(0) exportieren Drucken
Alle erweitern

Schritt 6: Verwalten der Autorisierung (Übungen)

Letzte Aktualisierung: September 2007

Betrifft: Windows Server 2008

"Autorisierung" bezieht sich auf den Vorgang, mit dem bestimmt wird, auf welche Verzeichnisobjekte die einzelnen Benutzer Zugriff haben. In Active Directory Lightweight Directory Services (AD LDS) wird mithilfe von Zugriffssteuerungslisten (Access Control Lists, ACLs) für jedes Verzeichnisobjekt bestimmt, welcher Benutzer über Zugriff auf dieses Objekt verfügt. Standardmäßig befinden sich Zugriffssteuerungslisten in AD LDS nur im Objekt der obersten Ebene jeder Verzeichnispartition. Alle Objekte einer Verzeichnispartition erben diese Zugriffssteuerungslisten. Weitere Informationen zu Zugriffssteuerungslisten finden Sie im Artikel zu Zugriffssteuerungslisten (http://go.microsoft.com/fwlink/?LinkId=96544, möglicherweise in englischer Sprache).

Die Verwaltung der AD LDS-Autorisierung umfasst folgende Aufgaben:

Anzeigen von Berechtigungen

Sie können Sie die Zugriffssteuerung in AD LDS auf der Basis von einzelnen Objekten anzeigen, indem Sie folgende Tools verwenden:

Anzeigen von Berechtigungen mit dem dsacls-Befehlszeilentool

Sie müssen mindestens Mitglied der Gruppe Readers in AD LDS sein, um dieses Verfahren ausführen zu können. Weitere Informationen zum Verwenden der passenden Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen (http://go.microsoft.com/fwlink/?LinkId=83477).

So zeigen Sie Berechtigungen für ein Verzeichnisobjekt mithilfe von dsacls an

  1. Klicken Sie auf Start, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und klicken Sie dann auf Als Administrator ausführen.

  2. Zum Aufführen aller Berechtigungen, die zurzeit für das Objekt der Verzeichnispartition festgelegt sind, geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    dsacls \\<Servername>:<Portnummer>\<Objekt-DN>
    

     

    Parameter Beschreibung

    dsacls

    Zeigt Berechtigungen für AD DS- und AD LDS-Objekte an oder ändert diese.

    <Servername>

    Der Name des Computers, auf dem die AD LDS-Instanz, die das Verzeichnisobjekt enthält, ausgeführt wird.

    <Portnummer>

    Die Nummer des Kommunikationsports, über den die AD LDS-Instanz kommuniziert.

    <Objekt-DN>

    Der definierte Name des Verzeichnisobjekts.

    Geben Sie für diese Übung dsacls \\localhost:389\o=Microsoft,c=US ein. Drücken Sie dann die EINGABETASTE.

    Auf dem Bildschirm sollte eine Ausgabe angezeigt werden, die der folgenden ähnelt:

    Zugriffsliste: Effektive Berechtigungen für dieses Objekt sind: Allow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3C-C3BEC88B335E} SPECIAL ACCESS READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECT Allow CN=Readers,CN=Roles,O=Microsoft,C=US SPECIAL ACCESS READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECT Allow CN=Administrators,CN=Roles,O=Microsoft,C=US FULL CONTROL Allow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3C-C3BEC88B335E} Replicating Directory Changes Allow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3C-C3BEC88B335E} Replication Synchronization Allow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3C-C3BEC88B335E} Manage Replication Topology Allow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3C-C3BEC88B335E} Replicating Directory Changes All Permissions inherited to subobjects are: Inherited to all subobjects Allow CN=Readers,CN=Roles,O=Microsoft,C=US SPECIAL ACCESS READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECT Allow CN=Administrators,CN=Roles,O=Microsoft,C=US FULL CONTROL The command completed successfully
    

Anzeigen von Berechtigungen mithilfe von "Ldp.exe"

Sie müssen mindestens Mitglied der Gruppe Readers in AD LDS sein, um dieses Verfahren ausführen zu können. Weitere Informationen zum Verwenden der passenden Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen (http://go.microsoft.com/fwlink/?LinkId=83477).

