如何在活動目錄中查看已刪除的對象

Question

您可以告訴我，如何在沒有管理員登錄的情況下查看活動目錄中已刪除的對象。否則，請告訴我可以使用哪些ACE來查看這些已刪除的對象。

Answer 1

要查看存儲在Active Directory域控制器上刪除的對象：

1. 啓動Ldp.exe，然後單擊連接菜單上的連接。鍵入企業中的域控制器的服務器名稱，驗證端口設置設置爲389，單擊以清除無連接複選框，然後單擊確定。連接建立後，服務器特定的數據將顯示在右側窗格中。
2. 在連接菜單上，單擊綁定。在相應的框中鍵入用戶名，密碼和域名（採用DNS格式）（您可能需要單擊以選中域複選框），然後單擊確定。如果綁定成功，您應該在右側窗格中收到類似於「Authenticated as dn：'YourUserID'」的消息。

3. 在視圖菜單上，單擊樹。在「基本DN」框中鍵入域的可分辨名稱（DN）。基準DN是開始搜索的Active Directory層次結構中的起點。在基本DN框中，鍵入 dc =，dc = 替換並帶有相應的域名。

   這會在您輸入的DN開始的左側窗格中生成樹視圖。雙擊樹視圖的根節點，並在右側窗格中找到與「wellKnownObjects」屬性關聯的數據。查找與「已刪除對象」數據關聯的行。例如，這可能看起來像： B：32：18E2EA80684F11D2B9AA00C04F79F805：CN =已刪除對象 ，DC = YOURDOMAIN，DC = COM

4. 複製所有的第二結腸以下但第三冒號之前的數據。例如： 18E2EA80684F11D2B9AA00C04F79F805

5. 在瀏覽菜單上，單擊搜索。在基本DN框中，鍵入 <WKGUID=18E2EA80684F11D2B9AA00C04F79F805,DC=YOURDOMAIN,DC=COM> 用您在上一步中複製的值替換「18E2EA80684F11D2B9AA00C04F79F805」。

   注意：起始和結尾「<」和「>」字符非常重要。

6. 在篩選框中，鍵入： （objectClass的= *）

7. 單擊選項，然後單擊控件。在對象標識符框中鍵入： 1.2.840.113556.1.4.417
8. 清除值框，將控件類型設置爲服務器，單擊以清除關鍵複選框，然後單擊檢入>>。點擊確定。

9. 在對話框中的搜索呼叫類型部分，單擊擴展並檢查下面的複選框的狀態： 屬性僅 - 清除 大通推薦 - 清除 顯示結果 - 選擇 集「大小限制：」到一個足夠大的值，以便查詢可以返回目錄中的所有已刪除對象。 LDP將返回到「大小限制：」中指定的對象數量，如果有更多的對象無法返回，它將記錄一個錯誤。在右側窗格中返回的錯誤是： 錯誤：搜索：超出大小限制。 < 4> 如果遇到此錯誤，請將「尺寸限制：」設置得更高，然後再次執行搜索。

   如有必要，請將超時值從零修改爲60000毫秒。

10。單擊確定關閉搜索選項對話框，單擊範圍框中的子樹，然後單擊運行。

可在http://support.microsoft.com/kb/258310

Answer 2

同一內容的規定這個問題的答案可以在kb892806找到。總之：

To modify the permissions on the deleted objects container so that non-administrators can view this container, use the DSACLS.exe program.

To grant a security principal permission to view the objects in the deleted objects container, type a command that is similar to the following example: dsacls "CN=Deleted Objects,DC=Contoso,DC=com" /g CONTOSO\EricLang:LCRP

In this example, the user "CONTOSO\EricLang" has been granted List Contents and Read Property permissions on the deleted objects container in the "CONTOSO" domain.