Come consentire agli utenti non amministratori di visualizzare il contenitore di oggetti eliminati di Active Directory
Questo articolo illustra come modificare le autorizzazioni in modo che gli utenti non amministratori possano visualizzare il contenitore di oggetti eliminati di Active Directory.
Si applica a: Windows Server 2012 R2
Numero KB originale: 892806
Riepilogo
Quando un oggetto Active Directory viene eliminato, una piccola parte dell'oggetto rimane nel contenitore di oggetti eliminati per un periodo di tempo specificato. Rimane lì in modo che altri controller di dominio che replicano le modifiche vengano a conoscenza dell'eliminazione. Per impostazione predefinita, solo l'account di sistema e i membri del gruppo Administrators possono visualizzare il contenuto di questo contenitore. Questo articolo descrive come modificare le autorizzazioni per il contenitore di oggetti eliminati.
Potrebbe essere necessario modificare le autorizzazioni per il contenitore di oggetti eliminati se si verificano le condizioni seguenti:
- Si dispone di applicazioni o servizi aziendali associati ad Active Directory con un account non di sistema o un account non amministratore.
- Queste applicazioni aziendali o servizi eseguono il polling delle modifiche alla directory.
Ulteriori informazioni
Per modificare le autorizzazioni per il contenitore di oggetti eliminati in modo che non amministratori possano visualizzare questo contenitore, usare il programma DSACLS.exe. Il programma DSACLS.exe è incluso negli strumenti di amministrazione della modalità applicazione Active Directory (ADAM).
Per Windows Server 2008 e versioni successive, lo strumento è incluso nel sistema operativo.
Per Windows 2000 e Server 2003 è possibile ottenere e installare gli strumenti di amministrazione di ADAM, seguire questa procedura:
Scaricare il pacchetto di vendita al dettaglio ADAM.
Per altre informazioni su come scaricare supporto tecnico Microsoft file, fare clic sul numero dell'articolo della Microsoft Knowledge Base seguente:
119591 Come ottenere i file di supporto Microsoft da Servizi online Microsoft ha analizzato il file alla ricerca di virus. Microsoft ha usato il software di rilevamento dei virus più recente disponibile alla data di pubblicazione del file. Il file viene archiviato in server con sicurezza avanzata che consentono di evitare modifiche non autorizzate al file.Nota
Questa versione di ADAM Administration Tools è un aggiornamento dalla versione in Strumenti di supporto di Windows Server 2003. Questa versione di ADAM Administration Tools è supportata da Microsoft Windows Server 2003, Standard Edition; Microsoft Windows Server 2003, edizione Enterprise; Microsoft Windows Server 2003, Datacenter Edition; e Microsoft Windows XP Professional.
Per estrarre il contenuto del file scaricato nel passaggio 1, fare doppio clic sul file e quindi specificare una directory quando richiesto.
Nella directory in cui è stato estratto il file nel passaggio 2 fare doppio clic sul
Adamsetup.exe
programma per avviare l'Installazione guidata modalità applicazione Active Directory e quindi fare clic su Avanti.Leggere e accettare le condizioni di licenza e quindi fare clic su Avanti.
Selezionare Solo strumenti di amministrazione ADAM e quindi fare clic su Avanti.
Esaminare le selezioni e quindi fare clic su Avanti.
Al termine dell'installazione, fare clic su Fine.
Dopo aver installato gli strumenti di amministrazione di ADAM, è possibile modificare le autorizzazioni per il contenitore di oggetti eliminati. A tal fine, attenersi alla seguente procedura:
Accedere con un account utente membro del gruppo Domain Admins .
Fare clic su Start, scegliere Tutti i programmi, ADAM e quindi fare clic su Prompt dei comandi di ADAM Tools.
Al prompt dei comandi digitare un comando simile all'esempio seguente: dsacls "CN=Deleted Objects,DC=Contoso,DC=com" /takeownership.
Quando si digita questo comando, usare il nome del contenitore di oggetti eliminati per il dominio.
Ogni dominio nella foresta avrà il proprio contenitore di oggetti eliminati. Deve essere visualizzato un output simile all'esempio seguente:
Proprietario: Contoso\Domain Admins
Gruppo: NT AUTHORITY\SYSTEM
Elenco di accesso:
{Questo oggetto è protetto dall'eredità delle autorizzazioni dall'elemento padre}
Consenti ACCESSO SPECIALE BUILTIN\Administrators
CONTENUTO ELENCO
READ, PROPRIETÀ
Consenti ACCESSO SPECIALE NT AUTHORITY\SYSTEM
ELIMINA
LEGGI PERMISSONS
AUTORIZZAZIONI DI SCRITTURA
MODIFICARE LA PROPRIETÀ
CREATE CHILD
DELETE CHILD
CONTENUTO ELENCO
WRITE SELF
WRITE, PROPRIETÀ
READ, PROPRIETÀ
Comando completato correttamente
Per concedere a un'entità di sicurezza l'autorizzazione per visualizzare gli oggetti nel contenitore degli oggetti eliminati, digitare un comando simile all'esempio seguente: dsacls "CN=Deleted Objects,DC=Contoso,DC=com" /g CONTOSO\EricLang:LCRP
Deve essere visualizzato un output simile all'esempio seguente:
Proprietario: CONTOSO\Domain Admins
Gruppo: NT AUTHORITY\SYSTEM
Elenco di accesso:
{Questo oggetto è protetto dall'eredità delle autorizzazioni dall'elemento padre}
Consenti ACCESSO SPECIALE BUILTIN\Administrators
CONTENUTO ELENCO
READ, PROPRIETÀ
Consenti ACCESSO SPECIALE NT AUTHORITY\SYSTEM
ELIMINA
LEGGI PERMISSONS
AUTORIZZAZIONI DI SCRITTURA
MODIFICARE LA PROPRIETÀ
CREATE CHILD
DELETE CHILD
CONTENUTO ELENCO
WRITE SELF
WRITE, PROPRIETÀ
READ, PROPRIETÀ
Consenti ACCESSO SPECIALE CONTOSO\EricLang
CONTENUTO ELENCO
READ, PROPRIETÀ
Comando completato correttamente
In questo esempio all'utente "CONTOSO\EricLang" sono state concesse le autorizzazioni Contenuto elenco e Proprietà lettura per il contenitore di oggetti eliminati nel dominio "CONTOSO". Queste autorizzazioni consentono all'utente di visualizzare il contenuto del contenitore di oggetti eliminati, ma non consentono all'utente di apportare modifiche agli oggetti nel contenitore. Queste autorizzazioni sono equivalenti alle autorizzazioni predefinite concesse al gruppo Administrators. Per impostazione predefinita, solo l'account di sistema dispone dell'autorizzazione per modificare gli oggetti nel contenitore di oggetti eliminati.
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per