Il controllo di accesso in Active Directory Lightweight Directory Services (AD LDS) può essere regolato a livello della partizione di directory assegnando a un utente l'appartenenza ai gruppi basati sui ruoli che si trovano in ogni partizione. È inoltre possibile personalizzare il controllo di accesso in AD LDS in base agli oggetti utilizzando lo strumento da riga di comando dsacls.

Per eseguire questa procedura, è necessaria almeno l'appartenenza al gruppo Administrators dell'istanza di AD LDS. Per impostazione predefinita, l'entità di sicurezza specificata come amministratore di AD LDS durante l'installazione di AD LDS diventa un membro del gruppo Administrators nella partizione di configurazione. Per ulteriori informazioni sui gruppi AD LDS, vedere Informazioni su utenti e gruppi AD LDS.

Per visualizzare o impostare autorizzazioni in un oggetto directory
  1. Aprire un prompt dei comandi.

  2. Al prompt dei comandi eseguire una delle operazioni seguenti:

    • Per elencare le autorizzazioni valide in un oggetto directory, digitare il comando seguente e quindi premere INVIO:

      dsacls \\hostname:portnumber\object_dn

      Parametro Descrizione

      hostname

      Nome del computer in cui è in esecuzione l'istanza di AD LDS che contiene l'oggetto directory.

      portnumber

      Numero della porta di comunicazione utilizzata dall'istanza di AD LDS.

      object_dn

      Nome distinto dell'oggetto directory.

      Esempio:

      dsacls \\localhost:389\O=Microsoft,C=US

    • Per concedere autorizzazioni su un oggetto directory, digitare il comando seguente e quindi premere INVIO:

      dsacls \\hostname:portnumber\object_dn /G user_or_group:Permissions

      Parametro Descrizione

      hostname

      Nome del computer in cui è in esecuzione l'istanza di AD LDS che contiene l'oggetto directory.

      portnumber

      Numero della porta di comunicazione utilizzata dall'istanza di AD LDS.

      object_dn

      Nome distinto dell'oggetto directory.

      user_or_group

      Utente o gruppo a cui si applicano le autorizzazioni.

      Permissions

      Autorizzazione da concedere.

      Esempio:

      dsacls "\\localhost:389\cn=Object1, cn=container1,O=Microsoft,C=US" /G "CN=inetuser1,O=Microsoft,C=US":SD

    • Per negare autorizzazioni su un oggetto directory, digitare il comando seguente e quindi premere INVIO:

      dsacls \\hostname:portnumber\object_dn /D user_or_group:PermissionStatement

      Parametro Descrizione

      hostname

      Nome del computer in cui è in esecuzione l'istanza di AD LDS che contiene l'oggetto directory.

      portnumber

      Numero della porta di comunicazione utilizzata dall'istanza di AD LDS.

      object_dn

      Nome distinto dell'oggetto directory.

      user_or_group

      Utente o gruppo a cui si applicano le autorizzazioni.

      PermissionStatement

      Autorizzazione da negare.

      Esempio:

      dsacls "\\localhost:389\cn=Object1, cn=container1,O=Microsoft,C=US" /D "CN=inetuser1,O=Microsoft,C=US":SD

Ulteriori considerazioni

  • Per aprire un prompt dei comandi, fare clic sul pulsante Start, fare clic con il pulsante destro del mouse su Prompt dei comandi e quindi scegliere Esegui come amministratore.

  • Per una descrizione completa di tutti i parametri di dsacls, inclusa l'impostazione dell'ereditarietà, digitare dsacls /? al prompt dei comandi.

  • Un oggetto directory incluso in più repliche di una determinata partizione di directory dispone delle stesse autorizzazioni in tutte le partizioni di replica.

  • Per eseguire l'attività descritta in questa procedura, è inoltre possibile utilizzare il modulo Active Directory per Windows PowerShell™. Per aprire Modulo di Active Directory, fare clic sul pulsante Start, scegliere Strumenti di amministrazione e quindi fare clic su Modulo Active Directory per Windows PowerShell. Per ulteriori informazioni, vedere la pagina relativa alla visualizzazione o all'impostazione delle autorizzazioni in un oggetto directory https://go.microsoft.com/fwlink/?LinkId=137814). Per ulteriori informazioni su Windows PowerShell, vedere la pagina relativa a Windows PowerShell (https://go.microsoft.com/fwlink/?LinkID=102372).

Ulteriori riferimenti


Argomenti della Guida