So zeigen Sie Berechtigungen für ein Verzeichnisobjekt mithilfe von "LDP.exe" an

  1. Öffnen Sie Ldp.exe, und stellen Sie dann eine Verbindung und eine Bindung mit einer AD LDS-Instanz her. Weitere Informationen zum Herstellen einer Verbindung und Bindung mit einer AD LDS-Instanz mithilfe von Ldp.exe finden Sie in der Vorgehensweise zum Verwalten einer AD LDS-Instanz mithilfe von Ldp.exe unter Schritt 3: Verwenden von AD LDS-Verwaltungsprogrammen (Übungen).

  2. Klicken Sie im Navigationsbereich mit der rechten Maustaste auf das Objekt der Verzeichnispartition, für das Sie die Berechtigungen anzeigen möchten. Klicken Sie auf Erweitert und dann auf Sicherheitsbeschreibung.

    Mit dem Dialogfeld Sicherheitsbeschreibung werden alle Zugriffssteuerungseinträge (Access Control Entries, ACEs) mit den zugewiesenen Zugriffsrechten für das ausgewählte Objekt der Verzeichnispartition angezeigt.

Erteilen von Zugriff

Sie können Sie die Zugriffssteuerung in AD LDS auf der Basis von einzelnen Objekten erteilen, indem Sie folgende Tools verwenden:

Erteilen von Berechtigungen mit dem dsacls-Befehlszeilentool

Sie müssen mindestens Mitglied der Gruppe Administrators in AD LDS sein, um dieses Verfahren ausführen zu können. Weitere Informationen zum Verwenden der passenden Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen (http://go.microsoft.com/fwlink/?LinkId=83477). Der Sicherheitsprinzipal, den Sie beim AD LDS-Setup als AD LDS-Administrator angeben, wird standardmäßig Mitglied der Gruppe Administratoren in der Konfigurationspartition.

So erteilen Sie Berechtigungen für ein Verzeichnisobjekt mithilfe von dsacls

  1. Klicken Sie auf Start, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und klicken Sie dann auf Als Administrator ausführen.

  2. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    dsacls "\\<Hostname>:<Portnummer>\<Objekt-DN>" /G "<Benutzer oder Gruppe>":<Berechtigungen>
    

     

    Parameter Beschreibung

    dsacls

    Zeigt Berechtigungen für AD DS- und AD LDS-Objekte an oder ändert diese.

    <Hostname>

    Der Name des Computers, auf dem die AD LDS-Instanz, die das Verzeichnisobjekt enthält, ausgeführt wird.

    <Portnummer>

    Die Nummer des Kommunikationsports, über den die AD LDS-Instanz kommuniziert.

    <Objekt-DN>

    Der definierte Name des Verzeichnisobjekts.

    <Benutzer oder Gruppe>

    Der Benutzer oder die Gruppe, für den bzw. die die Berechtigungen gelten.

    <Berechtigungen>

    Die zu erteilenden Berechtigungen.

    /G

    Gibt an, dass angegebene Berechtigungen einem angegebenen Benutzer oder einer angegebenen Gruppe erteilt werden.

    Geben Sie für diese Übung Folgendes ein, und drücken Sie dann die EINGABETASTE:

    dsacls "\\localhost:389\cn=AD LDS Testers,OU=AD LDS users,o=Microsoft,c=US" /G "CN=Mary North,OU=AD LDS users,o=Microsoft,c=US":SD

    Mit diesem Befehl wird der Benutzerin Mary North die Berechtigung zum Löschen für das CN=AD LDS Testers-Objekt erteilt.

    Auf dem Bildschirm sollte eine Ausgabe angezeigt werden, die der folgenden ähnelt:

    Zugriffsliste: Effektive Berechtigungen für dieses Objekt sind: Allow CN=Mary North,OU=ADAM users,O=Microsoft,C=US SPECIAL ACCESS DELETE Allow CN=Readers,CN=Roles,O=Microsoft,C=US SPECIAL ACCESS   <Inherited from parent> READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECT Allow CN=Administrators,CN=Roles,O=Microsoft,C=US FULL CONTROL   <Inherited from parent> Permissions inherited to subobjects are: Inherited to all subobjects Allow CN=Readers,CN=Roles,O=Microsoft,C=US SPECIAL ACCESS   <Inherited from parent> READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECT Allow CN=Administrators,CN=Roles,O=Microsoft,C=US FULL CONTROL   <Inherited from parent> The command completed successfully
    

