U kunt het toegangsbeheer in AD LDS (Active Directory Lightweight Directory Services) op mappartitieniveau regelen door gebruikerslidmaatschappen toe te wijzen aan de op functies gebaseerde groepen die zich in elke partitie bevinden. Met het opdrachtregelprogramma dsacls kunt u het toegangsbeheer in AD LDS ook aanpassen per object.
Als u deze procedure wilt uitvoeren, moet u minimaal lid zijn van de groep Administrators van het AD LDS-exemplaar. Standaard wordt de beveiligings-principal die u tijdens de installatie van AD LDS als de AD LDS-administrator opgeeft, een lid van de groep Administrators in de configuratiepartitie. Zie Wat zijn AD LDS-gebruikers en -groepen? voor meer informatie over AD LDS-groepen.
 | Machtigingen voor directoryobjecten weergeven of instellen |
Open een opdrachtprompt.
Voer een van de volgende handelingen uit vanaf de opdrachtprompt:
-
Typ de volgende opdracht achter de opdrachtprompt en druk op ENTER als u effectieve machtigingen voor een directoryobject wilt weergeven:
dsacls \\hostname:portnumber\object_dn
Voorbeeld:Parameter Beschrijving hostname
De naam van de computer waarop het AD LDS-exemplaar van het directoryobject wordt uitgevoerd.
portnumber
Het nummer van de communicatiepoort die wordt gebruikt voor de communicatie met het AD LDS-exemplaar.
object_dn
De DN-naam van het directoryobject.
dsacls \\localhost:389\O=Microsoft,C=US
-
Typ de volgende opdracht en druk op ENTER als u machtigingen voor een directoryobject wilt verlenen:
dsacls \\hostname:portnumber\object_dn /G user_or_group:Permissions
Voorbeeld:Parameter Beschrijving hostname
De naam van de computer waarop het AD LDS-exemplaar van het directoryobject wordt uitgevoerd.
portnumber
Het nummer van de communicatiepoort die wordt gebruikt voor de communicatie met het AD LDS-exemplaar.
object_dn
De DN-naam van het directoryobject.
user_or_group
De gebruiker of de groep waarop de machtigingen van toepassing zijn.
Permissions
De machtigingen die moeten worden verleend.
dsacls "\\localhost:389\cn=Object1, cn=container1,O=Microsoft,C=US" /G "CN=inetuser1,O=Microsoft,C=US":SD
-
Typ de volgende opdracht en druk op ENTER als u machtigingen voor een directoryobject wilt weigeren:
dsacls \\hostname:portnumber\object_dn /D user_or_group:PermissionStatement
Voorbeeld:Parameter Beschrijving hostname
De naam van de computer waarop het AD LDS-exemplaar van het directoryobject wordt uitgevoerd.
portnumber
Het nummer van de communicatiepoort die wordt gebruikt voor de communicatie met het AD LDS-exemplaar.
object_dn
De DN-naam van het directoryobject.
user_or_group
De gebruiker of de groep waarop de machtigingen van toepassing zijn.
PermissionStatement
De machtigingen die moeten worden geweigerd.
dsacls "\\localhost:389\cn=Object1, cn=container1,O=Microsoft,C=US" /D "CN=inetuser1,O=Microsoft,C=US":SD
-
Typ de volgende opdracht achter de opdrachtprompt en druk op ENTER als u effectieve machtigingen voor een directoryobject wilt weergeven:
Aanvullende overwegingen
-
Als u een opdrachtprompt wilt openen, klikt u op Start, klikt u met de rechtermuisknop op Opdrachtprompt en klikt u vervolgens op Als administrator uitvoeren.
-
Typ dsacls /? achter de opdrachtprompt voor een volledige beschrijving van alle parameters voor dsacls, inclusief de overname-instelling.
-
Een directoryobject dat zich in meerdere replica's van een bepaalde mappartitie bevindt, bezit in alle replicapartities dezelfde machtigingen.
- U kunt de taak in deze procedure ook uitvoeren met de Active Directory-module voor Windows PowerShell™. U opent de Active Directory-module als volgt: klik op Start, klik op Systeembeheer en klik vervolgens op Active Directory-module voor Windows PowerShell. Zie Machtigingen voor directoryobjecten weergeven of instellen (
https://go.microsoft.com/fwlink/?LinkId=137814 ) voor meer informatie (deze pagina is mogelijk in het Engels). Zie Windows PowerShell (https://go.microsoft.com/fwlink/?LinkID=102372 ) voor meer informatie over Windows PowerShell (deze pagina is mogelijk in het Engels).