Řízení přístupu lze ve službě AD LDS (Active Directory Lightweight Directory Services) provádět na úrovni oddílu adresáře tak, že přiřadíte členství uživatelů ke skupinám založeným na rolích, které jsou umístěny v jednotlivých oddílech. Řízení přístupu ve službě AD LDS je možné přizpůsobit rovněž u jednotlivých objektů pomocí nástroje příkazového řádku dsacls.
Tento postup mohou provádět pouze členové skupiny Administrators v instanci služby AD LDS. Ve výchozím nastavení se zaregistrovaný objekt zabezpečení, který během instalace služby AD LDS určíte jako správce služby AD LDS, stane členem skupiny Administrators v oddílu konfigurace. Další informace o skupinách služby AD LDS naleznete v tématu Principy uživatelů a skupin služby AD LDS.
 | Zobrazení nebo nastavení oprávnění u objektu adresáře |
Otevřete příkazový řádek.
Na příkazovém řádku zadejte některý z následujících příkazů:
-
Chcete-li zobrazit seznam platných oprávnění u objektu adresáře, zadejte následující příkaz a potom stiskněte klávesu ENTER:
dsacls \\hostname:portnumber\object_dn
Příklad:Parametr Popis hostname
Název počítače, ve kterém je spuštěna instance služby AD LDS s daným objektem adresáře.
portnumber
Číslo komunikačního portu, pomocí něhož instance služby AD LDS komunikuje.
object_dn
Rozlišující název objektu adresáře.
dsacls \\localhost:389\O=Microsoft,C=US
-
Chcete-li udělit oprávnění k objektu adresáře, zadejte následující příkaz a potom stiskněte klávesu ENTER:
dsacls \\hostname:portnumber\object_dn /G user_or_group:Permissions
Příklad:Parametr Popis hostname
Název počítače, ve kterém je spuštěna instance služby AD LDS s daným objektem adresáře.
portnumber
Číslo komunikačního portu, pomocí něhož instance služby AD LDS komunikuje.
object_dn
Rozlišující název objektu adresáře.
user_or_group
Uživatel nebo skupina, na něž se příslušná oprávnění vztahují.
Permissions
Oprávnění, jež mají být udělena.
dsacls "\\localhost:389\cn=Object1, cn=container1,O=Microsoft,C=US" /G "CN=inetuser1,O=Microsoft,C=US":SD
-
Chcete-li odepřít oprávnění k objektu adresáře, zadejte následující příkaz a potom stiskněte klávesu ENTER:
dsacls \\hostname:portnumber\object_dn /D user_or_group:PermissionStatement
Příklad:Parametr Popis hostname
Název počítače, ve kterém je spuštěna instance služby AD LDS s daným objektem adresáře.
portnumber
Číslo komunikačního portu, pomocí něhož instance služby AD LDS komunikuje.
object_dn
Rozlišující název objektu adresáře.
user_or_group
Uživatel nebo skupina, na něž se příslušná oprávnění vztahují.
PermissionStatement
Oprávnění, jež mají být odepřena.
dsacls "\\localhost:389\cn=Object1, cn=container1,O=Microsoft,C=US" /D "CN=inetuser1,O=Microsoft,C=US":SD
-
Chcete-li zobrazit seznam platných oprávnění u objektu adresáře, zadejte následující příkaz a potom stiskněte klávesu ENTER:
Další informace
-
Chcete-li otevřít příkazový řádek, klikněte na tlačítko Start, klikněte pravým tlačítkem myši na možnost Příkazový řádek a potom klikněte na možnost Spustit jako správce.
-
Chcete-li zobrazit úplný popis všech parametrů, které lze použít společně s příkazem dsacls (včetně nastavení dědičnosti), zadejte na příkazovém řádku příkaz dsacls /?.
-
Objektu adresáře, který se nachází ve více replikách daného oddílu adresáře, jsou přidělena stejná oprávnění u všech replikovaných oddílů.
- Úkoly v daném postupu lze zároveň provést pomocí modulu služby Active Directory pro prostředí Windows PowerShell™. Prostředí Modul služby Active Directory otevřete kliknutím na tlačítko Start, na možnost Nástroje pro správu a potom na položku Modul služby Active Directory pro prostředí Windows PowerShell. Další informace naleznete v tématu Zobrazení a nastavení oprávnění u adresářových objektů (
https://go.microsoft.com/fwlink/?LinkId=137814 (Stránka může být v angličtině.) ). Další informace o prostředí Windows PowerShell naleznete na webu Windows PowerShell (https://go.microsoft.com/fwlink/?LinkID=102372 (Stránka může být v angličtině.) ).