Come consentire agli utenti non amministratori di visualizzare il contenitore di oggetti eliminati di Active Directory

  • Articolo

Questo articolo illustra come modificare le autorizzazioni in modo che gli utenti non amministratori possano visualizzare il contenitore di oggetti eliminati di Active Directory.

Si applica a: Windows Server 2012 R2
Numero KB originale: 892806

Riepilogo

Quando un oggetto Active Directory viene eliminato, una piccola parte dell'oggetto rimane nel contenitore di oggetti eliminati per un periodo di tempo specificato. Rimane lì in modo che altri controller di dominio che replicano le modifiche vengano a conoscenza dell'eliminazione. Per impostazione predefinita, solo l'account di sistema e i membri del gruppo Administrators possono visualizzare il contenuto di questo contenitore. Questo articolo descrive come modificare le autorizzazioni per il contenitore di oggetti eliminati.

Potrebbe essere necessario modificare le autorizzazioni per il contenitore di oggetti eliminati se si verificano le condizioni seguenti:

  • Si dispone di applicazioni o servizi aziendali associati ad Active Directory con un account non di sistema o un account non amministratore.
  • Queste applicazioni aziendali o servizi eseguono il polling delle modifiche alla directory.

Ulteriori informazioni

Per modificare le autorizzazioni per il contenitore di oggetti eliminati in modo che non amministratori possano visualizzare questo contenitore, usare il programma DSACLS.exe. Il programma DSACLS.exe è incluso negli strumenti di amministrazione della modalità applicazione Active Directory (ADAM).

Per Windows Server 2008 e versioni successive, lo strumento è incluso nel sistema operativo.

Per Windows 2000 e Server 2003 è possibile ottenere e installare gli strumenti di amministrazione di ADAM, seguire questa procedura:

  1. Scaricare il pacchetto di vendita al dettaglio ADAM.

    Per altre informazioni su come scaricare supporto tecnico Microsoft file, fare clic sul numero dell'articolo della Microsoft Knowledge Base seguente:
    119591 Come ottenere i file di supporto Microsoft da Servizi online Microsoft ha analizzato il file alla ricerca di virus. Microsoft ha usato il software di rilevamento dei virus più recente disponibile alla data di pubblicazione del file. Il file viene archiviato in server con sicurezza avanzata che consentono di evitare modifiche non autorizzate al file.

    Nota

    Questa versione di ADAM Administration Tools è un aggiornamento dalla versione in Strumenti di supporto di Windows Server 2003. Questa versione di ADAM Administration Tools è supportata da Microsoft Windows Server 2003, Standard Edition; Microsoft Windows Server 2003, edizione Enterprise; Microsoft Windows Server 2003, Datacenter Edition; e Microsoft Windows XP Professional.

  2. Per estrarre il contenuto del file scaricato nel passaggio 1, fare doppio clic sul file e quindi specificare una directory quando richiesto.

  3. Nella directory in cui è stato estratto il file nel passaggio 2 fare doppio clic sul Adamsetup.exe programma per avviare l'Installazione guidata modalità applicazione Active Directory e quindi fare clic su Avanti.

  4. Leggere e accettare le condizioni di licenza e quindi fare clic su Avanti.

  5. Selezionare Solo strumenti di amministrazione ADAM e quindi fare clic su Avanti.

  6. Esaminare le selezioni e quindi fare clic su Avanti.

  7. Al termine dell'installazione, fare clic su Fine.

Dopo aver installato gli strumenti di amministrazione di ADAM, è possibile modificare le autorizzazioni per il contenitore di oggetti eliminati. A tal fine, attenersi alla seguente procedura:

  1. Accedere con un account utente membro del gruppo Domain Admins .

  2. Fare clic su Start, scegliere Tutti i programmi, ADAM e quindi fare clic su Prompt dei comandi di ADAM Tools.

  3. Al prompt dei comandi digitare un comando simile all'esempio seguente: dsacls "CN=Deleted Objects,DC=Contoso,DC=com" /takeownership.

    • Quando si digita questo comando, usare il nome del contenitore di oggetti eliminati per il dominio.

    • Ogni dominio nella foresta avrà il proprio contenitore di oggetti eliminati. Deve essere visualizzato un output simile all'esempio seguente:

      Proprietario: Contoso\Domain Admins
      Gruppo: NT AUTHORITY\SYSTEM
      Elenco di accesso:
      {Questo oggetto è protetto dall'eredità delle autorizzazioni dall'elemento padre}
      Consenti ACCESSO SPECIALE BUILTIN\Administrators
      CONTENUTO ELENCO
      READ, PROPRIETÀ
      Consenti ACCESSO SPECIALE NT AUTHORITY\SYSTEM
      ELIMINA
      LEGGI PERMISSONS
      AUTORIZZAZIONI DI SCRITTURA
      MODIFICARE LA PROPRIETÀ
      CREATE CHILD
      DELETE CHILD
      CONTENUTO ELENCO
      WRITE SELF
      WRITE, PROPRIETÀ
      READ, PROPRIETÀ
      Comando completato correttamente

  4. Per concedere a un'entità di sicurezza l'autorizzazione per visualizzare gli oggetti nel contenitore degli oggetti eliminati, digitare un comando simile all'esempio seguente: dsacls "CN=Deleted Objects,DC=Contoso,DC=com" /g CONTOSO\EricLang:LCRP

    Deve essere visualizzato un output simile all'esempio seguente:

    Proprietario: CONTOSO\Domain Admins
    Gruppo: NT AUTHORITY\SYSTEM
    Elenco di accesso:
    {Questo oggetto è protetto dall'eredità delle autorizzazioni dall'elemento padre}
    Consenti ACCESSO SPECIALE BUILTIN\Administrators
    CONTENUTO ELENCO
    READ, PROPRIETÀ
    Consenti ACCESSO SPECIALE NT AUTHORITY\SYSTEM
    ELIMINA
    LEGGI PERMISSONS
    AUTORIZZAZIONI DI SCRITTURA
    MODIFICARE LA PROPRIETÀ
    CREATE CHILD
    DELETE CHILD
    CONTENUTO ELENCO
    WRITE SELF
    WRITE, PROPRIETÀ
    READ, PROPRIETÀ
    Consenti ACCESSO SPECIALE CONTOSO\EricLang
    CONTENUTO ELENCO
    READ, PROPRIETÀ
    Comando completato correttamente

In questo esempio all'utente "CONTOSO\EricLang" sono state concesse le autorizzazioni Contenuto elenco e Proprietà lettura per il contenitore di oggetti eliminati nel dominio "CONTOSO". Queste autorizzazioni consentono all'utente di visualizzare il contenuto del contenitore di oggetti eliminati, ma non consentono all'utente di apportare modifiche agli oggetti nel contenitore. Queste autorizzazioni sono equivalenti alle autorizzazioni predefinite concesse al gruppo Administrators. Per impostazione predefinita, solo l'account di sistema dispone dell'autorizzazione per modificare gli oggetti nel contenitore di oggetti eliminati.