Použití dsacls.exe v systému Windows Server 2003 a Windows 2000

Překlady článku Překlady článku
ID článku: 281146 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Tento článek popisuje, jak používat nástroj dsacls.exe (dsacls.exe) ke správě seznamů řízení přístupu (ACL) pro adresářové služby v systému Microsoft Windows Server 2003 a Microsoft Windows 2000 Server. Dsacls.exe je nástroj příkazového řádku, můžete použít dotaz atributy zabezpečení a změnit oprávnění a atributy zabezpečení objektů služby Active Directory. Je příkazového řádku ekvivalent kartě zabezpečení v nástroje snap-in Windows Active Directory například Active Directory uživatelé a počítače a sítě a služby.

Dsacls.exe je součástí nástrojů podpory systému Windows. Nástroje podpory nainstalovat, spusťte soubor Setup.exe ze složky Support\Tools na disku CD-ROM systému Windows 2000 Server nebo Windows Server 2003.

Poskytnout konfiguraci zabezpečení a funkčnost diagnostiky na objekty služby Active Directory z příkazového řádku můžete použít dsacls.exe a jiné podpory nástroj, Diagnostika ACL (acldiag.exe)

Poznámka: Dsacls.exe můžete zobrazit a změnit oprávnění (položky řízení přístupu) v seznamu řízení přístupu (ACL) objekty v Active Directory Application Mode (ADAM) v systému Windows Server 2003.

Důležité: Změnit oprávnění implementována Hosting řešení, například systémem Windows Hosting, vysoká hlasitost Exchange (HVE), hostitelem Messaging a spolupráce nebo hostitelem Exchange nebo zákazník používá služba Provisioning nepoužívejte dsacls.exe. Řešení Hosting závisí na modelu zabezpečení konkrétní izolovat zákazníci poskytovatele od sebe.

Přehled dsacls.exe

DsAcls používá následující syntaxi:
DSACLS object [/ a] [/d {user | group}: permissions [...]] [/g {user | group}: permissions [...]] [/ i: {p | s | t}] [/ n] [/ p: {y | n}] [/r {user | group} [...]] [/s [/t]]
Můžete použít následující parametry s dsacls.exe:
  • object: Toto je cesta k objektu adresářové služby na kterém chcete zobrazit nebo změnit ACL. Tato cesta musí být rozlišující název (známé také jako RFC 1779 nebo x.500 formát). Například:
    CN někoho, OU = software, OU = = Engineering, DC = firma, DC = cz
    Určit server, přidejte před objekt \\Servername\. Například:
    \\MyServer\CN=someone,OU=Software,OU=Engineering,DC=Microsoft,DC=Com
    Zabezpečení informace o objektu se zobrazí při spuštění příkazu dsacls s pouze parametr object (dsacls object).
  • /a: Tento parametr slouží k zobrazení vlastnictví a auditování informací s oprávněními.
  • /d {user | group}: permissions: pomocí tohoto parametru Odepřít zadaný oprávnění uživateli nebo skupině. User musí použít buď user @ domaindomain nebo \ formátu user a group musí buď používat group @ domaindomain nebo \ group formátu. V příkazu můžete určit více než jednoho uživatele nebo skupinu. Další informace o správné syntaxi pro permissions použít naleznete <Permissions> Syntax později v tomto článku.
  • /g {user | group}: permissions: Tento parametr slouží k udělení oprávnění určeného uživatele nebo skupinu. User musí použít buď user @ domaindomain nebo \ formátu user a group musí buď používat group @ domaindomain nebo \ group formátu. V příkazu můžete určit více než jednoho uživatele nebo skupinu. Další informace o správné syntaxi pro permissions použít naleznete <Permissions> Syntax později v tomto článku.
  • /i:{p | s | t}: pomocí tohoto parametru zadejte jeden z následujících příznaků dědičnosti:
    • p: šířit dědičná oprávnění pouze jednu úroveň pomocí této možnosti.
    • s: šířit dědičná oprávnění subobjects pouze pomocí této možnosti.
    • t: šířit dědičná oprávnění na tento objekt a subobjects pomocí této možnosti.
  • /n: Tento parametr použijte nahradit aktuální přístup na objekt namísto jeho úprav.
  • /p:{y | n}: Tento parametr určuje, zda objekt dědit oprávnění z jeho nadřazených objektů. Tento parametr vynecháte, dědičnosti vlastností objektu se nezmění. Tento parametr použijte k označení objektu jako chráněné (y = yes) nebo není chráněn (n = Ne).

    Poznámka: Tento parametr změní vlastnost objektu není z aplikace Access řízení položka (ACE). Určit, zda je ACE dědičná, použijte parametr /I.
  • /r {user | group}: pomocí tohoto parametru odebrat všechna oprávnění pro zadaný uživatel nebo skupina. V příkazu můžete určit více než jednoho uživatele nebo skupinu. User musí použít buď user @ domaindomain nebo \ formátu user a group musí buď používat group @ domaindomain nebo \ group formátu.
  • /s: Tento parametr použijte k obnovení výchozího zabezpečení pro danou třídu objektu zabezpečení na objektu definované ve schématu služby Active Directory.
  • /t: Tento parametr použijte k obnovení výchozí pro každou třídu objektů zabezpečení ve stromu objektů. Tento přepínač je platný, pouze když použijete také parametr /s.

