Active Directory ライトウェイト ディレクトリ サービス (AD LDS) のアクセス制御は、各パーティションに配置されている役割に基づくグループにユーザーのメンバーシップを割り当てることにより、ディレクトリ パーティション レベルで管理できます。AD LDS のアクセス制御は、dsacls コマンド ライン ツールを使用してオブジェクト単位でカスタマイズすることもできます。

AD LDS インスタンスの Administrators グループのメンバーシップが、この手順を実行するために最低限必要なメンバーシップです。既定では、AD LDS セットアップ中に AD LDS 管理者として指定するセキュリティ プリンシパルが、構成パーティションの Administrators グループのメンバーとなります。AD LDS グループの詳細については、「AD LDS ユーザーとグループとは」を参照してください。

ディレクトリ オブジェクトに対するアクセス許可を表示または設定するには

  1. コマンド プロンプトを開きます。

  2. コマンド プロンプトで、次のいずれかを実行します。

    • ディレクトリ オブジェクトに対する有効なアクセス許可の一覧を表示するには、コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。

      dsacls \\hostname:portnumber\object_dn

      パラメーター 説明

      hostname

      ディレクトリ オブジェクトを保持している AD LDS インスタンスが実行されているコンピューターの名前

      portnumber

      AD LDS インスタンスが通信を行う通信ポートの番号

      object_dn

      ディレクトリ オブジェクトの識別名

      例 :

      dsacls \\localhost:389\O=Microsoft,C=US

    • ディレクトリ オブジェクトに対するアクセス許可を付与するには、コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。

      dsacls \\hostname:portnumber\object_dn /G user_or_group:Permissions

      パラメーター 説明

      hostname

      ディレクトリ オブジェクトを保持している AD LDS インスタンスが実行されているコンピューターの名前

      portnumber

      AD LDS インスタンスが通信を行う通信ポートの番号

      object_dn

      ディレクトリ オブジェクトの識別名

      user_or_group

      アクセス許可を適用するユーザーまたはグループ

      Permissions

      付与するアクセス許可

      例:

      dsacls "\\localhost:389\cn=Object1, cn=container1,O=Microsoft,C=US" /G "CN=inetuser1,O=Microsoft,C=US":SD

    • ディレクトリ オブジェクトに対するアクセスを拒否するには、コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。

      dsacls \\hostname:portnumber\object_dn /D user_or_group:PermissionStatement

      パラメーター 説明

      hostname

      ディレクトリ オブジェクトを保持している AD LDS インスタンスが実行されているコンピューターの名前

      portnumber

      AD LDS インスタンスが通信を行う通信ポートの番号

      object_dn

      ディレクトリ オブジェクトの識別名

      user_or_group

      アクセス許可を適用するユーザーまたはグループ

      PermissionStatement

      拒否するアクセス許可

      例:

      dsacls "\\localhost:389\cn=Object1, cn=container1,O=Microsoft,C=US" /D "CN=inetuser1,O=Microsoft,C=US":SD

その他の考慮事項

  • コマンド プロンプトを開くには、[スタート] ボタンをクリックし、[コマンド プロンプト] を右クリックして、[管理者として実行] をクリックします。

  • dsacls に適用されるすべてのパラメーターの詳細 (継承の設定を含む) については、コマンド プロンプトで「dsacls /?」と入力してください。

  • あるディレクトリ パーティションの複数のレプリカに存在するディレクトリ オブジェクトの場合、すべてのレプリカ パーティションで同じアクセス許可が適用されます。

  • この手順のタスクは、Windows PowerShell™ 用 Active Directory モジュールを使用しても実行できます。Active Directory モジュール を開くには、[スタート] ボタン、[管理ツール] の順にクリックし、Windows PowerShell 用 Active Directory モジュール をクリックします。詳細については、ディレクトリ オブジェクトに対するアクセス許可を表示または設定に関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=137814) を参照してください。Windows PowerShell の詳細については、Windows PowerShell に関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkID=102372) を参照してください。

その他の参照情報

目次