Sie können die Zugriffssteuerung in Active Directory Lightweight Directory Services (AD LDS) auf der Verzeichnispartitionsebene verwalten, indem Sie Benutzern Mitgliedschaften in den rollenbasierten Gruppen zuweisen, die sich auf den einzelnen Partitionen befinden. Mithilfe des Befehlszeilentools dsacls können Sie die Zugriffssteuerung in AD LDS auf der Basis von einzelnen Objekten anpassen.
Die Mitgliedschaft in der Gruppe Administratoren der AD LDS-Instanz ist mindestens erforderlich, um dieses Verfahren ausführen zu können. Das Sicherheitsprinzipal, das Sie beim AD LDS-Setup als AD LDS-Administrator angeben, wird standardmäßig Mitglied der Gruppe Administratoren in der Konfigurationspartition. Weitere Informationen zu AD LDS-Gruppen finden Sie unter Grundlegendes zu AD LDS-Benutzern und -Gruppen.
So zeigen Sie Berechtigungen für ein Verzeichnisobjekt an oder legen die Berechtigungen fest |
Öffnen Sie eine Eingabeaufforderung.
Führen Sie an der Eingabeaufforderung eine der folgenden Aktionen aus:
-
Zum Auflisten der effektiven Berechtigungen für ein Verzeichnisobjekt geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
dsacls \\hostname:portnumber\object_dn
Beispiel:Parameter Beschreibung hostname
Der Name des Computers, auf dem die AD LDS-Instanz, die das Verzeichnisobjekt enthält, ausgeführt wird.
portnumber
Die Nummer des Kommunikationsports, über den die AD LDS-Instanz kommuniziert.
object_dn
Der definierte Name des Verzeichnisobjekts.
dsacls \\localhost:389\O=Microsoft,C=US
-
Zum Erteilen von Berechtigungen für ein Verzeichnisobjekt geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
dsacls \\hostname:portnumber\object_dn /G user_or_group:Permissions
Beispiel:Parameter Beschreibung hostname
Der Name des Computers, auf dem die AD LDS-Instanz, die das Verzeichnisobjekt enthält, ausgeführt wird.
portnumber
Die Nummer des Kommunikationsports, über den die AD LDS-Instanz kommuniziert.
object_dn
Der Distinguished Name des Verzeichnisobjekts.
user_or_group
Der Benutzer oder die Gruppe, für den bzw. die die Berechtigungen gelten.
Permissions
Die zu erteilenden Berechtigungen.
dsacls "\\localhost:389\cn=Object1, cn=container1,O=Microsoft,C=US" /G "CN=inetuser1,O=Microsoft,C=US":SD
-
Zum Verweigern von Berechtigungen für ein Verzeichnisobjekt geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
dsacls \\hostname:portnumber\object_dn /D user_or_group:PermissionStatement
Beispiel:Parameter Beschreibung hostname
Der Name des Computers, auf dem die AD LDS-Instanz, die das Verzeichnisobjekt enthält, ausgeführt wird.
portnumber
Die Nummer des Kommunikationsports, über den die AD LDS-Instanz kommuniziert.
object_dn
Der Distinguished Name des Verzeichnisobjekts.
user_or_group
Der Benutzer oder die Gruppe, für den bzw. die die Berechtigungen gelten.
PermissionStatement
Die zu verweigernden Berechtigungen.
dsacls "\\localhost:389\cn=Object1, cn=container1,O=Microsoft,C=US" /D "CN=inetuser1,O=Microsoft,C=US":SD
-
Zum Auflisten der effektiven Berechtigungen für ein Verzeichnisobjekt geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
Weitere Überlegungen
-
Klicken Sie zum Öffnen einer Eingabeaufforderung auf Start, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und klicken Sie dann auf Als Administrator ausführen.
-
Eine vollständige Beschreibung aller für dsacls geltenden Parameter, einschließlich der Parameter zum Festlegen der Vererbung, wird angezeigt, wenn Sie dsacls /? an der Eingabeaufforderung eingeben.
-
Ein Verzeichnisobjekt, das sich auf mehreren Replikaten einer Verzeichnispartition befindet, besitzt auf allen Replikatspartitionen dieselben Berechtigungen.
- Sie können die Aufgabe in diesem Verfahren auch mithilfe des Active Directory-Moduls für Windows PowerShell™ ausführen. Zum Öffnen von Active Directory-Modul klicken Sie im Startmenü auf Verwaltung, und klicken Sie dann auf Active Directory-Modul für Windows PowerShell. Weitere Informationen (möglicherweise in englischer Sprache) finden Sie unter Anzeigen oder Festlegen von Berechtigungen für ein Verzeichnisobjekt (
https://go.microsoft.com/fwlink/?LinkId=137814 ). Weitere Informationen (möglicherweise in englischer Sprache) zu Windows PowerShell finden Sie unter Windows PowerShell (https://go.microsoft.com/fwlink/?LinkID=102372 ).