В службах Active Directory облегченного доступа к каталогам (AD LDS) доступом можно управлять на уровне раздела каталога с помощью назначения членства пользователей группам на основе ролей, находящимся в каждом разделе. Управление доступом в AD LDS можно настроить пообъектно, используя средство командной строки dsacls.
Минимальным требованием для выполнения этой процедуры является членство в группе Администраторы экземпляра AD LDS. По умолчанию субъект безопасности, указанный во время настройки AD LDS как администратор AD LDS, становится членом группы «Администраторы» в разделе конфигурации. Дополнительные сведения о группах AD LDS см. в разделе Общее представление о пользователях и группах AD LDS.
Чтобы просмотреть или установить разрешения на доступ к объекту каталога |
-
Откройте окно командной строки.
-
Выполните в командной строке одно из следующих действий.
- Чтобы вывести список разрешений на объект
каталога, введите следующую команду и нажмите клавишу ВВОД.
dsacls \\hostname:portnumber\object_dn
Параметр Описание hostname
Имя компьютера, на котором запущен экземпляр AD LDS, содержащий объект каталога.
portnumber
Номер порта связи, используемый экземпляром AD LDS для передачи данных.
object_dn
Различаемое имя объекта каталога.
dsacls \\localhost:389\O=Microsoft,C=US
- Чтобы назначить разрешения на объект
каталога, введите следующую команду и нажмите клавишу ВВОД.
dsacls \\hostname:portnumber\object_dn /G user_or_group:Permissions
Параметр Описание hostname
Имя компьютера, на котором запущен экземпляр AD LDS, содержащий объект каталога.
portnumber
Номер последовательного порта, используемый экземпляром AD LDS для передачи данных.
object_dn
Различающееся имя объекта каталога.
user_or_group
Пользователь или группа, к которым применяются разрешения.
Permissions
Назначаемые разрешения.
dsacls "\\localhost:389\cn=Object1, cn=container1,O=Microsoft,C=US" /G "CN=inetuser1,O=Microsoft,C=US":SD
- Чтобы отменить разрешения на объект каталога,
введите следующую команду и нажмите клавишу ВВОД.
dsacls \\hostname:portnumber\object_dn /D user_or_group:PermissionStatement
Параметр Описание hostname
Имя компьютера, на котором запущен экземпляр AD LDS, содержащий объект каталога.
portnumber
Номер последовательного порта, используемый экземпляром AD LDS для передачи данных.
object_dn
Различающееся имя объекта каталога.
user_or_group
Пользователь или группа, к которым применяются разрешения.
PermissionStatement
Отменяемые разрешения.
dsacls "\\localhost:389\cn=Object1, cn=container1,O=Microsoft,C=US" /D "CN=inetuser1,O=Microsoft,C=US":SD
- Чтобы вывести список разрешений на объект
каталога, введите следующую команду и нажмите клавишу ВВОД.
Дополнительная информация
- Чтобы открыть командную строку, нажмите
кнопку Пуск, правой кнопкой мыши щелкните Командная
строка, а затем щелкните пункт От имени
администратора.
- Чтобы просмотреть полное описание всех
параметров, применимых к dsacls, включая настройку
наследования, в командной строке введите dsacls /?.
- Объект каталога, находящийся в нескольких
репликах определенного раздела каталога, содержит одни и те же
разрешения во всех разделах реплики.
- Задачу этой процедуры можно также выполнить
при помощи модуля Active Directory для
Windows PowerShell™. Чтобы открыть Модуль Active Directory,
нажмите кнопку Пуск и последовательно выберите пункты
Администрирование и Модуль Active Directory для Windows
PowerShell. Дополнительные сведения см. в статье «Просмотр или
установка разрешений на доступ к объекту каталога» (страница может
быть на английском языке) (http://go.microsoft.com/fwlink/?LinkId=137814).
Дополнительные сведения о Windows PowerShell см. в статье о
Windows PowerShell (http://go.microsoft.com/fwlink/?LinkId=102372
(страница может быть на английском языке).