В службах Active Directory облегченного доступа к каталогам (AD LDS) доступом можно управлять на уровне раздела каталога с помощью назначения членства пользователей группам на основе ролей, находящимся в каждом разделе. Управление доступом в AD LDS можно настроить пообъектно, используя средство командной строки dsacls.

Минимальным требованием для выполнения этой процедуры является членство в группе Администраторы экземпляра AD LDS. По умолчанию субъект безопасности, указанный во время настройки AD LDS как администратор AD LDS, становится членом группы «Администраторы» в разделе конфигурации. Дополнительные сведения о группах AD LDS см. в разделе Общее представление о пользователях и группах AD LDS.

Чтобы просмотреть или установить разрешения на доступ к объекту каталога

  1. Откройте окно командной строки.

  2. Выполните в командной строке одно из следующих действий.

    • Чтобы вывести список разрешений на объект каталога, введите следующую команду и нажмите клавишу ВВОД.

      dsacls \\hostname:portnumber\object_dn

      Параметр Описание

      hostname

      Имя компьютера, на котором запущен экземпляр AD LDS, содержащий объект каталога.

      portnumber

      Номер порта связи, используемый экземпляром AD LDS для передачи данных.

      object_dn

      Различаемое имя объекта каталога.

      Пример

      dsacls \\localhost:389\O=Microsoft,C=US

    • Чтобы назначить разрешения на объект каталога, введите следующую команду и нажмите клавишу ВВОД.

      dsacls \\hostname:portnumber\object_dn /G user_or_group:Permissions

      Параметр Описание

      hostname

      Имя компьютера, на котором запущен экземпляр AD LDS, содержащий объект каталога.

      portnumber

      Номер последовательного порта, используемый экземпляром AD LDS для передачи данных.

      object_dn

      Различающееся имя объекта каталога.

      user_or_group

      Пользователь или группа, к которым применяются разрешения.

      Permissions

      Назначаемые разрешения.

      Пример

      dsacls "\\localhost:389\cn=Object1, cn=container1,O=Microsoft,C=US" /G "CN=inetuser1,O=Microsoft,C=US":SD

    • Чтобы отменить разрешения на объект каталога, введите следующую команду и нажмите клавишу ВВОД.

      dsacls \\hostname:portnumber\object_dn /D user_or_group:PermissionStatement

      Параметр Описание

      hostname

      Имя компьютера, на котором запущен экземпляр AD LDS, содержащий объект каталога.

      portnumber

      Номер последовательного порта, используемый экземпляром AD LDS для передачи данных.

      object_dn

      Различающееся имя объекта каталога.

      user_or_group

      Пользователь или группа, к которым применяются разрешения.

      PermissionStatement

      Отменяемые разрешения.

      Пример

      dsacls "\\localhost:389\cn=Object1, cn=container1,O=Microsoft,C=US" /D "CN=inetuser1,O=Microsoft,C=US":SD

Дополнительная информация

  • Чтобы открыть командную строку, нажмите кнопку Пуск, правой кнопкой мыши щелкните Командная строка, а затем щелкните пункт От имени администратора.

  • Чтобы просмотреть полное описание всех параметров, применимых к dsacls, включая настройку наследования, в командной строке введите dsacls /?.

  • Объект каталога, находящийся в нескольких репликах определенного раздела каталога, содержит одни и те же разрешения во всех разделах реплики.

  • Задачу этой процедуры можно также выполнить при помощи модуля Active Directory для Windows PowerShell™. Чтобы открыть Модуль Active Directory, нажмите кнопку Пуск и последовательно выберите пункты Администрирование и Модуль Active Directory для Windows PowerShell. Дополнительные сведения см. в статье «Просмотр или установка разрешений на доступ к объекту каталога» (страница может быть на английском языке) (https://go.microsoft.com/fwlink/?LinkId=137814). Дополнительные сведения о Windows PowerShell см. в статье о Windows PowerShell (https://go.microsoft.com/fwlink/?LinkId=102372 (страница может быть на английском языке).

Дополнительные источники информации

Содержание