Vous pouvez régir le contrôle d’accès dans les services AD LDS (Active Directory Lightweight Directory Services) au niveau de la partition d’annuaire en affectant des appartenances d’utilisateur aux groupes basés sur des rôles qui se trouvent sur chaque partition. Vous pouvez aussi personnaliser le contrôle d’accès dans les services AD LDS sur une base objet par objet à l’aide de l’outil en ligne de commande dsacls.
Pour mener à bien cette procédure, il est nécessaire d’appartenir au groupe Administrateurs de l’instance AD LDS. Par défaut, l’entité de sécurité que vous spécifiez en tant qu’administrateur AD LDS pendant l’installation des services AD LDS (Active Directory Lightweight Directory Services) devient un membre du groupe Administrateurs dans la partition de configuration. Pour plus d’informations sur les groupes AD LDS, voir Présentation des groupes et des utilisateurs AD LDS.
Pour afficher ou définir des autorisations sur un objet annuaire |
Ouvrez une invite de commandes.
À l’invite de commandes, effectuez l’une des actions suivantes :
-
Pour répertorier les autorisations effectives sur un objet d’annuaire, tapez la commande suivante, puis appuyez sur Entrée :
dsacls \\hostname:portnumber\object_dn
Exemple :Paramètre Description hostname
Nom de l’ordinateur sur lequel s’exécute l’instance AD LDS qui contient l’objet d’annuaire.
portnumber
Numéro de port de communication sur lequel l’instance AD LDS communique.
object_dn
Nom unique de l’objet d’annuaire.
dsacls \\localhost:389\O=Microsoft,C=US
-
Pour octroyer les autorisations sur un objet d’annuaire, tapez la commande suivante, puis appuyez sur Entrée :
dsacls \\hostname:portnumber\object_dn /G user_or_group:Permissions
Exemple :Paramètre Description hostname
Nom de l’ordinateur sur lequel s’exécute l’instance AD LDS qui contient l’objet d’annuaire.
portnumber
Numéro du port de communication sur lequel l’instance AD LDS communique.
object_dn
Nom unique de l’objet d’annuaire.
user_or_group
Utilisateur ou groupe auquel les droits s’appliquent.
Permissions
Autorisations à octroyer.
dsacls "\\localhost:389\cn=Object1, cn=container1,O=Microsoft,C=US" /G "CN=inetuser1,O=Microsoft,C=US":SD
-
Pour refuser les autorisations sur un objet d’annuaire, tapez la commande suivante, puis appuyez sur Entrée :
dsacls \\hostname:portnumber\object_dn /D user_or_group:PermissionStatement
Exemple :Paramètre Description hostname
Nom de l’ordinateur sur lequel s’exécute l’instance AD LDS qui contient l’objet d’annuaire.
portnumber
Numéro du port de communication sur lequel l’instance AD LDS communique.
object_dn
Nom unique de l’objet d’annuaire.
user_or_group
Utilisateur ou groupe auquel les autorisations s’appliquent.
PermissionStatement
Autorisations à refuser.
dsacls "\\localhost:389\cn=Object1, cn=container1,O=Microsoft,C=US" /D "CN=inetuser1,O=Microsoft,C=US":SD
-
Pour répertorier les autorisations effectives sur un objet d’annuaire, tapez la commande suivante, puis appuyez sur Entrée :
Considérations supplémentaires
-
Pour ouvrir une invite de commandes, cliquez sur Démarrer, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Exécuter en tant qu’administrateur.
-
Pour une description complète de tous les paramètres qui s’appliquent à dsacls, notamment le paramètre d’héritage, tapez dsacls /? à l’invite de commandes.
-
Un objet annuaire résidant sur plusieurs réplicas d’une partition d’annuaire donnée possède les mêmes autorisations sur toutes les partitions de réplicas.
- Vous pouvez également exécuter la tâche décrite dans cette procédure à l’aide du module Active Directory pour PowerShell™. Pour ouvrir le Module Active Directory, cliquez sur Démarrer, sur Outils d’administration, puis sur Module Active Directory pour Windows PowerShell. Pour plus d’informations, voir l’article consacré à l’affichage ou la définition d’autorisations sur un objet d’annuaire (
https://go.microsoft.com/fwlink/?LinkId=137814 ) (éventuellement en anglais). Pour obtenir des informations sur Windows PowerShell, voir l’article consacré à Windows PowerShellhttps://go.microsoft.com/fwlink/?LinkID=102372 (éventuellement en anglais).