Yönetici olmayanların Active Directory silinen nesneler kapsayıcısını görüntülemesine izin verme

  • Makale

Bu makalede, yönetici olmayanların Active Directory silinen nesneler kapsayıcısını görüntüleyebilmesi için izinlerin nasıl değiştirildiği açıklanmaktadır.

Şunlar için geçerlidir: Windows Server 2012 R2
Özgün KB numarası: 892806

Özet

Active Directory nesnesi silindiğinde, nesnenin küçük bir bölümü belirtilen süre boyunca silinmiş nesneler kapsayıcısında kalır. Değişiklikleri çoğaltan diğer etki alanı denetleyicilerinin silme işlemini fark edebilmesi için burada kalır. Varsayılan olarak, bu kapsayıcının içeriğini yalnızca Sistem hesabı ve Yöneticiler grubunun üyeleri görüntüleyebilir. Bu makalede, silinen nesneler kapsayıcısı üzerindeki izinlerin nasıl değiştirileceği açıklanır.

Aşağıdaki koşullar doğruysa silinen nesneler kapsayıcısı üzerindeki izinleri değiştirmeniz gerekebilir:

  • Active Directory'ye Sistem dışı bir hesapla veya Yönetici olmayan bir hesapla bağlanan kurumsal uygulamalarınız veya hizmetleriniz var.
  • Bu kurumsal uygulamalar veya hizmetler dizin değişikliklerini yoklar.

Daha fazla bilgi

Yönetici olmayanların bu kapsayıcıyı görüntüleyebilmesi için silinen nesneler kapsayıcısının izinlerini değiştirmek için DSACLS.exe programını kullanın. DSACLS.exe programı Active Directory Uygulama Modu (ADAM) Yönetim Araçları'na dahil edilir.

Windows Server 2008 ve daha yeni sürümler için araç işletim sistemine dahil edilir.

Windows 2000 ve Server 2003 için ADAM Yönetim Araçları'nı edinip yükleyerek bu işlemi gerçekleştirebilirsiniz, aşağıdaki adımları izleyin:

  1. ADAM perakende paketini indirin.

    Microsoft Desteği dosyalarını indirme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
    119591 Microsoft'tan Microsoft destek dosyalarını alma çevrimiçi hizmetler Microsoft bu dosyayı virüs taramasına karşı taradı. Microsoft, dosyanın yayımlandığı tarihte kullanılabilen en güncel virüs algılama yazılımını kullandı. Dosya, dosyada yetkisiz değişikliklerin önlenmesine yardımcı olan, güvenliği iyileştirilmiş sunucularda depolanır.

    Not

    ADAM Yönetim Araçları'nın bu sürümü, Windows Server 2003 Destek Araçları'ndaki sürümden bir yükseltmedir. ADAM Yönetim Araçları'nın bu sürümü Microsoft Windows Server 2003, Standard Edition tarafından desteklenir; Microsoft Windows Server 2003, Enterprise Sürümü; Microsoft Windows Server 2003, Datacenter Edition; ve Microsoft Windows XP Professional.

  2. 1. adımda indirdiğiniz dosyanın içeriğini ayıklamak için, dosyaya çift tıklayın ve istendiğinde bir dizin belirtin.

  3. 2. adımda dosyayı ayıkladığınız dizinde, Active Directory Uygulama Modu Kurulum Sihirbazı'nı Adamsetup.exe başlatmak için programa çift tıklayın ve ardından İleri'ye tıklayın.

