A.0 變更 CN=Deleted Objects 容器的許可

Active Directory 物件刪除後,有一小部份物件會保留一段指定的時間,以便正在複製變更的其他領域控制器能注意到此刪除動作。 依預設,只有系統帳戶和「管理員」群組成員可以檢視此容器的內容。 本節描述如何修改 CN=Deleted Objects 容器的許可。

如果您的企業應用程式或服務以非系統帳戶或非管理員帳戶結合到 Active Directory,並輪詢目錄變更,則可能需要變更 Deleted Objects 容器的許可。

這個程序要求執行 Active Directory Application Mode (ADAM) 套件中的 dscals.exe。 此套件是「Windows Server 2003 支援工具」中版本的升級版,支援所有必要的功能。 Windows XP Professional、Windows Server 2003 Standard Edition、Windows Server 2003 Enterprise Edition 和 Windows Server 2003 Datacenter Edition 都支援 ADAM 管理工具。

若要取得並安裝 ADAM 管理工具:

  1. ADAM 網頁下載 ADAM 零售套件。

  2. 連按兩下已下載的檔案,並指定解壓縮歸檔的目的目錄。

  3. 連按兩下 adamsetup.exe 啟動「Active Directory Application Mode 設定精靈」,然後按「下一步」。

  4. 檢視並接受授權條款,然後按「下一步」。

  5. 僅選取 ADAM 管理工具,然後按「下一步」。

  6. 檢視選項,然後按「下一步」。

  7. 設定結束後,按一下「完成」。

安裝 ADAM 管理工具後,請修改 CN=Deleted Objects 容器的許可:

  1. 以「領域管理員」群組成員的使用者帳戶登入。

  2. 按一下「開始 > 程式集 > ADAM > ADAM 工具指令提示符」。

  3. 在指令提示符中輸入下列指令:

    dsacls "CN=Deleted Objects,DC=Contoso,DC=com" /takeownership

    取代自己領域之 Deleted Objects 容器的可識別名稱。

    樹系中的每一個領域都有自己的 Deleted Objects 容器。

    輸出顯示如下:

    Owner: Contoso\Domain Admins Group: NT AUTHORITY\SYSTEM Access list: {This object is protected from inheriting permissions from the parent} Allow BUILTIN\Administrators  SPECIAL ACCESS LIST CONTENTS READ PROPERTY Allow NT AUTHORITY\SYSTEM     SPECIAL ACCESS DELETE READ PERMISSONS WRITE PERMISSIONS CHANGE OWNERSHIP CREATE CHILD DELETE CHILD LIST CONTENTS WRITE SELF WRITE PROPERTY READ PROPERTY The command completed successfully

  4. 若要授予安全性主體檢視 CN=Deleted Objects 容器中物件的許可,請輸入下列指令:

    dsacls "CN=Deleted Objects,DC=Contoso,DC=com" /g CONTOSO\JaneDoe:LCRP

    在此範例中,授予了使用者 CONTOSO\JaneDoe 對容器的「列出內容」與「讀取內容」許可。 使用者擁有這些許可後,已足以檢視 Deleted Objects 容器的內容, 但還無法對此容器中的物件做任何變更。 這些許可與授予「管理員」群組的預設許可相等。 依預設,只有系統帳戶擁有修改 Deleted Objects 容器中物件的許可。

    輸出顯示如下:

    	Owner: CONTOSO\Domain Admins Group: NT AUTHORITY\SYSTEM Access list: {This object is protected from inheriting permissions from the parent} Allow BUILTIN\Administrators  SPECIAL ACCESS LIST CONTENTS READ PROPERTY Allow NT AUTHORITY\SYSTEM     SPECIAL ACCESS DELETE READ PERMISSONS WRITE PERMISSIONS CHANGE OWNERSHIP CREATE CHILD DELETE CHILD LIST CONTENTS WRITE SELF WRITE PROPERTY READ PROPERTY Allow CONTOSO\JaneDoe         SPECIAL ACCESS LIST CONTENTS READ PROPERTY The command completed successfully.

    現在,使用者 CONTOSO\JaneDoe 擁有檢視 CONTOSO 領域中已刪除物件的許可。