Kontrolą dostępu w usługach LDS w usłudze Active Directory (AD LDS, Active Directory Lightweight Directory Services) można zarządzać na poziomie partycji katalogu, przypisując użytkowników do grup opartych na rolach, które znajdują się na każdej partycji. Kontrolę dostępu w usługach LDS w usłudze AD można również dostosować dla poszczególnych obiektów, używając narzędzia wiersza polecenia: dsacls.

Minimalnym wymaganiem do wykonania tej procedury jest członkostwo w grupie Administratorzy wystąpienia usług LDS w usłudze AD. Domyślnie podmiot zabezpieczeń określony jako administrator usług LDS w usłudze AD podczas instalacji tych usług staje się członkiem grupy Administratorzy w partycji konfiguracji. Aby uzyskać więcej informacji na temat grup usług LDS w usłudze AD, zobacz temat Opis użytkowników i grup usług LDS w usłudze AD.

Aby wyświetlić lub ustawić uprawnienia do obiektu katalogu
  1. Otwórz wiersz polecenia.

  2. W wierszu polecenia wpisz jedno z następujących poleceń:

    • Aby wyświetlić listę czynnych uprawnień do obiektu katalogu, w wierszu polecenia wpisz poniższe polecenie, a następnie naciśnij klawisz ENTER:

      dsacls \\hostname:portnumber\object_dn

      Parametr Opis

      hostname

      Nazwa komputera, na którym jest uruchomione wystąpienie usług LDS w usłudze AD zawierające obiekt katalogu.

      portnumber

      Numer portu komunikacyjnego używanego przez wystąpienie usług LDS w usłudze AD.

      object_dn

      Nazwa wyróżniająca obiektu katalogu.

      Przykład:

      dsacls \\localhost:389\O=Microsoft,C=US

    • Aby udzielić uprawnień do obiektu katalogu, w wierszu polecenia wpisz poniższe polecenie, a następnie naciśnij klawisz ENTER:

      dsacls \\hostname:portnumber\object_dn /G user_or_group:Permissions

      Parametr Opis

      hostname

      Nazwa komputera, na którym jest uruchomione wystąpienie usług LDS w usłudze AD zawierające obiekt katalogu.

      portnumber

      Numer portu komunikacyjnego używanego przez wystąpienie usług LDS w usłudze AD.

      object_dn

      Nazwa wyróżniająca obiektu katalogu.

      user_or_group

      Użytkownik lub grupa, do której są stosowane uprawnienia.

      Permissions

      Udzielane uprawnienia.

      Przykład:

      dsacls "\\localhost:389\cn=Object1, cn=container1,O=Microsoft,C=US" /G "CN=inetuser1,O=Microsoft,C=US":SD

    • Aby odmówić uprawnień do obiektu katalogu, w wierszu polecenia wpisz poniższe polecenie, a następnie naciśnij klawisz ENTER:

      dsacls \\hostname:portnumber\object_dn /D user_or_group:PermissionStatement

      Parametr Opis

      hostname

      Nazwa komputera, na którym jest uruchomione wystąpienie usług LDS w usłudze AD zawierające obiekt katalogu.

      portnumber

      Numer portu komunikacyjnego używanego przez wystąpienie usług LDS w usłudze AD.

      object_dn

      Nazwa wyróżniająca obiektu katalogu.

      user_or_group

      Użytkownik lub grupa, do której są stosowane uprawnienia.

      PermissionStatement

      Uprawnienia, których należy odmówić.

      Przykład:

      dsacls "\\localhost:389\cn=Object1, cn=container1,O=Microsoft,C=US" /D "CN=inetuser1,O=Microsoft,C=US":SD

Uwagi dodatkowe

  • Aby otworzyć wiersz polecenia, kliknij przycisk Start, kliknij prawym przyciskiem myszy polecenie Wiersz polecenia, a następnie kliknij polecenie Uruchom jako administrator.

  • Aby wyświetlić pełny opis wszystkich parametrów, jakie można zastosować dla polecenia dsacls (łącznie z opisem ustawień dziedziczenia), w wierszu polecenia wpisz dsacls /?.

  • Obiekt katalogu znajdujący się w wielu replikach danej partycji katalogu ma przypisane jednakowe uprawnienia we wszystkich replikach.

  • Zadanie opisane w niniejszej procedurze można wykonać również przy użyciu modułu usługi Active Directory środowiska Windows PowerShell™. Aby otworzyć program Moduł usługi Active Directory, kliknij przycisk Start, kliknij opcję Narzędzia administracyjne, a następnie kliknij polecenie Moduł usługi Active Directory dla środowiska Windows PowerShell. Aby uzyskać więcej informacji, zobacz artykuł o wyświetlaniu i ustawianiu uprawnień do obiektu katalogu (https://go.microsoft.com/fwlink/?LinkId=137814 (strona może zostać wyświetlona w języku angielskim)). Więcej informacji o środowisku Windows PowerShell można znaleźć na poświęconej mu stronie (https://go.microsoft.com/fwlink/?LinkID=102372 (strona może zostać wyświetlona w języku angielskim)).

Dodatkowe informacje


Spis treści