Yönetici olmayanların Active Directory silinen nesneler kapsayıcısını görüntülemesine izin verme
Bu makalede, yönetici olmayanların Active Directory silinen nesneler kapsayıcısını görüntüleyebilmesi için izinlerin nasıl değiştirildiği açıklanmaktadır.
Şunlar için geçerlidir: Windows Server 2012 R2
Özgün KB numarası: 892806
Özet
Active Directory nesnesi silindiğinde, nesnenin küçük bir bölümü belirtilen süre boyunca silinmiş nesneler kapsayıcısında kalır. Değişiklikleri çoğaltan diğer etki alanı denetleyicilerinin silme işlemini fark edebilmesi için burada kalır. Varsayılan olarak, bu kapsayıcının içeriğini yalnızca Sistem hesabı ve Yöneticiler grubunun üyeleri görüntüleyebilir. Bu makalede, silinen nesneler kapsayıcısı üzerindeki izinlerin nasıl değiştirileceği açıklanır.
Aşağıdaki koşullar doğruysa silinen nesneler kapsayıcısı üzerindeki izinleri değiştirmeniz gerekebilir:
- Active Directory'ye Sistem dışı bir hesapla veya Yönetici olmayan bir hesapla bağlanan kurumsal uygulamalarınız veya hizmetleriniz var.
- Bu kurumsal uygulamalar veya hizmetler dizin değişikliklerini yoklar.
Daha fazla bilgi
Yönetici olmayanların bu kapsayıcıyı görüntüleyebilmesi için silinen nesneler kapsayıcısının izinlerini değiştirmek için DSACLS.exe programını kullanın. DSACLS.exe programı Active Directory Uygulama Modu (ADAM) Yönetim Araçları'na dahil edilir.
Windows Server 2008 ve daha yeni sürümler için araç işletim sistemine dahil edilir.
Windows 2000 ve Server 2003 için ADAM Yönetim Araçları'nı edinip yükleyerek bu işlemi gerçekleştirebilirsiniz, aşağıdaki adımları izleyin:
ADAM perakende paketini indirin.
Microsoft Desteği dosyalarını indirme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
119591 Microsoft'tan Microsoft destek dosyalarını alma çevrimiçi hizmetler Microsoft bu dosyayı virüs taramasına karşı taradı. Microsoft, dosyanın yayımlandığı tarihte kullanılabilen en güncel virüs algılama yazılımını kullandı. Dosya, dosyada yetkisiz değişikliklerin önlenmesine yardımcı olan, güvenliği iyileştirilmiş sunucularda depolanır.Not
ADAM Yönetim Araçları'nın bu sürümü, Windows Server 2003 Destek Araçları'ndaki sürümden bir yükseltmedir. ADAM Yönetim Araçları'nın bu sürümü Microsoft Windows Server 2003, Standard Edition tarafından desteklenir; Microsoft Windows Server 2003, Enterprise Sürümü; Microsoft Windows Server 2003, Datacenter Edition; ve Microsoft Windows XP Professional.
1. adımda indirdiğiniz dosyanın içeriğini ayıklamak için, dosyaya çift tıklayın ve istendiğinde bir dizin belirtin.
2. adımda dosyayı ayıkladığınız dizinde, Active Directory Uygulama Modu Kurulum Sihirbazı'nı
Adamsetup.exe
başlatmak için programa çift tıklayın ve ardından İleri'ye tıklayın.Lisans koşullarını gözden geçirip kabul edin ve İleri'ye tıklayın.
Yalnızca ADAM yönetim araçları'nı seçin ve İleri'ye tıklayın.
Seçimlerinizi gözden geçirin ve İleri'ye tıklayın.
Kurulum tamamlandığında Son'a tıklayın.
ADAM Yönetim Araçları'nı yükledikten sonra, silinen nesneler kapsayıcısı üzerindeki izinleri değiştirebilirsiniz. Bunu yapmak için şu adımları uygulayın:
Domain Admins grubunun üyesi olan bir kullanıcı hesabıyla oturum açın.
Başlat'a tıklayın, Tüm Programlar'ın üzerine gelin, ADAM'ın üzerine gelin ve ADAM Araçları Komut İstemi'ne tıklayın.
Komut isteminde, aşağıdaki örneğe benzer bir komut yazın: dsacls "CN=Deleted Objects,DC=Contoso,DC=com" /takeownership.
Bu komutu yazdığınızda, etki alanınız için silinen nesneler kapsayıcısının adını kullanın.
Ormandaki her etki alanının kendi silinmiş nesneler kapsayıcısı olacaktır. Aşağıdaki örneğe benzer bir çıktı görüntülenmelidir:
Sahip: Contoso\Domain Admins
Grup: NT AUTHORITY\SYSTEM
Erişim listesi:
{Bu nesne üst öğeden izinleri devralmaktan korunuyor}
BUILTIN\Administrators ÖZEL ERİşİmİne İzin Ver
İÇERİKLERİ Lİ
READ ÖZELLIĞI
NT AUTHORITY\SYSTEM ÖZEL ERİşİmİNE İzin Ver
SİLMEK
OKUMA PERMISSONS
YAZMA IZINLERI
SAHIPLIĞI DEĞIŞTIR
ALT ÖĞE OLUŞTURMA
ALT ÖĞEYI SIL
İÇERİKLERİ Lİ
KENDI KENDINE YAZMA
WRITE ÖZELLIĞI
READ ÖZELLIĞI
Komut başarıyla tamamlandı
Silinen nesneler kapsayıcısındaki nesneleri görüntülemek için bir güvenlik sorumlusu izni vermek için aşağıdaki örneğe benzer bir komut yazın: dsacls "CN=Silinmiş Nesneler,DC=Contoso,DC=com" /g CONTOSO\EricLang:LCRP
Aşağıdaki örneğe benzer bir çıktı görüntülenmelidir:
Sahip: CONTOSO\Domain Admins
Grup: NT AUTHORITY\SYSTEM
Erişim listesi:
{Bu nesne üst öğeden izinleri devralmaktan korunuyor}
BUILTIN\Administrators ÖZEL ERİşİmİne İzin Ver
İÇERİKLERİ Lİ
READ ÖZELLIĞI
NT AUTHORITY\SYSTEM ÖZEL ERİşİmİNE İzin Ver
SİLMEK
OKUMA PERMISSONS
YAZMA IZINLERI
SAHIPLIĞI DEĞIŞTIR
ALT ÖĞE OLUŞTURMA
ALT ÖĞEYI SIL
İÇERİKLERİ Lİ
KENDI KENDINE YAZMA
WRITE ÖZELLIĞI
READ ÖZELLIĞI
CONTOSO\EricLang ÖZEL ERİşİmİne İzin Ver
İÇERİKLERİ Lİ
READ ÖZELLIĞI
Komut başarıyla tamamlandı
Bu örnekte, "CONTOSO\EricLang" kullanıcısının "CONTOSO" etki alanındaki silinmiş nesneler kapsayıcısında Liste İçeriği ve Okuma Özelliği izinleri verilmiştir. Bu izinler, bu kullanıcının silinen nesneler kapsayıcısının içeriğini görüntülemesine izin verir, ancak bu kullanıcının kapsayıcıdaki nesnelerde değişiklik yapmasına izin vermez. Bu izinler, Yöneticiler grubuna verilen varsayılan izinlere eşdeğerdir. Varsayılan olarak, yalnızca Sistem hesabının silinen nesneler kapsayıcısında nesneleri değiştirme izni vardır.
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin