Puede administrar el control de acceso en los Servicios de directorio ligero de Active Directory (AD LDS) en el nivel de partición de directorio mediante la asignación de pertenencias de usuarios a los grupos basados en roles que se encuentran en cada partición. La herramienta de línea de comandos dsacls permite personalizar el control de acceso en AD LDS en función de los objetos.
Para completar este procedimiento, debe pertenecer como mínimo al grupo Administradores de la instancia de AD LDS. De forma predeterminada, la entidad de seguridad que especifique como administrador de AD LDS durante su instalación se convertirá en miembro del grupo Administradores de la partición de configuración. Para obtener más información acerca de los grupos de AD LDS, vea Descripción de los usuarios y grupos de AD LDS.
 | Para ver o establecer permisos en un objeto de directorio |
Abra una ventana del símbolo del sistema.
En el símbolo del sistema, lleve a cabo una de las acciones siguientes:
-
Para enumerar los permisos efectivos de un objeto de directorio, escriba el siguiente comando en el símbolo del sistema y presione ENTRAR:
dsacls \\hostname:portnumber\object_dn
Ejemplo:Parámetro Descripción hostname
Nombre del equipo en el que se ejecuta la instancia de AD LDS que contiene el objeto de directorio.
portnumber
Número del puerto de comunicaciones en el que se comunica la instancia de AD LDS.
object_dn
Nombre distintivo del objeto de directorio.
dsacls \\localhost:389\O=Microsoft,C=US
-
Para conceder permisos en un objeto de directorio, escriba el siguiente comando en el símbolo del sistema y presione ENTRAR:
dsacls \\hostname:portnumber\object_dn /G user_or_group:Permissions
Ejemplo:Parámetro Descripción hostname
Nombre del equipo en el que se ejecuta la instancia de AD LDS que contiene el objeto de directorio.
portnumber
Número del puerto de comunicaciones en el que se comunica la instancia de AD LDS.
object_dn
Nombre distintivo del objeto de directorio.
user_or_group
Usuario o grupo al que se aplican los permisos.
Permissions
Permisos que se van a conceder.
dsacls "\\localhost:389\cn=Object1, cn=container1,O=Microsoft,C=US" /G "CN=inetuser1,O=Microsoft,C=US":SD
-
Para denegar permisos en un objeto de directorio, escriba el siguiente comando en el símbolo del sistema y presione ENTRAR:
dsacls \\hostname:portnumber\object_dn /D user_or_group:PermissionStatement
Ejemplo:Parámetro Descripción hostname
Nombre del equipo en el que se ejecuta la instancia de AD LDS que contiene el objeto de directorio.
portnumber
Número del puerto de comunicaciones en el que se comunica la instancia de AD LDS.
object_dn
Nombre distintivo del objeto de directorio.
user_or_group
Usuario o grupo al que se aplican los permisos.
PermissionStatement
Permisos que se van a denegar.
dsacls "\\localhost:389\cn=Object1, cn=container1,O=Microsoft,C=US" /D "CN=inetuser1,O=Microsoft,C=US":SD
-
Para enumerar los permisos efectivos de un objeto de directorio, escriba el siguiente comando en el símbolo del sistema y presione ENTRAR:
Consideraciones adicionales
-
Para abrir el símbolo del sistema, haga clic en Inicio, haga clic con el botón secundario en Símbolo del sistema y, a continuación, haga clic en Ejecutar como administrador.
-
Para obtener una descripción completa de todos los parámetros que se aplican a dsacls, incluida la definición de herencia, escriba dsacls /? en el símbolo del sistema.
-
Un objeto de directorio que reside en varias réplicas de una partición de directorio determinada posee los mismos permisos en todas las particiones de réplica.
- Además, puede realizar este procedimiento con el módulo Active Directory para Windows PowerShell™. Para abrir el Módulo Active Directory, haga clic en Inicio, en Herramientas administrativas y, a continuación, haga clic en Módulo Active Directory para Windows PowerShell. Para obtener más información, vea el tema sobre el modo de ver o establecer permisos en un objeto de directorio (puede estar en inglés)(
https://go.microsoft.com/fwlink/?LinkId=137814 ). Para obtener más información acerca de Windows PowerShell, vea Windows PowerShell (puede estar en inglés) (https://go.microsoft.com/fwlink/?LinkID=102372 ).