如何在活动目录中查看已删除的对象

Question

您能告诉我，如何在没有管理员登录的情况下查看活动目录中的已删除对象。否则请告诉我可以使用哪些ACE来查看这些已删除的对象。

Answer 1

要查看存储在Active Directory域控制器上的已删除对象：

1. 启动Ldp.exe，然后单击“连接”菜单上的“连接”。在企业中键入域控制器的服务器名称，验证端口设置是否设置为389，单击以清除“无连接”复选框，然后单击“确定”。建立连接后，右窗格中将显示特定于服务器的数据。
2. 在“连接”菜单上，单击“绑定”。在相应的框中键入用户名，密码和域名（DNS格式）（可能需要单击以选中“域”复选框），然后单击“确定”。如果绑定成功，您应该会在右侧窗格中收到类似于“Authenticated as dn：'YourUserID'”的消息。

3. 在“视图”菜单上，单击“树”。在“基本DN”框中键入域的可分辨名称（DN）。基本DN是Active Directory层次结构中搜索开始的起点。在“基本DN”框中，键入   DC =，DC =   替换并使用适当的域名。

   这会在左侧窗格中生成一个树形视图，以您键入的DN开头。双击树视图的根节点，在右窗格中，找到与“wellKnownObjects”属性关联的数据。查找与“已删除对象”数据关联的行。例如，这可能看起来像：   B：32：18E2EA80684F11D2B9AA00C04F79F805：CN =已删除   对象，DC = YOURDOMAIN，DC = COM

4. 复制第二个冒号之后但第三个冒号之前的所有数据。例如：   18E2EA80684F11D2B9AA00C04F79F805

5. 在“浏览”菜单上，单击“搜索”。在“基本DN”框中，键入   <WKGUID=18E2EA80684F11D2B9AA00C04F79F805,DC=YOURDOMAIN,DC=COM>   将“18E2EA80684F11D2B9AA00C04F79F805”替换为您在上一步中复制的值。

   注意：开头和结尾“＆lt;”和“＆gt;”字符非常重要。

6. 在“过滤器”框中，键入：   （objectClass的= *）

7. 单击“选项”，然后单击“控件”。在“对象标识符”框中，键入：   1.2.840.113556.1.4.417
8. 清除“值”框，将“控件类型”设置为“服务器”，单击以清除“严重”复选框，然后单击“签入”＆gt;＆gt;。单击“确定”。

9. 在对话框的“搜索调用类型”部分中，单击“扩展”并检查以下复选框的状态：   仅属性 - 已清除   追逐转介 - 清除   显示结果 - 已选中   将“Size Limit：”设置为足够大的值，以便查询可以返回目录中的所有已删除对象。 LDP将返回“Size Limit：”中指定的对象数，如果有更多对象无法返回，则会记录错误。右侧窗格中返回的错误是：   错误：搜索：超出大小限制。 ＆LT 4是氢;   如果遇到此错误，请将“大小限制：”设置得更高，然后再次执行搜索。

   如有必要，请将超时值从零修改为60000毫秒。

10。单击“确定”关闭“搜索选项”对话框，单击“范围”框中的“子树”，然后单击“运行”。

http://support.microsoft.com/kb/258310

上提供的相同信息

Answer 2

这个问题的答案可以在kb892806中找到。简而言之：

  

修改权限   删除对象容器以便   非管理员可以查看此内容   容器，使用DSACLS.exe程序。

     

授予安全主体   查看对象的权限   删除对象容器，键入a   命令类似于   以下示例：dsacls“CN =已删除   对象，DC = Contoso，DC = com“/ g   CONTOSO \ EricLang：LCRP

     

在此示例中，用户   “CONTOSO \ EricLang”已获批准   列出内容和读取属性   已删除对象的权限   “CONTOSO”域中的容器。