Sie können die Zugriffssteuerung in Active Directory Lightweight Directory Services (AD LDS) auf der Verzeichnispartitionsebene verwalten, indem Sie Benutzern Mitgliedschaften in den rollenbasierten Gruppen zuweisen, die sich auf den einzelnen Partitionen befinden. Mithilfe des Befehlszeilentools dsacls können Sie die Zugriffssteuerung in AD LDS auf der Basis von einzelnen Objekten anpassen.

Die Mitgliedschaft in der Gruppe Administratoren der AD LDS-Instanz ist mindestens erforderlich, um dieses Verfahren ausführen zu können. Das Sicherheitsprinzipal, das Sie beim AD LDS-Setup als AD LDS-Administrator angeben, wird standardmäßig Mitglied der Gruppe Administratoren in der Konfigurationspartition. Weitere Informationen zu AD LDS-Gruppen finden Sie unter Grundlegendes zu AD LDS-Benutzern und -Gruppen.

So zeigen Sie Berechtigungen für ein Verzeichnisobjekt an oder legen die Berechtigungen fest

  1. Öffnen Sie eine Eingabeaufforderung.

  2. Führen Sie an der Eingabeaufforderung eine der folgenden Aktionen aus:

    • Zum Auflisten der effektiven Berechtigungen für ein Verzeichnisobjekt geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

      dsacls \\hostname:portnumber\object_dn

      Parameter Beschreibung

      hostname

      Der Name des Computers, auf dem die AD LDS-Instanz, die das Verzeichnisobjekt enthält, ausgeführt wird.

      portnumber

      Die Nummer des Kommunikationsports, über den die AD LDS-Instanz kommuniziert.

      object_dn

      Der definierte Name des Verzeichnisobjekts.

      Beispiel:

      dsacls \\localhost:389\O=Microsoft,C=US

    • Zum Erteilen von Berechtigungen für ein Verzeichnisobjekt geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

      dsacls \\hostname:portnumber\object_dn /G user_or_group:Permissions

      Parameter Beschreibung

      hostname

      Der Name des Computers, auf dem die AD LDS-Instanz, die das Verzeichnisobjekt enthält, ausgeführt wird.

      portnumber

      Die Nummer des Kommunikationsports, über den die AD LDS-Instanz kommuniziert.

      object_dn

      Der Distinguished Name des Verzeichnisobjekts.

      user_or_group

      Der Benutzer oder die Gruppe, für den bzw. die die Berechtigungen gelten.

      Permissions

      Die zu erteilenden Berechtigungen.

      Beispiel:

      dsacls "\\localhost:389\cn=Object1, cn=container1,O=Microsoft,C=US" /G "CN=inetuser1,O=Microsoft,C=US":SD

    • Zum Verweigern von Berechtigungen für ein Verzeichnisobjekt geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

      dsacls \\hostname:portnumber\object_dn /D user_or_group:PermissionStatement

      Parameter Beschreibung

      hostname

      Der Name des Computers, auf dem die AD LDS-Instanz, die das Verzeichnisobjekt enthält, ausgeführt wird.

      portnumber

      Die Nummer des Kommunikationsports, über den die AD LDS-Instanz kommuniziert.

      object_dn

      Der Distinguished Name des Verzeichnisobjekts.

      user_or_group

      Der Benutzer oder die Gruppe, für den bzw. die die Berechtigungen gelten.

      PermissionStatement

      Die zu verweigernden Berechtigungen.

      Beispiel:

      dsacls "\\localhost:389\cn=Object1, cn=container1,O=Microsoft,C=US" /D "CN=inetuser1,O=Microsoft,C=US":SD

Weitere Überlegungen

  • Klicken Sie zum Öffnen einer Eingabeaufforderung auf Start, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und klicken Sie dann auf Als Administrator ausführen.

  • Eine vollständige Beschreibung aller für dsacls geltenden Parameter, einschließlich der Parameter zum Festlegen der Vererbung, wird angezeigt, wenn Sie dsacls /? an der Eingabeaufforderung eingeben.

  • Ein Verzeichnisobjekt, das sich auf mehreren Replikaten einer Verzeichnispartition befindet, besitzt auf allen Replikatspartitionen dieselben Berechtigungen.

  • Sie können die Aufgabe in diesem Verfahren auch mithilfe des Active Directory-Moduls für Windows PowerShell™ ausführen. Zum Öffnen von Active Directory-Modul klicken Sie im Startmenü auf Verwaltung, und klicken Sie dann auf Active Directory-Modul für Windows PowerShell. Weitere Informationen (möglicherweise in englischer Sprache) finden Sie unter Anzeigen oder Festlegen von Berechtigungen für ein Verzeichnisobjekt (https://go.microsoft.com/fwlink/?LinkId=137814). Weitere Informationen (möglicherweise in englischer Sprache) zu Windows PowerShell finden Sie unter Windows PowerShell (https://go.microsoft.com/fwlink/?LinkID=102372).

Weitere Verweise

Inhaltsverzeichnis