Du kan styra behörigheter i AD LDS (Active Directory Lightweight Directory Services) på katalogpartitionnivå genom att ge användarna medlemskap i de rollbaserade grupper som finns på varje partition. Du kan anpassa behörigheter i AD LDS baserat på objekt med kommandoradsverktyget dsacls.
Om proceduren ska kunna slutföras krävs medlemskap i minst gruppen Administratörer eller motsvarande på AD LDS-instansen. Som standard blir det säkerhetsobjekt som du anger som AD LDS-administratör under AD LDS-inställningen medlem i gruppen Administratörer i konfigurationspartitionen. Mer information om AD LDS-grupper hittar du på Så här fungerar AD LDS-användare och grupper.
Visa eller ange behörigheter för ett katalogobjekt |
Öppna Kommandotolken.
Gör något av följande i Kommandotolken:
-
Om du vill visa effektiva behörigheter för ett katalogobjekt skriver du följande i Kommandotolken och trycker sedan på RETUR:
dsacls \\hostname:portnumber\object_dn
Exempel:Parameter Beskrivning hostname
Namnet på datorn där den AD LDS-instans som innehåller katalogobjektet körs.
portnumber
Kommunikationsportnumret som AD LDS-instansen kommunicerar på.
object_dn
Huvudnamnet på katalogobjektet.
dsacls \\localhost:389\O=Microsoft,C=US
-
Om du vill ge behörigheter för ett katalogobjekt skriver du följande i Kommandotolken och trycker sedan på RETUR:
dsacls \\hostname:portnumber\object_dn /G user_or_group:Permissions
Exempel:Parameter Beskrivning hostname
Namnet på datorn där den AD LDS-instans som innehåller katalogobjektet körs.
portnumber
Kommunikationsportnumret som AD LDS-instansen kommunicerar på.
object_dn
Huvudnamnet på katalogobjektet.
user_or_group
Användare eller grupp som behörigheterna avser.
Permissions
De behörigheter som ska ges.
dsacls "\\localhost:389\cn=Object1, cn=container1,O=Microsoft,C=US" /G "CN=inetuser1,O=Microsoft,C=US":SD
-
Om du vill neka behörigheter för ett katalogobjekt skriver du följande i Kommandotolken och trycker sedan på RETUR:
dsacls \\hostname:portnumber\object_dn /D user_or_group:PermissionStatement
Exempel:Parameter Beskrivning hostname
Namnet på datorn där den AD LDS-instans som innehåller katalogobjektet körs.
portnumber
Kommunikationsportnumret som AD LDS-instansen kommunicerar på.
object_dn
Huvudnamnet på katalogobjektet.
user_or_group
Användare eller grupp som behörigheterna avser.
PermissionStatement
De behörigheter som ska nekas.
dsacls "\\localhost:389\cn=Object1, cn=container1,O=Microsoft,C=US" /D "CN=inetuser1,O=Microsoft,C=US":SD
-
Om du vill visa effektiva behörigheter för ett katalogobjekt skriver du följande i Kommandotolken och trycker sedan på RETUR:
Ytterligare hänsyn
-
Öppna Kommandotolken genom att klicka på Start, högerklicka på Kommandotolken, och sedan klicka på Kör som administratör.
-
Om du vill ha en fullständig beskrivning av alla parametrar som gäller dsacls, inklusive inställning av arv, skriver du dsacls /? på kommandoraden.
-
Ett katalogobjekt som finns på flera repliker av en viss katalogpartition har samma behörigheter på alla replikpartitioner.
- Du kan även utföra denna åtgärd i den här metoden genom att använda Active Directory-modulen för Windows PowerShell™. Du kan öppna Active Directory-modul genom att klicka på Start, peka på Administrationsverktyg och välja Active Directory-modulen för Windows PowerShell. Mer information finns i avsnittet Visa eller ange behörigheter för ett katalogobjekt (
https://go.microsoft.com/fwlink/?LinkId=137814 -sidan kan vara på engelska). Mer information om Windows PowerShell finns i avsnittet om Windows PowerShell (https://go.microsoft.com/fwlink/?LinkID=102372 - sidan kan vara på engelska).