您可以將使用者成員資格指派給每個磁碟分割上的角色型群組,藉以在目錄分割等級上控制 Active Directory 輕量型目錄服務 (AD LDS) 中的存取控制權。您也可以使用 dsacls 命令列工具,依物件逐一自訂 AD LDS 中的存取控制權。
若要完成此程序,至少需要 AD LDS 執行個體 Administrators 群組的成員資格。依預設,在 AD LDS 安裝期間指定為 AD LDS 系統管理員的安全性主體,會變成設定磁碟分割中 Administrators 群組的成員。如需 AD LDS 群組的相關資訊,請參閱了解 AD LDS 使用者和群組。
 | 檢視或設定目錄物件的權限 |
開啟命令提示字元。
在命令提示字元下,執行下列其中一項:
-
若要列出目錄物件的有效權限,請輸入下列命令,然後按 ENTER:
dsacls \\hostname:portnumber\object_dn
範例:參數 描述 hostname
在上面執行保有目錄物件之 AD LDS 執行個體的電腦名稱。
portnumber
AD LDS 執行個體用來進行通訊的通訊連接埠號碼。
object_dn
目錄物件的辨別名稱。
dsacls \\localhost:389\O=Microsoft,C=US
-
若要授與目錄物件的權限,請輸入下列命令,然後按 ENTER:
dsacls \\hostname:portnumber\object_dn /G user_or_group:Permissions
範例:參數 描述 hostname
在上面執行保有目錄物件之 AD LDS 執行個體的電腦名稱。
portnumber
AD LDS 執行個體用來進行通訊的通訊連接埠號碼。
object_dn
目錄物件的辨別名稱。
user_or_group
套用權限的使用者或群組。
Permissions
授與的權限。
dsacls "\\localhost:389\cn=Object1, cn=container1,O=Microsoft,C=US" /G "CN=inetuser1,O=Microsoft,C=US":SD
-
若要拒絕目錄物件的權限,請輸入下列命令,然後按 ENTER:
dsacls \\hostname:portnumber\object_dn /D user_or_group:PermissionStatement
範例:參數 描述 hostname
在上面執行保有目錄物件之 AD LDS 執行個體的電腦名稱。
portnumber
AD LDS 執行個體用來進行通訊的通訊連接埠號碼。
object_dn
目錄物件的辨別名稱。
user_or_group
套用權限的使用者或群組。
PermissionStatement
拒絕的權限。
dsacls "\\localhost:389\cn=Object1, cn=container1,O=Microsoft,C=US" /D "CN=inetuser1,O=Microsoft,C=US":SD
-
若要列出目錄物件的有效權限,請輸入下列命令,然後按 ENTER:
其他考量
-
若要開啟命令提示字元,請按一下 [開始],在 [命令提示字元] 上按一下滑鼠右鍵,然後按一下 [以系統管理員身分執行]。
-
如需適用於 dsacls 之所有參數的完整描述 (包括繼承設定),請在命令提示字元中輸入 dsacls /?。
-
位於指定目錄分割之多份複本上的目錄物件,對所有的複本磁碟分割具有相同的權限。
- 您也可以使用 Windows PowerShell(TM) 的 Active Directory 模組執行此程序中的工作。若要開啟 [Active Directory 模組],請依序按一下 [開始]、[系統管理工具],然後按一下 [Windows PowerShell 的 Active Directory 模組]。如需相關資訊,請參閱<檢視或設定目錄物件的權限>(
https://go.microsoft.com/fwlink/?LinkId=137814 (可能為英文網頁) )。如需 Windows PowerShell 的相關資訊,請參閱<Windows PowerShell>(https://go.microsoft.com/fwlink/?LinkID=102372 (可能為英文網頁) )。