Erteilen von Berechtigungen mithilfe von "Ldp.exe"

Sie müssen mindestens Mitglied der Gruppe Administrators in AD LDS sein, um dieses Verfahren ausführen zu können. Weitere Informationen zum Verwenden der passenden Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen (http://go.microsoft.com/fwlink/?LinkId=83477). Der Sicherheitsprinzipal, den Sie beim AD LDS-Setup als AD LDS-Administrator angeben, wird standardmäßig Mitglied der Gruppe Administratoren in der Konfigurationspartition.

So erteilen Sie Berechtigungen für ein Verzeichnisobjekt mithilfe von "LDP.exe"

  1. Öffnen Sie Ldp.exe, und stellen Sie dann eine Verbindung und eine Bindung mit einer AD LDS-Instanz her. Weitere Informationen zum Herstellen einer Verbindung und Bindung mit einer AD LDS-Instanz mithilfe von Ldp.exe finden Sie in der Vorgehensweise zum Verwalten einer AD LDS-Instanz mithilfe von Ldp.exe unter Schritt 3: Verwenden von AD LDS-Verwaltungsprogrammen (Übungen).

  2. Klicken Sie mit der rechten Maustaste auf das Objekt der Verzeichnispartition, für das Sie die Berechtigungen anzeigen möchten. Klicken Sie auf Erweitert und dann auf Sicherheitsbeschreibung.

    Mit dem Dialogfeld Sicherheitsbeschreibung werden alle Zugriffssteuerungseinträge (Access Control Entries, ACEs) mit den zugewiesenen Zugriffsrechten für das ausgewählte Objekt der Verzeichnispartition angezeigt.

  3. Klicken Sie auf die freigegebene Zugriffssteuerungsliste (Discretionary Access Control List, DACL) und dann auf ACE hinzufügen.

  4. Geben Sie unter Vertrauensnehmer den definierten Namen des Vertrauensnehmers (Benutzerkonto) ein, dem Sie die Berechtigungen erteilen.

  5. Wählen Sie für ACE-Typ die Option Zulassen aus.

  6. Wählen Sie unter Zugriffsmaske die zu erteilenden Berechtigungen aus.

  7. Wählen Sie die entsprechenden ACE-Flags aus.

  8. Wählen Sie den entsprechenden Objekttyp aus.

  9. Wählen Sie unter Vererbter Objekttyp einen Objekttyp aus, und klicken Sie dann auf OK.

Verweigern von Zugriff

Sie können Sie die Zugriffssteuerung in AD LDS auf der Basis von einzelnen Objekten verweigern, indem Sie folgende Tools verwenden:

Verweigern von Berechtigungen mit dem dsacls-Befehlszeilentool

Sie müssen mindestens Mitglied der Gruppe Administrators in AD LDS sein, um dieses Verfahren ausführen zu können. Weitere Informationen zum Verwenden der passenden Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen (http://go.microsoft.com/fwlink/?LinkId=83477). Der Sicherheitsprinzipal, den Sie beim AD LDS-Setup als AD LDS-Administrator angeben, wird standardmäßig Mitglied der Gruppe Administratoren in der Konfigurationspartition.

So verweigern Sie Berechtigungen für ein Verzeichnisobjekt mithilfe von dsacls

  1. Klicken Sie auf Start, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und klicken Sie dann auf Als Administrator ausführen.

  2. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    dsacls "\\<Hostname>:<Portnummer>\<Objekt-DN>" /D "<Benutzer oder Gruppe>":<Berechtigungen>
    

     

    Parameter Beschreibung

    dsacls

    Zeigt Berechtigungen für AD DS- und AD LDS-Objekte an oder ändert diese.

    <Hostname>

    Der Name des Computers, auf dem die AD LDS-Instanz, die das Verzeichnisobjekt enthält, ausgeführt wird.

    <Portnummer>

    Die Nummer des Kommunikationsports, über den die AD LDS-Instanz kommuniziert.