  4. Lisans koşullarını gözden geçirip kabul edin ve İleri'ye tıklayın.

  5. Yalnızca ADAM yönetim araçları'nı seçin ve İleri'ye tıklayın.

  6. Seçimlerinizi gözden geçirin ve İleri'ye tıklayın.

  7. Kurulum tamamlandığında Son'a tıklayın.

ADAM Yönetim Araçları'nı yükledikten sonra, silinen nesneler kapsayıcısı üzerindeki izinleri değiştirebilirsiniz. Bunu yapmak için şu adımları uygulayın:

  1. Domain Admins grubunun üyesi olan bir kullanıcı hesabıyla oturum açın.

  2. Başlat'a tıklayın, Tüm Programlar'ın üzerine gelin, ADAM'ın üzerine gelin ve ADAM Araçları Komut İstemi'ne tıklayın.

  3. Komut isteminde, aşağıdaki örneğe benzer bir komut yazın: dsacls "CN=Deleted Objects,DC=Contoso,DC=com" /takeownership.

    • Bu komutu yazdığınızda, etki alanınız için silinen nesneler kapsayıcısının adını kullanın.

    • Ormandaki her etki alanının kendi silinmiş nesneler kapsayıcısı olacaktır. Aşağıdaki örneğe benzer bir çıktı görüntülenmelidir:

      Sahip: Contoso\Domain Admins
      Grup: NT AUTHORITY\SYSTEM
      Erişim listesi:
      {Bu nesne üst öğeden izinleri devralmaktan korunuyor}
      BUILTIN\Administrators ÖZEL ERİşİmİne İzin Ver
      İÇERİKLERİ Lİ
      READ ÖZELLIĞI
      NT AUTHORITY\SYSTEM ÖZEL ERİşİmİNE İzin Ver
      SİLMEK
      OKUMA PERMISSONS
      YAZMA IZINLERI
      SAHIPLIĞI DEĞIŞTIR
      ALT ÖĞE OLUŞTURMA
      ALT ÖĞEYI SIL
      İÇERİKLERİ Lİ
      KENDI KENDINE YAZMA
      WRITE ÖZELLIĞI
      READ ÖZELLIĞI
      Komut başarıyla tamamlandı

  4. Silinen nesneler kapsayıcısındaki nesneleri görüntülemek için bir güvenlik sorumlusu izni vermek için aşağıdaki örneğe benzer bir komut yazın: dsacls "CN=Silinmiş Nesneler,DC=Contoso,DC=com" /g CONTOSO\EricLang:LCRP

    Aşağıdaki örneğe benzer bir çıktı görüntülenmelidir:

    Sahip: CONTOSO\Domain Admins
    Grup: NT AUTHORITY\SYSTEM
    Erişim listesi:
    {Bu nesne üst öğeden izinleri devralmaktan korunuyor}
    BUILTIN\Administrators ÖZEL ERİşİmİne İzin Ver
    İÇERİKLERİ Lİ
    READ ÖZELLIĞI
    NT AUTHORITY\SYSTEM ÖZEL ERİşİmİNE İzin Ver
    SİLMEK
    OKUMA PERMISSONS
    YAZMA IZINLERI
    SAHIPLIĞI DEĞIŞTIR
    ALT ÖĞE OLUŞTURMA
    ALT ÖĞEYI SIL
    İÇERİKLERİ Lİ
    KENDI KENDINE YAZMA
    WRITE ÖZELLIĞI
    READ ÖZELLIĞI
    CONTOSO\EricLang ÖZEL ERİşİmİne İzin Ver
    İÇERİKLERİ Lİ
    READ ÖZELLIĞI
    Komut başarıyla tamamlandı

Bu örnekte, "CONTOSO\EricLang" kullanıcısının "CONTOSO" etki alanındaki silinmiş nesneler kapsayıcısında Liste İçeriği ve Okuma Özelliği izinleri verilmiştir. Bu izinler, bu kullanıcının silinen nesneler kapsayıcısının içeriğini görüntülemesine izin verir, ancak bu kullanıcının kapsayıcıdaki nesnelerde değişiklik yapmasına izin vermez. Bu izinler, Yöneticiler grubuna verilen varsayılan izinlere eşdeğerdir. Varsayılan olarak, yalnızca Sistem hesabının silinen nesneler kapsayıcısında nesneleri değiştirme izni vardır.