Du kan styra behörigheter i AD LDS (Active Directory Lightweight Directory Services) på katalogpartitionnivå genom att ge användarna medlemskap i de rollbaserade grupper som finns på varje partition. Du kan anpassa behörigheter i AD LDS baserat på objekt med kommandoradsverktyget dsacls.

Om proceduren ska kunna slutföras krävs medlemskap i minst gruppen Administratörer eller motsvarande på AD LDS-instansen. Som standard blir det säkerhetsobjekt som du anger som AD LDS-administratör under AD LDS-inställningen medlem i gruppen Administratörer i konfigurationspartitionen. Mer information om AD LDS-grupper hittar du på Så här fungerar AD LDS-användare och grupper.

Visa eller ange behörigheter för ett katalogobjekt
 1. Öppna Kommandotolken.

 2. Gör något av följande i Kommandotolken:

  • Om du vill visa effektiva behörigheter för ett katalogobjekt skriver du följande i Kommandotolken och trycker sedan på RETUR:

   dsacls \\hostname:portnumber\object_dn

   Parameter Beskrivning

   hostname

   Namnet på datorn där den AD LDS-instans som innehåller katalogobjektet körs.

   portnumber

   Kommunikationsportnumret som AD LDS-instansen kommunicerar på.

   object_dn

   Huvudnamnet på katalogobjektet.

   Exempel:

   dsacls \\localhost:389\O=Microsoft,C=US

  • Om du vill ge behörigheter för ett katalogobjekt skriver du följande i Kommandotolken och trycker sedan på RETUR:

   dsacls \\hostname:portnumber\object_dn /G user_or_group:Permissions

   Parameter Beskrivning

   hostname

   Namnet på datorn där den AD LDS-instans som innehåller katalogobjektet körs.

   portnumber

   Kommunikationsportnumret som AD LDS-instansen kommunicerar på.

   object_dn

   Huvudnamnet på katalogobjektet.

   user_or_group

   Användare eller grupp som behörigheterna avser.

   Permissions

   De behörigheter som ska ges.

   Exempel:

   dsacls "\\localhost:389\cn=Object1, cn=container1,O=Microsoft,C=US" /G "CN=inetuser1,O=Microsoft,C=US":SD

  • Om du vill neka behörigheter för ett katalogobjekt skriver du följande i Kommandotolken och trycker sedan på RETUR:

   dsacls \\hostname:portnumber\object_dn /D user_or_group:PermissionStatement

   Parameter Beskrivning

   hostname

   Namnet på datorn där den AD LDS-instans som innehåller katalogobjektet körs.

   portnumber

   Kommunikationsportnumret som AD LDS-instansen kommunicerar på.

   object_dn

   Huvudnamnet på katalogobjektet.

   user_or_group

   Användare eller grupp som behörigheterna avser.

   PermissionStatement

   De behörigheter som ska nekas.

   Exempel:

   dsacls "\\localhost:389\cn=Object1, cn=container1,O=Microsoft,C=US" /D "CN=inetuser1,O=Microsoft,C=US":SD

Ytterligare hänsyn

 • Öppna Kommandotolken genom att klicka på Start, högerklicka på Kommandotolken, och sedan klicka på Kör som administratör.

 • Om du vill ha en fullständig beskrivning av alla parametrar som gäller dsacls, inklusive inställning av arv, skriver du dsacls /? på kommandoraden.

 • Ett katalogobjekt som finns på flera repliker av en viss katalogpartition har samma behörigheter på alla replikpartitioner.

 • Du kan även utföra denna åtgärd i den här metoden genom att använda Active Directory-modulen för Windows PowerShell™. Du kan öppna Active Directory-modul genom att klicka på Start, peka på Administrationsverktyg och välja Active Directory-modulen för Windows PowerShell. Mer information finns i avsnittet Visa eller ange behörigheter för ett katalogobjekt (https://go.microsoft.com/fwlink/?LinkId=137814 -sidan kan vara på engelska). Mer information om Windows PowerShell finns i avsnittet om Windows PowerShell (https://go.microsoft.com/fwlink/?LinkID=102372 - sidan kan vara på engelska).

Ytterligare referenser


Innehåll