Você pode governar o controle de acesso nos Serviços AD LDS no nível da partição de diretório atribuindo associações de usuário aos grupos baseados em função localizados em cada partição. Também é possível personalizar o controle de acesso no AD LDS, objeto a objeto, usando a ferramenta de linha de comando dsacls.
Ser membro do grupo Administradores da instância do AD LDS é o mínimo exigido para execução deste procedimento. Por padrão, a entidade de segurança especificada como administrador do AD LDS durante a instalação do AD LDS torna-se um membro do grupo Administradores na partição de configuração. Para obter mais informações sobre os grupos do AD LDS, consulte Noções básicas sobre usuários e grupos do AD LDS.
Para exibir ou definir permissões em um objeto de diretório |
Abra um prompt de comando.
No prompt de comando, siga um destes procedimentos:
-
Para listar as permissões efetivas em um objeto de diretório, digite o comando a seguir e pressione ENTER:
dsacls \\hostname:portnumber\object_dn
Exemplo:Parâmetro Descrição hostname
O nome do computador no qual é executada a instância do AD LDS que hospeda o objeto de diretório.
portnumber
O número da porta de comunicação na qual a instância do AD LDS se comunica.
object_dn
O nome distinto do objeto de diretório.
dsacls \\localhost:389\O=Microsoft,C=US
-
Para conceder permissões em um objeto de diretório, digite o comando a seguir e pressione ENTER:
dsacls \\hostname:portnumber\object_dn /G user_or_group:Permissions
Exemplo:Parâmetro Descrição hostname
O nome do computador no qual é executada a instância do AD LDS que hospeda o objeto de diretório.
portnumber
O número da porta de comunicação na qual a instância do AD LDS se comunica.
object_dn
O nome diferenciado do objeto de diretório.
user_or_group
O usuário ou o grupo ao qual as permissões se aplicam.
Permissions
As permissões a serem concedidas.
dsacls "\\localhost:389\cn=Object1, cn=container1,O=Microsoft,C=US" /G "CN=inetuser1,O=Microsoft,C=US":SD
-
Para negar permissões em um objeto de diretório, digite o comando a seguir e pressione ENTER:
dsacls \\hostname:portnumber\object_dn /D user_or_group:PermissionStatement
Exemplo:Parâmetro Descrição hostname
O nome do computador no qual é executada a instância do AD LDS que hospeda o objeto de diretório.
portnumber
O número da porta de comunicação na qual a instância do AD LDS se comunica.
object_dn
O nome diferenciado do objeto de diretório.
user_or_group
O usuário ou o grupo ao qual as permissões se aplicam.
PermissionStatement
As permissões a serem negadas.
dsacls "\\localhost:389\cn=Object1, cn=container1,O=Microsoft,C=US" /D "CN=inetuser1,O=Microsoft,C=US":SD
-
Para listar as permissões efetivas em um objeto de diretório, digite o comando a seguir e pressione ENTER:
Considerações adicionais
-
Para abrir um prompt de comando, clique em Iniciar, clique com o botão direito do mouse em Prompt de Comando e, em seguida, clique em Executar como Administrador.
-
Para obter uma descrição completa de todos os parâmetros que se aplicam a dsacls, incluindo a configuração de herança, digite dsacls /? no prompt de comando.
-
Um objeto de diretório que reside em várias réplicas de uma determinada partição de diretório tem as mesmas permissões em todas as partições de réplica.
- Também é possível executar a tarefa deste procedimento usando o módulo Active Directory para o Windows PowerShell™. Para abrir o Módulo Active Directory, clique em Iniciar, clique em Ferramentas Administrativas e em Módulo Active Directory para o Windows PowerShell. Para obter mais informações, consulte Exibir ou definir permissões em um objeto de diretório (
https://go.microsoft.com/fwlink/?LinkId=137814 [a página pode estar em inglês] ). Para obter mais informações sobre o Windows PowerShell, consulte Windows PowerShell (https://go.microsoft.com/fwlink/?LinkID=102372 [a página pode estar em inglês] ).