    <Objekt-DN>

    Der definierte Name des Verzeichnisobjekts.

    <Benutzer oder Gruppe>

    Der Benutzer oder die Gruppe, für den bzw. die die Berechtigungen gelten.

    <Berechtigungen>

    Die zu verweigernden Berechtigungen.

    /D

    Gibt an, dass angegebene Berechtigungen einem angegebenen Benutzer oder einer angegebenen Gruppe verweigert werden.

    Geben Sie für diese Übung Folgendes ein: dsacls "\\localhost:389\CN=AD LDS Testers,OU=AD LDS Users,o=microsoft,c=US" /D domain\administrator:SDDCDT

    noteHinweis
    domain\administrator stellt das Konto dar, mit dem Sie zurzeit angemeldet sind.

    Mit diesem Befehl werden die Berechtigungen Löschen, Unterg. Objekt löschen und Struktur löschen für das Objekt CN=AD LDS Testers dem zurzeit angemeldeten Benutzer verweigert.

    Auf dem Bildschirm sollte eine Ausgabe angezeigt werden, die der folgenden ähnelt:

    Zugriffsliste: Effektive Berechtigungen für dieses Objekt sind: Deny  domain\account                  SPECIAL ACCESS DELETE Allow CN=Readers,CN=Roles,O=Microsoft,C=US SPECIAL ACCESS   <Inherited from parent> READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECT Allow CN=Administrators,CN=Roles,O=Microsoft,C=US FULL CONTROL   <Inherited from parent> Permissions inherited to subobjects are: Inherited to all subobjects Allow CN=Readers,CN=Roles,O=Microsoft,C=US SPECIAL ACCESS   <Inherited from parent> READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECT Allow CN=Administrators,CN=Roles,O=Microsoft,C=US FULL CONTROL   <Inherited from parent> The command completed successfully
    

Verweigern von Berechtigungen mithilfe von "Ldp.exe"

Sie müssen mindestens Mitglied der Gruppe Administrators in AD LDS sein, um dieses Verfahren ausführen zu können. Weitere Informationen zum Verwenden der passenden Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen (http://go.microsoft.com/fwlink/?LinkId=83477). Der Sicherheitsprinzipal, den Sie beim AD LDS-Setup als AD LDS-Administrator angeben, wird standardmäßig Mitglied der Gruppe Administratoren in der Konfigurationspartition.

So verweigern Sie Berechtigungen für ein Verzeichnisobjekt mithilfe von "LDP.exe"

  1. Öffnen Sie Ldp.exe, und stellen Sie dann eine Verbindung und eine Bindung mit einer AD LDS-Instanz her. Weitere Informationen zum Herstellen einer Verbindung und Bindung mit einer AD LDS-Instanz mithilfe von Ldp.exe finden Sie in der Vorgehensweise zum Verwalten einer AD LDS-Instanz mithilfe von Ldp.exe unter Schritt 3: Verwenden von AD LDS-Verwaltungsprogrammen (Übungen).

  2. Klicken Sie mit der rechten Maustaste auf das Objekt der Verzeichnispartition, für das Sie die Berechtigungen anzeigen möchten. Klicken Sie auf Erweitert und dann auf Sicherheitsbeschreibung.

    Mit dem Dialogfeld Sicherheitsbeschreibung werden alle Zugriffssteuerungseinträge mit den zugewiesenen Zugriffsrechten für das ausgewählte Objekt der Verzeichnispartition angezeigt.

  3. Klicken Sie auf die freigegebene Zugriffssteuerungsliste und dann auf ACE hinzufügen.

  4. Geben Sie unter Vertrauensnehmer den definierten Namen des Vertrauensnehmers (Benutzerkonto) ein, dem Sie die Berechtigungen verweigern.

  5. Wählen Sie für ACE-Typ die Option Verweigern aus.

  6. Wählen Sie unter Zugriffsmaske die zu verweigernden Berechtigungen aus.

  7. Wählen Sie die entsprechenden ACE-Flags aus.

  8. Wählen Sie den entsprechenden Objekttyp aus.

  9. Wählen Sie unter Vererbter Objekttyp einen Objekttyp aus, und klicken Sie dann auf OK.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2014 Microsoft