2

管理者ログインなしでActiveDirectory内の削除されたオブジェクトを表示する方法を教えてください。それ以外の場合は、削除されたオブジェクトを表示するために使用できるACEを教えてください。

4

2 に答える 2

4

Active Directoryドメインコントローラーに保存されている削除済みオブジェクトを表示するには、次の手順に従います。

  1. Ldp.exeを起動し、[接続]メニューの[接続]をクリックします。企業内のドメインコントローラーのサーバー名を入力し、[ポート]設定が389に設定されていることを確認し、[コネクションレス]チェックボックスをオフにして、[OK]をクリックします。接続が確立されると、サーバー固有のデータが右側のペインに表示されます。
  2. [接続]メニューで、[バインド]をクリックします。適切なボックスにユーザー名、パスワード、およびドメイン名(DNS形式)を入力し([ドメイン]チェックボックスをクリックして選択する必要がある場合があります)、[OK]をクリックします。バインドが成功すると、右側のペインに「Authenticated as dn:'YourUserID'」のようなメッセージが表示されます。

  3. [表示]メニューで、[ツリー]をクリックします。[ベースDN]ボックスにドメインの識別名(DN)を入力します。ベースDNは、検索が開始されるActiveDirectory階層の開始点です。[ベースDN]ボックスに、「dc =、dc =」と入力し、適切なドメイン名に置き換えます。

    これにより、入力したDNで始まるツリービューが左側のペインに生成されます。ツリービューのルートノードをダブルクリックし、右側のペインで「wellKnownObjects」属性に関連付けられているデータを見つけます。「削除されたオブジェクト」データに関連付けられている行を探します。たとえば、次のようになります。B:32:18E2EA80684F11D2B9AA00C04F79F805:CN =削除されたオブジェクト、DC = YOURDOMAIN、DC = COM

  4. 2番目のコロンの後、3番目のコロンの前にあるすべてのデータをコピーします。例:18E2EA80684F11D2B9AA00C04F79F805

  5. [参照]メニューで、[検索]をクリックします。[ベースDN]ボックスに、 <WKGUID=18E2EA80684F11D2B9AA00C04F79F805,DC=YOURDOMAIN,DC=COM> 「18E2EA80684F11D2B9AA00C04F79F805」を前の手順でコピーした値に置き換えて入力します。

    注:開始文字と終了文字の「<」と「>」は非常に重要です。

  6. [フィルター]ボックスに次のように入力します:(objectClass = *)

  7. [オプション]をクリックし、[コントロール]をクリックします。[オブジェクト識別子]ボックスに、次のように入力します:1.2.840.113556.1.4.417
  8. [値]ボックスをオフにし、[コントロールの種類]を[サーバー]に設定し、[クリティカル]チェックボックスをオフにして、[チェックイン]>>をクリックします。[OK]をクリックします。

  9. ダイアログボックスの[通話タイプの検索]セクションで、[拡張]をクリックし、次のチェックボックスの状態をチェックします。属性のみ-チェイス参照をクリア-結果の表示をクリア-[サイズ制限:]を十分に大きい値に設定して、ディレクトリ内の削除されたオブジェクトは、クエリによって返される可能性があります。LDPは、「サイズ制限:」で指定された数のオブジェクトを返します。返すことができないオブジェクトがさらにある場合は、エラーをログに記録します。右側のペインに返されるエラーは次のとおりです。エラー:検索:サイズ制限を超えました。<4>このエラーが発生した場合は、「サイズ制限:」を高く設定して、検索をやり直してください。

    必要に応じて、タイムアウト値を0から60000ミリ秒に変更します。

10。[OK]をクリックして[検索オプション]ダイアログボックスを閉じ、[スコープ]ボックスの[サブツリー]をクリックして、[実行]をクリックします。

http://support.microsoft.com/kb/258310で入手可能な同じ情報

于 2009-07-22T09:54:14.553 に答える
1

この質問に対する答えは、kb892806にあります。要するに:

削除済みオブジェクト コンテナーのアクセス許可を変更して、管理者以外がこのコンテナーを表示できるようにするには、DSACLS.exe プログラムを使用します。

削除済みオブジェクト コンテナー内のオブジェクトを表示するためのセキュリティ プリンシパル アクセス許可を付与するには、次の例のようなコマンドを入力します。

この例では、ユーザー "CONTOSO\EricLang" には、"CONTOSO" ドメイン内の削除済みオブジェクト コンテナーに対する List Contents および Read Property のアクセス許可が付与されています。

于 2009-08-24T14:08:26.167 に答える