Syntaxe Permissions

Při použití /d musí použijte následující syntaxi pro permissions {user | group}: permissions nebo /g {user | group}: Parametr permissions:
[PermissionBits]; [{Object|Property}]; [InheritedObjectType
  • PermissionBitsmůžete použít kterýkoli z následujících hodnot může být spojení společně bez mezer:

    Obecný oprávnění
    Zmenšit tuto tabulkuRozšířit tuto tabulku
    GRObecné čtení
    GEObecné spouštění
    GWObecný zápis
    GAObecné vše

    Konkrétní oprávnění

    Zmenšit tuto tabulkuRozšířit tuto tabulku
    SDDelete
    DTOdstranit objekt a všechny jeho podřízené objekty.
    RCČíst informace o zabezpečení
    WDZměnit informace o zabezpečení
    WOZměna informací o vlastníkovi
    LCSeznam podřízené objekty objektu
    CCVytvoření podřízeného objektu. Pokud {Object|Property} není zadán Pokud chcete definovat konkrétní vlastnost, platí pro všechny vlastnosti objektu. Jinak platí pro Zadaná vlastnost objektu.
    DCOdstranění podřízeného objektu. Pokud {Object|Property} není zadán Pokud chcete definovat konkrétní vlastnost, platí pro všechny vlastnosti objektu. Jinak platí pro Zadaná vlastnost objektu.
    WSZapisovat sebe objektu. Pokud {Object|Property} není zadán Pokud chcete definovat konkrétní vlastnost, platí pro všechny vlastnosti objektu. Jinak platí pro Zadaná vlastnost objektu.
    RPČíst vlastnost. Pokud {Object|Property} není zadán Pokud chcete definovat konkrétní vlastnost, platí pro všechny vlastnosti objektu. Jinak platí pro Zadaná vlastnost objektu.
    WPZapsat vlastnost {Object|Property} není zadán definovat konkrétní vlastnosti, to platí pro všechny vlastnosti objektu. Jinak platí pro Zadaná vlastnost objektu.
    CAŘízení přístupu vpravo. Pokud {Object|Property} není zadán Pokud chcete definovat konkrétní vlastnost, platí pro všechny vlastnosti objektu. Jinak platí pro Zadaná vlastnost objektu.
    LO Seznam přístupu k objektu. Lze udělit seznamu přístup k určitému objektu, pokud seznam Children (LC) není k nadřazené také uděleno. Může také být odepřen na určité objekty skrýt ty objekty, pokud uživatel nebo skupina má LC na nadřazené. Active Directory nevynucuje ve výchozím nastavení toto oprávnění.
  • {Object|Property}: To představuje zobrazovaný název typu objektu nebo vlastnosti. Zobrazovaný název objektů uživatele je "uživatel" (bez uvozovek) a "telefonní číslo" (bez uvozovek) je zobrazovaný název pro vlastnost telefonní číslo.

    Například následující příkaz umožňuje uživateli vytvořit všechny typy podřízené objekty:
    /G Domain\User:CC

    Následující příkaz však umožňuje uživateli vytvořit pouze podřízené objekty počítače:
    /G Domain\User:CC; počítač
  • InheritedObjectType: Představuje zobrazovaný název typu objektu, podle kterého se očekává zděděná oprávnění.

    Pokud není zadán typ objektu, může být oprávnění zděděna všechny typy objektů. Tento parametr je používán pouze při jsou dědičná oprávnění.

    Například následující příkaz povolí všechny typy objektů dědí oprávnění:
    /G Domain\User:CC
    Následující příkaz však povoluje oprávnění dědí pouze objekty uživatelů:
    /G Domain\User:CC; uživatele
Důležité: použít permissions pouze při definování oprávnění objektu specifické přepsat výchozí oprávnění, definované ve schématu služby Active Directory pro daný typ objektu. Použití s opatrností a pouze tehdy, jestliže máte úplnou Principy oprávnění objektu.



Příklady Permissions
  • SDRCWDWO; uživatele

    Tento zápis představuje odstranit, informace o zabezpečení číst, změnit informace o zabezpečení a změnit vlastnictví oprávnění u objektů typu "uživatel".
  • CCDC; skupina;

    Tento zápis představuje podřízené vytvořit a odstranit podřízené oprávnění k vytvoření nebo odstranění objektů typu "Skupina".
  • RPWP; telephonenumber;

    Tento zápis představuje vlastnost číst a zapisovat vlastnost na vlastnost telefonní číslo.

Odkazy

Další informace o příkazu dsacls.exe zadejte dsacls /? na příkazovém řádku a stiskněte klávesu ENTER.
Další informace o nejnovější aktualizace Dscals.exe, které jsou součástí server, 2003, Service, Pack, Microsoft Windows 1, (SP1) klepněte na následující číslo článku databáze Microsoft Knowledge Base:
892777Nástroje podpory systému Windows Server 2003 SP1

Další informace o instalaci nástrojů podpory systému Windows 2000 klepněte na následující číslo článku databáze Microsoft Knowledge Base:
301423Postupy: Instalace nástrojů podpory systému Windows 2000 do počítače se systémem Windows 2000 Server
Nástroje, které jsou součástí nástrojů podpory systému Windows 2000 Další informace klepnutím na následující čísla následujících článcích databáze Microsoft Knowledge Base:
246926Složky výpis obsažené v systému Windows 2000 Support Tools
292003 Přidá aktualizace do několika nástrojů podpory systému Windows 2000 Service Pack 2
322271 Aktualizace Service Pack 3 doplňuje aktualizace do některých nástrojů podpory systému Windows 2000 (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

Vlastnosti

ID článku: 281146 - Poslední aktualizace: 27. února 2007 - Revize: 3.3
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Klíčová slova: 
kbmt kbhowto KB281146 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:281146

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com