可以在目录分区级别上管理 Active Directory 轻型目录服务 (AD LDS) 中的访问控制,方法是给位于每个分区上的基于角色的组分配用户成员身份。还可以使用 dsacls 命令行工具逐个对象地在 AD LDS 中自定义访问控制。
AD LDS 实例的 Administrators 组中的成员身份是完成此过程所需的最低要求。默认情况下,在 AD LDS 安装过程中指定为 AD LDS 管理员的安全主体会变成配置分区中管理员组的成员。有关 AD LDS 组的详细信息,请参阅了解 AD LDS 用户和组。
 | 查看或设置目录对象上的权限的步骤 |
打开命令提示符。
在命令提示符下,执行下列操作之一:
-
若要列出目录对象上的有效权限,请键入以下命令,然后按 Enter:
dsacls \\hostname:portnumber\object_dn
示例:参数 描述 hostname
运行包含目录对象的 AD LDS 实例的计算机名称。
portnumber
AD LDS 实例通信所使用的通信端口号。
object_dn
目录对象的可分辨名称。
dsacls \\localhost:389\O=Microsoft,C=US
-
若要授予目录对象上的权限,请键入以下命令,然后按 Enter:
dsacls \\hostname:portnumber\object_dn /G user_or_group:Permissions
示例:参数 描述 hostname
运行包含目录对象的 AD LDS 实例的计算机名称。
portnumber
AD LDS 实例通信所使用的通信端口号。
object_dn
目录对象的可分辨名称。
user_or_group
将为其应用权限的用户或组。
Permissions
要授予的权限。
dsacls "\\localhost:389\cn=Object1, cn=container1,O=Microsoft,C=US" /G "CN=inetuser1,O=Microsoft,C=US":SD
-
若要拒绝授予目录对象上的权限,请键入以下命令,然后按 Enter:
dsacls \\hostname:portnumber\object_dn /D user_or_group:PermissionStatement
示例:参数 描述 hostname
运行包含目录对象的 AD LDS 实例的计算机名称。
portnumber
AD LDS 实例通信所使用的通信端口号。
object_dn
目录对象的可分辨名称。
user_or_group
将为其应用权限的用户或组。
PermissionStatement
要拒绝的权限。
dsacls "\\localhost:389\cn=Object1, cn=container1,O=Microsoft,C=US" /D "CN=inetuser1,O=Microsoft,C=US":SD
-
若要列出目录对象上的有效权限,请键入以下命令,然后按 Enter:
其他注意事项
-
若要打开命令提示符,请单击“开始”,右键单击“命令提示符”,然后单击“以管理员身份运行”。
-
若要得到应用于 dsacls 的所有参数的完整说明,包括继承设置,请在命令提示符下键入 dsacls /?。
-
位于指定目录分区的多个副本上的目录对象具有与所有副本分区相同的权限。
- 也可以使用 Windows PowerShell(TM) 的 Active Directory 模块执行此过程中的任务。若要打开 Active Directory 模块,请依次单击「开始」、“管理工具”和 Windows PowerShell 的 Active Directory 模块。有关详细信息,请参阅“查看或设置目录对象的权限”(
https://go.microsoft.com/fwlink/?LinkId=137814 )(可能为英文网页)。有关 Windows PowerShell 的详细信息,请参阅“Windows PowerShell”(https://go.microsoft.com/fwlink/?LinkID=102372 )(可能为英文网页)。