets supprimés.

Vous devrez peut-être modifier les autorisations sur le conteneur d’objets supprimés si les conditions suivantes sont remplies :

  • Vous disposez d’applications ou de services d’entreprise qui sont liés à Active Directory avec un compte non-système ou un compte non administrateur.
  • Ces applications ou services d’entreprise interrogent les modifications d’annuaire.

Plus d’informations

Pour modifier les autorisations sur le conteneur d’objets supprimés afin que les non-administrateurs puissent afficher ce conteneur, utilisez le programme DSACLS.exe. Le programme DSACLS.exe est inclus dans les outils d’administration adam (Active Directory Application Mode).

Pour Windows Server 2008 et versions ultérieures, l’outil est inclus dans le système d’exploitation.

Pour Windows 2000 et Server 2003, vous pouvez effectuer cette opération en obtenant et en installant les outils d’administration ADAM, procédez comme suit :

  1. Téléchargez le package de vente au détail ADAM.

    Pour plus d’informations sur le téléchargement des fichiers Support Microsoft, cliquez sur le numéro d’article suivant pour afficher l’article dans la Base de connaissances Microsoft :
    119591 Comment obtenir des fichiers de support Microsoft auprès de services en ligne Microsoft a analysé ce fichier à la recherche de virus. Microsoft a utilisé le logiciel de détection de virus le plus actuel disponible à la date de publication du fichier. Le fichier est stocké sur des serveurs à sécurité renforcée qui permettent d’empêcher toute modification non autorisée du fichier.

    Remarque

    Cette version des outils d’administration ADAM est une mise à niveau à partir de la version des outils de support windows Server 2003. Cette version des outils d’administration ADAM est prise en charge par Microsoft Windows Server 2003, Édition Standard. Microsoft Windows Server 2003, Êdition Entreprise ; Microsoft Windows Server 2003, Datacenter Edition ; et Microsoft Windows XP Professionnel.

  2. Pour extraire le contenu du fichier que vous avez téléchargé à l’étape 1, double-cliquez sur le fichier, puis spécifiez un répertoire lorsque vous y êtes invité.

  3. Dans le répertoire dans lequel vous avez extrait le fichier à l’étape 2, double-cliquez sur le Adamsetup.exe programme pour démarrer l’Assistant Configuration du mode application Active Directory, puis cliquez sur Suivant.

  4. Lisez et acceptez les termes de la licence, puis cliquez sur Suivant.

  5. Sélectionnez Outils d’administration ADAM uniquement, puis cliquez sur Suivant.

  6. Passez en revue vos sélections, puis cliquez sur Suivant.

  7. Une fois le programme d’installation terminé, cliquez sur Terminer.

Une fois que vous avez installé les outils d’administration ADAM, vous pouvez modifier les autorisations sur le conteneur d’objets supprimés. Pour cela, procédez comme suit :

  1. Ouvrez une session avec un compte d’utilisateur membre du groupe Administrateurs du domaine .

  2. Cliquez sur Démarrer, pointez sur Tous les programmes, sur ADAM, puis cliquez sur Invite de commandes outils ADAM.

  3. À l’invite de commandes, tapez une commande similaire à l’exemple suivant : dsacls « CN=Deleted Objects,DC=Contoso,DC=com » /takeownership.

    • Lorsque vous tapez cette commande, utilisez le nom du conteneur d’objets supprimés pour votre domaine.

    • Chaque domaine de la forêt aura son propre conteneur d’objets supprimés. La sortie similaire à l’exemple suivant doit être affichée :

      Propriétaire : Contoso\Domain Admins
      Groupe : NT AUTHORITY\SYSTEM
      Liste d’accès :
      {Cet objet est protégé contre l’héritage des autorisations du parent}
      Autoriser l’ACCÈS SPÉCIAL BUILTIN\Administrators
      LISTER LE CONTENU
      READ, PROPRIÉTÉ
      Autoriser l’ACCÈS SPÉCIAL DE L’AUTORITÉ NT\SYSTÈME
      SUPPRIMER
      LIRE PERMISSONS
      AUTORISATIONS D’ÉCRITURE
      MODIFIER LA PROPRIÉTÉ
      CREATE CHILD
      DELETE CHILD
      LISTER LE CONTENU
      ÉCRIRE SOI
      WRITE, PROPRIÉTÉ
      READ, PROPRIÉTÉ
      La commande a été exécutée comme il se doit

  4. Pour accorder à un principal de sécurité l’autorisation d’afficher les objets dans le conteneur d’objets supprimés, tapez une commande similaire à l’exemple suivant : dsacls « CN=Deleted Objects,DC=Contoso,DC=com » /g CONTOSO\EricLang :LCRP

    La sortie similaire à l’exemple suivant doit être affichée :

    Propriétaire : CONTOSO\Domain Admins
    Groupe : NT AUTHORITY\SYSTEM
    Liste d’accès :
    {Cet objet est protégé contre l’héritage des autorisations du parent}
    Autoriser l’ACCÈS SPÉCIAL BUILTIN\Administrators
    LISTER LE CONTENU
    READ, PROPRIÉTÉ
    Autoriser l’ACCÈS SPÉCIAL DE L’AUTORITÉ NT\SYSTÈME
    SUPPRIMER
    LIRE PERMISSONS
    AUTORISATIONS D’ÉCRITURE
    MODIFIER LA PROPRIÉTÉ
    CREATE CHILD
    DELETE CHILD
    LISTER LE CONTENU
    ÉCRIRE SOI
    WRITE, PROPRIÉTÉ
    READ, PROPRIÉTÉ
    Autoriser l’ACCÈS SPÉCIAL CONTOSO\EricLang
    LISTER LE CONTENU
    READ, PROPRIÉTÉ
    La commande a été exécutée comme il se doit

Dans cet exemple, l’utilisateur « CONTOSO\EricLang » a reçu les autorisations Contenu de la liste et Lire la propriété sur le conteneur d’objets supprimés dans le domaine « CONTOSO ». Ces autorisations permettent à cet utilisateur d’afficher le contenu du conteneur d’objets supprimés, mais ne permettent pas à cet utilisateur d’apporter des modifications aux objets du conteneur. Ces autorisations sont équivalentes aux autorisations par défaut accordées au groupe Administrateurs. Par défaut, seul le compte système est autorisé à modifier des objets dans le conteneur d’objets supprimés.