A.0 更改对 CN=Deleted Objects 树枝的许可权限

删除了一个 Active Directory 对象后,将在指定的时间内保留该对象的一小部分,以便复制更改的其它域控制器知道发生了删除。 默认情况下,只有 System 帐户和 Administrators 组的成员才能查看该树枝的内容。 本节说明如何修改对 CN=Deleted Objects 树枝的许可权限。

如果企业应用程序或服务使用非 System 帐户或非 Admin 帐户联结到 Active Directory,并且它们会巡回检测目录更改,则可能需要更改对 Deleted Objects 树枝的许可权限。

此过程需要 Active Directory 应用程序方式 (ADAM) 包中的 dscals.exe。 此版本是从 Windows Server 2003 支持工具中的版本升级而来的,它现在支持必需的功能。 ADAM 管理工具受 Windows XP Professional、Windows Server 2003 Standard Edition、Windows Server 2003 Enterprise Edition 和 Windows Server 2003 Datacenter Edition 的支持。

要获取和安装 ADAM 管理工具,请执行下列操作:

  1. ADAM 万维网网页上,下载 ADAM 零售包。

  2. 双击下载的文件,然后提供档案解压缩到的目录。

  3. 双击 adamsetup.exe,启动 Active Directory 应用程序方式设置向导,然后单击《下一步》

  4. 查看并接受许可条款,然后单击《下一步》

  5. 只选择 ADAM 管理工具,然后单击《下一步》

  6. 查看选择,然后单击《下一步》

  7. 结束设置后,单击《完成》

安装 ADAM 管理工具后,修改对 CN=Deleted Objects 树枝的许可权限:

  1. 使用作为 Domain Admins 组成员的用户帐户登录。

  2. 单击《开始》>《所有程序》>《ADAM》>《ADAM 工具命令提示符》

  3. 在命令提示符下,输入以下命令:

    dsacls "CN=Deleted Objects,DC=Contoso,DC=com" /takeownership

    替代您自己的域的 Deleted Objects 树枝的判别名。

    林中的每个域都将有其自身的 Deleted Objects 树枝。

    应显示以下输出:

    Owner: Contoso\Domain Admins Group: NT AUTHORITY\SYSTEM Access list: {This object is protected from inheriting permissions from the parent} Allow BUILTIN\Administrators  SPECIAL ACCESS LIST CONTENTS READ PROPERTY Allow NT AUTHORITY\SYSTEM     SPECIAL ACCESS DELETE READ PERMISSONS WRITE PERMISSIONS CHANGE OWNERSHIP CREATE CHILD DELETE CHILD LIST CONTENTS WRITE SELF WRITE PROPERTY READ PROPERTY The command completed successfully

  4. 要授予安全主体许可权限以查看 CN=Deleted Objects 树枝中的对象,请输入以下命令:

    dsacls "CN=Deleted Objects,DC=Contoso,DC=com" /g CONTOSO\JaneDoe:LCRP

    在此示例中,已经为用户 CONTOSO\JaneDoe 授予对树枝的《列出内容》和《读属性》许可权限。 这些许可权限足以让用户查看 Deleted Objects 树枝的内容。 但是,这些许可权限不允许用户对该树枝中的对象执行任何更改。 这些许可权限等效于授予给 Administrators 组的默认许可权限。 默认情况下,只有 System 帐户有权修改 Deleted Objects 树枝中的对象。

    应显示以下输出:

    	Owner: CONTOSO\Domain Admins Group: NT AUTHORITY\SYSTEM Access list: {This object is protected from inheriting permissions from the parent} Allow BUILTIN\Administrators  SPECIAL ACCESS LIST CONTENTS READ PROPERTY Allow NT AUTHORITY\SYSTEM     SPECIAL ACCESS DELETE READ PERMISSONS WRITE PERMISSIONS CHANGE OWNERSHIP CREATE CHILD DELETE CHILD LIST CONTENTS WRITE SELF WRITE PROPERTY READ PROPERTY Allow CONTOSO\JaneDoe         SPECIAL ACCESS LIST CONTENTS READ PROPERTY The command completed successfully.

    现在,用户 CONTOSO\JaneDoe 有权查看 CONTOSO 域中的已删除对象。