É possível reger o controlo de acesso nos Serviços LDS do Active Directory (AD LDS) ao nível de partição de directório atribuindo aos utilizadores associações a grupos baseados em funções localizados em cada partição. Também poderá personalizar o controlo de acesso no AD LDS numa base objecto a objecto, utilizando a ferramenta de linha de comandos dsacls.
Ser membro do grupo Administradores da instância do AD LDS é o requisito mínimo para concluir este procedimento. Por predefinição, o principal de segurança especificado como administrador do AD LDS durante o programa de configuração do AD LDS torna-se membro do grupo Administradores na partição de configuração. Para obter mais informações acerca dos grupos do AD LDS, consulte Noções sobre Utilizadores e Grupos do AD LDS.
Para ver ou definir permissões num objecto de directório |
Abra uma linha de comandos.
Na linha de comandos, efectue um dos seguintes procedimentos:
-
Para listar as permissões efectivas num objecto de directório, escreva o seguinte comando e prima ENTER:
dsacls \\hostname:portnumber\object_dn
Exemplo:Parâmetro Descrição hostname
O nome do computador em que a instância do AD LDS que possui o objecto de directório se encontra em execução.
portnumber
O número da porta de comunicações através da qual a instância do AD LDS comunica.
object_dn
O nome distinto do objecto de directório.
dsacls \\localhost:389\O=Microsoft,C=US
-
Para conceder permissões num objecto de directório, escreva o seguinte comando e prima ENTER:
dsacls \\hostname:portnumber\object_dn /G user_or_group:Permissions
Exemplo:Parâmetro Descrição hostname
O nome do computador em que a instância do AD LDS que possui o objecto de directório se encontra em execução.
portnumber
O número da porta de comunicações através da qual a instância do AD LDS comunica.
object_dn
O nome único do objecto de directório.
user_or_group
O utilizador ou grupo a quem as permissões são aplicadas.
Permissions
As permissões a conceder.
dsacls "\\localhost:389\cn=Object1, cn=container1,O=Microsoft,C=US" /G "CN=inetuser1,O=Microsoft,C=US":SD
-
Para negar permissões num objecto de directório, escreva o seguinte comando e prima ENTER:
dsacls \\hostname:portnumber\object_dn /D user_or_group:PermissionStatement
Exemplo:Parâmetro Descrição hostname
O nome do computador em que a instância do AD LDS que possui o objecto de directório se encontra em execução.
portnumber
O número da porta de comunicações através da qual a instância do AD LDS comunica.
object_dn
O nome único do objecto de directório.
user_or_group
O utilizador ou grupo a quem as permissões são aplicadas.
PermissionStatement
As permissões a negar.
dsacls "\\localhost:389\cn=Object1, cn=container1,O=Microsoft,C=US" /D "CN=inetuser1,O=Microsoft,C=US":SD
-
Para listar as permissões efectivas num objecto de directório, escreva o seguinte comando e prima ENTER:
Considerações adicionais
-
Para abrir uma linha de comandos, clique em Iniciar, clique com o botão direito do rato em Linha de Comandos e clique em Executar como administrador.
-
Para obter uma descrição completa de todos os parâmetros aplicáveis a dsacls, incluindo a definição da herança, escreva dsacls /? na linha de comandos.
-
Um objecto de directório que resida em várias réplicas de uma determinada partição de directório possui as mesmas permissões em todas as partições de réplicas.
- Também pode executar a tarefa deste procedimento utilizando o módulo Active Directory PowerShell para o Windows PowerShell™. Para abrir o Módulo do Active Directory, clique em Iniciar, clique em Ferramentas Administrativas e clique em Módulo do Active Directory para o Windows PowerShell. Para mais informações, consulte Ver ou Definir Permissões num Objecto de Directório (pode estar em inglês) (
https://go.microsoft.com/fwlink/?LinkId=137814 ). Para mais informações sobre o Windows PowerShell, consulte Windows PowerShell (pode estar em inglês) (https://go.microsoft.com/fwlink/?LinkID=102372 ).