A.0 CN=Deleted Objectsコンテナの許可の変更

Active Directoryオブジェクトが削除されると、変更を複製している他のドメインコントローラが削除に気付くように、オブジェクトの一部が、指定した時間だけそのまま残されます。デフォルトでは、SystemアカウントとAdministratorsグループのメンバーだけが、このコンテナの内容を表示できます。この節では、CN=Deleted Objectsコンテナの許可を変更する方法について説明します。

System以外またはAdmin以外のアカウントでActive Directoryへのバインドおよびディレクトリ変更のポーリングを行うエンタープライズアプリケーションまたはエンタープライズサービスがある場合は、Deleted Objectsコンテナの許可の変更を必要とすることがあります。

このプロセスには、Active Directory Application Mode (ADAM)パッケージのdscals.exeが必要です。このバージョンは、Windows Server 2003 Support Tools内のそのファイルのアップグレードであり、現在は必要な機能をサポートしています。ADAM管理ツールは、Windows XP Professional、Windows Server 2003 Standard Edition、Windows Server 2003 Enterprise Edition、およびWindows Server 2003 Datacenter Editionでサポートされています。

ADAM管理ツールを取得してインストールする

  1. ADAM Webページから、ADAMリテールパッケージをダウンロードします。

  2. ダウンロードしたファイルをダブルクリックして、アーカイブを抽出するディレクトリを指定します。

  3. adamsetup.exeをダブルクリックしてActive Directory Application Modeセットアップウィザードを起動し、[次へ]をクリックします。

  4. 使用許諾契約書の条項を確認して同意し、[次へ]をクリックします。

  5. ADAM管理ツールだけを選択して、[次へ]をクリックします。

  6. 選択した内容を確認して、[次へ]をクリックします。

  7. セットアップが完了したら、[終了]をクリックします。

ADAM管理ツールのインストール後に、次のようにCN=Deleted Objectsコンテナの許可を変更します。

  1. Domain Adminsグループのメンバーであるユーザアカウントでログインします。

  2. [スタート]>[すべてのプログラム]>[ADAM]>[ADAM Tools Command Prompt (ADAMツールコマンドプロンプト)]の順にクリックします。

  3. コマンドプロンプトで、次のコマンドを入力します。

    dsacls "CN=Deleted Objects,DC=Contoso,DC=com" /takeownership

    自分自身のドメインをDeleted Objectsコンテナの識別名に置き換えます。

    フォレストの各ドメインには、独自のDeleted Objectsコンテナがあります。

    次の出力が表示されます。

    Owner: Contoso\Domain Admins Group: NT AUTHORITY\SYSTEM Access list: {This object is protected from inheriting permissions from the parent} Allow BUILTIN\Administrators  SPECIAL ACCESS LIST CONTENTS READ PROPERTY Allow NT AUTHORITY\SYSTEM     SPECIAL ACCESS DELETE READ PERMISSONS WRITE PERMISSIONS CHANGE OWNERSHIP CREATE CHILD DELETE CHILD LIST CONTENTS WRITE SELF WRITE PROPERTY READ PROPERTY The command completed successfully

  4. CN=Deleted Objectsコンテナ内のオブジェクトを表示するためにセキュリティプリンシパルの許可を付与するには、次のコマンドを入力します。

    dsacls "CN=Deleted Objects,DC=Contoso,DC=com" /g CONTOSO\JaneDoe:LCRP

    この例では、ユーザCONTOSO\JaneDoeが、コンテナの内容の表示とプロパティの読み込みの許可が付与されています。ユーザがDeleted Objectsコンテナの内容を表示するには、これらの許可で十分です。ただし、こうした許可では、ユーザが該当するオブジェクトに変更を加えることはできません。これらの許可は、Administratorsグループに付与されているデフォルトのアクセス許可と同等です。デフォルトでは、Systemアカウントだけが、Deleted Objectsコンテナ内のオブジェクトを変更できます。

    次の出力が表示されます。

    	Owner: CONTOSO\Domain Admins Group: NT AUTHORITY\SYSTEM Access list: {This object is protected from inheriting permissions from the parent} Allow BUILTIN\Administrators  SPECIAL ACCESS LIST CONTENTS READ PROPERTY Allow NT AUTHORITY\SYSTEM     SPECIAL ACCESS DELETE READ PERMISSONS WRITE PERMISSIONS CHANGE OWNERSHIP CREATE CHILD DELETE CHILD LIST CONTENTS WRITE SELF WRITE PROPERTY READ PROPERTY Allow CONTOSO\JaneDoe         SPECIAL ACCESS LIST CONTENTS READ PROPERTY The command completed successfully.

    これで、ユーザCONTOSO\JaneDoeは、CONTOSOドメイン内の削除されたオブジェクトを表示できます。