Active directory 如何在active directory中查看已删除的对象

你能告诉我，如何在没有管理员登录的情况下查看active directory中已删除的对象吗。否则，请告诉我可以使用哪些ACE查看这些已删除的对象。

要查看存储在Active Directory域控制器上的已删除对象，请执行以下操作：

启动Ldp.exe，然后单击连接菜单上的连接。键入企业中域控制器的服务器名称，验证端口设置是否设置为389，单击以清除无连接复选框，然后单击确定。建立连接后，右侧窗格中将显示特定于服务器的数据

在“连接”菜单上，单击“绑定”。在相应的框中键入用户名、密码和域名（DNS格式）（您可能需要单击以选中域复选框），然后单击确定。如果绑定成功，您将在右侧窗格中收到类似于“Authenticated as dn:'YourUserID'”的消息

在“视图”菜单上，单击“树”。在“基本DN”框中键入域的可分辨名称（DN）。基本DN是Active Directory层次结构中搜索开始的起点。在“基本DN”框中，键入 dc=，dc= 用适当的域名替换和

这将在左窗格中生成一个以键入的DN开头的树视图。双击树状视图的根节点，并在右侧窗格中找到与“wellKnownObjects”属性关联的数据。查找与“已删除对象”数据关联的行。例如，这可能看起来像： B:32:18E2EA80684F11D2B9AA00C004F79F805:CN=已删除 对象，DC=YOURDOMAIN，DC=COM

复制第二个冒号之后但第三个冒号之前的所有数据。例如： 18E2EA80684F11D2B9AA00C04F79F805

在浏览菜单上，单击搜索。在“基本DN”框中，键入

将“18E2EA80684F11D2B9AA00C04F79F805”替换为上一步复制的值

注意：开始和结束“”字符非常重要

在“过滤器”框中，键入： （objectClass=*）

单击选项，然后单击控件。在“对象标识符”框中，键入： 1.2.840.113556.1.4.417

清除值框，将控件类型设置为服务器，单击以清除关键复选框，然后单击签入>>。单击“确定”

在对话框的“搜索呼叫类型”区域中，单击“扩展”，并选中以下复选框的状态： 仅属性-清除 追踪转介-清除 显示结果-已选择 将“大小限制：”设置为足够大的值，以便查询可以返回目录中所有已删除的对象。LDP将返回最多“大小限制：”中指定的对象数，如果有更多的对象无法返回，它将记录一个错误。右侧窗格中返回的错误为： 错误：搜索：超出大小限制。 如果遇到此错误，请将“大小限制：”设置得更高，然后再次执行搜索

如有必要，将超时值从0修改为60000毫秒

十,。单击“确定”关闭“搜索选项”对话框，在“范围”框中单击“子树”，然后单击“运行”

---

此问题的答案可在中找到。简言之：

要修改上的权限，请执行以下操作： 已删除对象容器，以便 非管理员可以查看此信息 容器，请使用DSACLS.exe程序

授予担保本金 在中查看对象的权限 已删除对象容器，类型a 类似于 以下示例：dsacls“CN=Deleted 对象，DC=Contoso，DC=com”/g CONTOSO\EricLang:LCRP

在本例中，用户 “CONTOSO\EricLang”已被授予 列出内容和读取属性 对已删除对象的权限 “CONTOSO”域中的容器

---

您可能只想添加LO（列出对象）权限。如果您执行其他操作，则可能在目录中创建了一个意外的安全漏洞。将CN=已删除对象视为一个常见的“回收站”。通过向“已删除对象”容器授予“读取属性”，即授予对任何已删除对象的对象数据的读取权限，无论当前用户是否有权在其原始位置查看该对象。对象ACL在CN=Deleted对象中持久化，因此通过仅授予ListObject，您可以保留现有的安全方案。