管理者以外のユーザーが Active Directory 削除済みオブジェクト コンテナーを表示する方法

この記事では、管理者以外のユーザーが Active Directory 削除済みオブジェクト コンテナーを表示できるようアクセス許可を変更する方法について説明します。

適用対象:  Windows Server 2012R2
元の KB 番号:   892806

概要

Active Directory オブジェクトが削除された場合、オブジェクトの小さな部分は、指定した時間、削除されたオブジェクト コンテナーに残されます。 変更をレプリケートしている他のドメイン コントローラーが削除を認識する必要が生じ、そこに残っています。 既定では、System アカウントと Administrators グループのメンバーだけがこのコンテナーの内容を表示できます。 この記事では、削除されたオブジェクト コンテナーのアクセス許可を変更する方法について説明します。

次の条件に該当する場合は、削除されたオブジェクト コンテナーのアクセス許可を変更する必要があります。

  • 非システム アカウントまたは管理者以外のアカウントを使用して Active Directory にバインドするエンタープライズ アプリケーションまたはサービスがあります。
  • これらのエンタープライズ アプリケーションまたはサービスは、ディレクトリの変更をポーリングします。

詳細

管理者以外のユーザーがこのコンテナーを表示できるよう、削除されたオブジェクト コンテナーのアクセス許可を変更するには、DSACLS.exeします。 このDSACLS.exeは、Active Directory アプリケーション モード (ADAM) 管理ツールに含まれています。

このWindows Server 2008 以降の場合、このツールはオペレーティング システムに含まれます。

2000 Windows Server 2003 では、ADAM 管理ツールを取得してインストールすることでこれを実行できます。次の手順を実行します。

  1. ADAM リテール パッケージをダウンロードします。

    Microsoft サポート ファイルをダウンロードする方法の詳細については、次の記事番号をクリックして、マイクロソフト サポート技術情報の記事を表示します。
    119591 Microsoft がウイルスをスキャンしたオンライン サービスから Microsoft サポート ファイルを取得する方法。 Microsoft は、ファイルが投稿された日付に利用可能だった最新のウイルス検出ソフトウェアを使用しました。 ファイルはセキュリティが強化されたサーバーに保存され、ファイルに対する未承認の変更を防ぐのに役立ちます。

    注意

    このバージョンの ADAM 管理ツールは、サーバー 2003 サポート ツールのバージョンWindowsアップグレードです。 このバージョンの ADAM 管理ツールは、Microsoft Windows Server 2003、Standard Edition。Microsoft Windows Server 2003、Enterprise Edition。Microsoft Windows Server 2003,Datacenter Edition;および Microsoft Windows XP Professional。

  2. 手順 1 でダウンロードしたファイルの内容を抽出するには、ファイルをダブルクリックし、メッセージが表示されたらディレクトリを指定します。

  3. 手順 2 でファイルを抽出したディレクトリで、プログラムをダブルクリックして Active Directory アプリケーション モード セットアップ ウィザードを開始し、[次 Adamsetup.exe へ] をクリック します

  4. ライセンス条項を確認および同意して、[次へ] をクリックします。

  5. [ADAM 管理ツールのみ] を選択し、[次へ] を クリックします

  6. 選択内容を確認し、[次へ] を クリックします

  7. セットアップが完了したら、[完了] を クリックします

ADAM 管理ツールをインストールしたら、削除されたオブジェクト コンテナーのアクセス許可を変更できます。 これを行うには、次の手順を実行します。

  1. Domain Admins グループのメンバーであるユーザー アカウント でログオン します。

  2. [ スタート] ボタン をクリックし、[ すべてのプログラム] をポイントし、[ADAM] をポイントし、[ADAM ツール] コマンド プロンプト をクリックします

  3. コマンド プロンプトで、dsacls "CN=Deleted Objects,DC=Contoso,DC=com" /takeownership のようなコマンドを入力します。

    • このコマンドを入力する場合は、ドメインの削除済みオブジェクト コンテナーの名前を使用します。

    • フォレスト内の各ドメインには、独自の削除済みオブジェクト コンテナーがあります。 次の例に似た出力を表示する必要があります。

      所有者: Contoso\Domain Admins
      グループ: NT AUTHORITY\SYSTEM
      アクセス リスト:
      {このオブジェクトは親からのアクセス許可の継承から保護されています}
      BUILTIN\Administrators の特別なアクセスを許可する
      リストの内容
      READ プロパティ
      NT AUTHORITY\SYSTEM SPECIAL ACCESS を許可する
      DELETE
      PERMISSONS の読み取り
      書き込みアクセス許可
      所有権の変更
      子の作成
      子の削除
      リストの内容
      WRITE SELF
      WRITE プロパティ
      READ プロパティ
      コマンドが正常に完了している

  4. 削除されたオブジェクト コンテナー内のオブジェクトを表示するためのセキュリティ プリンシパルアクセス許可を付与するには、次の例のようなコマンドを入力します。dsacls "CN=Deleted Objects,DC=Contoso,DC=com" /g CONTOSO\EricLang:LCRP

    次の例に似た出力を表示する必要があります。

    所有者: CONTOSO\Domain Admins
    グループ: NT AUTHORITY\SYSTEM
    アクセス リスト:
    {このオブジェクトは親からのアクセス許可の継承から保護されています}
    BUILTIN\Administrators の特別なアクセスを許可する
    リストの内容
    READ プロパティ
    NT AUTHORITY\SYSTEM SPECIAL ACCESS を許可する
    DELETE
    PERMISSONS の読み取り
    書き込みアクセス許可
    所有権の変更
    子の作成
    子の削除
    リストの内容
    WRITE SELF
    WRITE プロパティ
    READ プロパティ
    CONTOSO\EricLang SPECIAL ACCESS を許可する
    リストの内容
    READ プロパティ
    コマンドが正常に完了している

この例では、"CONTOSO\EricLang" というユーザーに、"CONTOSO" ドメインの削除済みオブジェクト コンテナーに対するリスト コンテンツとプロパティの読み取りアクセス許可が付与されています。 これらのアクセス許可を使用すると、このユーザーは削除されたオブジェクト コンテナーの内容を表示できますが、このユーザーはコンテナー内のオブジェクトを変更することはできません。 これらのアクセス許可は、Administrators グループに付与される既定のアクセス許可と同じです。 既定では、削除されたオブジェクト コンテナー内のオブジェクトを変更する権限を持つのは System アカウントのみです。