Řízení přístupu lze ve službě AD LDS (Active Directory Lightweight Directory Services) provádět na úrovni oddílu adresáře tak, že přiřadíte členství uživatelů ke skupinám založeným na rolích, které jsou umístěny v jednotlivých oddílech. Řízení přístupu ve službě AD LDS je možné přizpůsobit rovněž u jednotlivých objektů pomocí nástroje příkazového řádku dsacls.

Tento postup mohou provádět pouze členové skupiny Administrators v instanci služby AD LDS. Ve výchozím nastavení se zaregistrovaný objekt zabezpečení, který během instalace služby AD LDS určíte jako správce služby AD LDS, stane členem skupiny Administrators v oddílu konfigurace. Další informace o skupinách služby AD LDS naleznete v tématu Principy uživatelů a skupin služby AD LDS.

Zobrazení nebo nastavení oprávnění u objektu adresáře
 1. Otevřete příkazový řádek.

 2. Na příkazovém řádku zadejte některý z následujících příkazů:

  • Chcete-li zobrazit seznam platných oprávnění u objektu adresáře, zadejte následující příkaz a potom stiskněte klávesu ENTER:

   dsacls \\hostname:portnumber\object_dn

   Parametr Popis

   hostname

   Název počítače, ve kterém je spuštěna instance služby AD LDS s daným objektem adresáře.

   portnumber

   Číslo komunikačního portu, pomocí něhož instance služby AD LDS komunikuje.

   object_dn

   Rozlišující název objektu adresáře.

   Příklad:

   dsacls \\localhost:389\O=Microsoft,C=US

  • Chcete-li udělit oprávnění k objektu adresáře, zadejte následující příkaz a potom stiskněte klávesu ENTER:

   dsacls \\hostname:portnumber\object_dn /G user_or_group:Permissions

   Parametr Popis

   hostname

   Název počítače, ve kterém je spuštěna instance služby AD LDS s daným objektem adresáře.

   portnumber

   Číslo komunikačního portu, pomocí něhož instance služby AD LDS komunikuje.

   object_dn

   Rozlišující název objektu adresáře.

   user_or_group

   Uživatel nebo skupina, na něž se příslušná oprávnění vztahují.

   Permissions

   Oprávnění, jež mají být udělena.

   Příklad:

   dsacls "\\localhost:389\cn=Object1, cn=container1,O=Microsoft,C=US" /G "CN=inetuser1,O=Microsoft,C=US":SD

  • Chcete-li odepřít oprávnění k objektu adresáře, zadejte následující příkaz a potom stiskněte klávesu ENTER:

   dsacls \\hostname:portnumber\object_dn /D user_or_group:PermissionStatement

   Parametr Popis

   hostname

   Název počítače, ve kterém je spuštěna instance služby AD LDS s daným objektem adresáře.

   portnumber

   Číslo komunikačního portu, pomocí něhož instance služby AD LDS komunikuje.

   object_dn

   Rozlišující název objektu adresáře.

   user_or_group

   Uživatel nebo skupina, na něž se příslušná oprávnění vztahují.

   PermissionStatement

   Oprávnění, jež mají být odepřena.

   Příklad:

   dsacls "\\localhost:389\cn=Object1, cn=container1,O=Microsoft,C=US" /D "CN=inetuser1,O=Microsoft,C=US":SD

Další informace

 • Chcete-li otevřít příkazový řádek, klikněte na tlačítko Start, klikněte pravým tlačítkem myši na možnost Příkazový řádek a potom klikněte na možnost Spustit jako správce.

 • Chcete-li zobrazit úplný popis všech parametrů, které lze použít společně s příkazem dsacls (včetně nastavení dědičnosti), zadejte na příkazovém řádku příkaz dsacls /?.

 • Objektu adresáře, který se nachází ve více replikách daného oddílu adresáře, jsou přidělena stejná oprávnění u všech replikovaných oddílů.

 • Úkoly v daném postupu lze zároveň provést pomocí modulu služby Active Directory pro prostředí Windows PowerShell™. Prostředí Modul služby Active Directory otevřete kliknutím na tlačítko Start, na možnost Nástroje pro správu a potom na položku Modul služby Active Directory pro prostředí Windows PowerShell. Další informace naleznete v tématu Zobrazení a nastavení oprávnění u adresářových objektů (https://go.microsoft.com/fwlink/?LinkId=137814 (Stránka může být v angličtině.)). Další informace o prostředí Windows PowerShell naleznete na webu Windows PowerShell (https://go.microsoft.com/fwlink/?LinkID=102372 (Stránka může být v angličtině.)).

Další informace


Obsah