您能告诉我,如何在没有管理员登录的情况下查看活动目录中已删除的对象吗?否则请告诉我可以使用哪些 ACE 来查看那些已删除的对象。
要查看 Active Directory 域控制器上存储的已删除对象:
在“视图”菜单上,单击“树”。在基本 DN 框中键入域的专有名称 (DN)。基本 DN 是 Active Directory 层次结构中搜索开始的起点。在基本 DN 框中,键入 直流=,直流= 将 和 替换为适当的域名。
这会在左侧窗格中生成一个以您键入的 DN 开头的树视图。双击树视图的根节点,然后在右侧窗格中找到与“wellKnownObjects”属性关联的数据。查找与“已删除对象”数据关联的行。例如,这可能看起来像: B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=已删除 对象,DC=YOURDOMAIN,DC=COM
在浏览菜单上,单击搜索。在基本 DN 框中,键入
<WKGUID=18E2EA80684F11D2B9AA00C04F79F805,DC=YOURDOMAIN,DC=COM>
将“18E2EA80684F11D2B9AA00C04F79F805”替换为您在上一步中复制的值。
注意:开头和结尾的“<" and ">”字符非常重要。
在“过滤器”框中,键入: (对象类=*)
在对话框的“搜索呼叫类型”部分中,单击“扩展”并检查以下复选框的状态: 仅属性 - 已清除 大通转介 - 已清除 显示结果 - 已选择 将“大小限制:”设置为足够大的值,以便查询可以返回目录中所有已删除的对象。 LDP 将最多返回“Size Limit:”中指定的对象数量,如果还有更多对象无法返回,则会记录错误。右侧窗格中返回的错误是: 错误:搜索:超出大小限制。 <4> 如果您遇到此错误,请将“大小限制:”设置得更高,然后再次执行搜索。
如有必要,请将超时值从零修改为 60000 毫秒。
10 .单击“确定”关闭“搜索选项”对话框,单击“范围”框中的“子树”,然后单击“运行”。
获取相同信息这个问题的答案可以在kb892806找到。简而言之:
修改权限 删除对象容器以便 非管理员可以查看 容器,使用 DSACLS.exe 程序。
授予安全主体 查看对象的权限 已删除对象容器,键入 a 命令类似于 以下示例: dsacls "CN=Deleted 对象,DC=Contoso,DC=com" /g CONTOSO\EricLang:LCRP
在此示例中,用户 “CONTOSO\EricLang”已被授予 列出内容并读取属性 对已删除对象的权限 “CONTOSO”域中的容器。
一个简单的方法是使用 LDIFDE 工具来避免当你有一个大数据库时超时,并避免使用 get-adobject cmdlet 来处理超时。 所以基本上,只需这样做即可列出“CN =已删除对象”中的所有已删除对象
Ldifde -x -d“CN=已删除的对象,DC=您的,DC=域”-ddeletedobj.ldf
如果您还想要一种简单的方法来计算回收站中有多少对象,只需这样做
(Ldifde -x -d "CN=已删除的对象,DC=您的,DC=域"-ddeletedobj.ldf).count
希望有帮助!