Du kan styra behörigheter i AD LDS (Active Directory Lightweight Directory Services) på katalogpartitionnivå genom att ge användarna medlemskap i de rollbaserade grupper som finns på varje partition. Du kan anpassa behörigheter i AD LDS baserat på objekt med kommandoradsverktyget dsacls.

Om proceduren ska kunna slutföras krävs medlemskap i minst gruppen Administratörer eller motsvarande på AD LDS-instansen. Som standard blir det säkerhetsobjekt som du anger som AD LDS-administratör under AD LDS-inställningen medlem i gruppen Administratörer i konfigurationspartitionen. Mer information om AD LDS-grupper hittar du på Så här fungerar AD LDS-användare och grupper.

Visa eller ange behörigheter för ett katalogobjekt

  1. Öppna Kommandotolken.

  2. Gör något av följande i Kommandotolken:

    • Om du vill visa effektiva behörigheter för ett katalogobjekt skriver du följande i Kommandotolken och trycker sedan på RETUR:

      dsacls \\hostname:portnumber\object_dn

      Parameter Beskrivning

      hostname

      Namnet på datorn där den AD LDS-instans som innehåller katalogobjektet körs.

      portnumber

      Kommunikationsportnumret som AD LDS-instansen kommunicerar på.

      object_dn

      Huvudnamnet på katalogobjektet.

      Exempel:

      dsacls \\localhost:389\O=Microsoft,C=US

    • Om du vill ge behörigheter för ett katalogobjekt skriver du följande i Kommandotolken och trycker sedan på RETUR:

      dsacls \\hostname:portnumber\object_dn /G user_or_group:Permissions

      Parameter Beskrivning

      hostname

      Namnet på datorn där den AD LDS-instans som innehåller katalogobjektet körs.

      portnumber

      Kommunikationsportnumret som AD LDS-instansen kommunicerar på.

      object_dn

      Huvudnamnet på katalogobjektet.

      user_or_group

      Användare eller grupp som behörigheterna avser.

      Permissions

      De behörigheter som ska ges.

      Exempel:

      dsacls "\\localhost:389\cn=Object1, cn=container1,O=Microsoft,C=US" /G "CN=inetuser1,O=Microsoft,C=US":SD

    • Om du vill neka behörigheter för ett katalogobjekt skriver du följande i Kommandotolken och trycker sedan på RETUR:

      dsacls \\hostname:portnumber\object_dn /D user_or_group:PermissionStatement

      Parameter Beskrivning

      hostname

      Namnet på datorn där den AD LDS-instans som innehåller katalogobjektet körs.

      portnumber

      Kommunikationsportnumret som AD LDS-instansen kommunicerar på.

      object_dn

      Huvudnamnet på katalogobjektet.

      user_or_group

      Användare eller grupp som behörigheterna avser.

      PermissionStatement

      De behörigheter som ska nekas.

      Exempel:

      dsacls "\\localhost:389\cn=Object1, cn=container1,O=Microsoft,C=US" /D "CN=inetuser1,O=Microsoft,C=US":SD

Ytterligare hänsyn

  • Öppna Kommandotolken genom att klicka på Start, högerklicka på Kommandotolken, och sedan klicka på Kör som administratör.

  • Om du vill ha en fullständig beskrivning av alla parametrar som gäller dsacls, inklusive inställning av arv, skriver du dsacls /? på kommandoraden.

  • Ett katalogobjekt som finns på flera repliker av en viss katalogpartition har samma behörigheter på alla replikpartitioner.

  • Du kan även utföra denna åtgärd i den här metoden genom att använda Active Directory-modulen för Windows PowerShell™. Du kan öppna Active Directory-modul genom att klicka på Start, peka på Administrationsverktyg och välja Active Directory-modulen för Windows PowerShell. Mer information finns i avsnittet Visa eller ange behörigheter för ett katalogobjekt (https://go.microsoft.com/fwlink/?LinkId=137814 -sidan kan vara på engelska). Mer information om Windows PowerShell finns i avsnittet om Windows PowerShell (https://go.microsoft.com/fwlink/?LinkID=102372 - sidan kan vara på engelska).

Ytterligare referenser

Innehåll