Wie Verwenden von Dsacls.exe in Windows Server 2003 und Windows 2000

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 281146 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Dieser Artikel beschreibt, wie zu dem Verwalten von Zugriffssteuerungslisten (ACLs) für Verzeichnis-Dienste in Microsoft Windows Server 2003 und Microsoft Windows 2000 Server das Dsacls.exe-Programm (Dsacls.exe) verwandt wird. Dsacls.exe ist ein Befehlszeile-Programm, das Sie zu dem Abfragen der Sicherheitsattribute und dem Ändern von Berechtigungen und Sicherheitsattributen von Active Directory-Objekten verwenden können. Befehlszeile entspricht es der Registerkarte Sicherheit in den Windows Active Directory-Snap-In-Tools wie Active Directory-Benutzer und Active Directory-Standort.

Das Windows-Supporttool enthält Dsacls.exe. Führen Sie Setup.exe in dem Ordner Support\Tools unter dem Windows Server 2003 oder Windows 2000 Server-CD aus, um das Supporttool zu installieren.

Um Sicherheitskonfiguration und Diagnosefunktionalität für Active Directory-Objekte an der Eingabeaufforderung bereitzustellen, können Sie Dsacls.exe und ein anderes Windows Support Tool ACL Diagnostics (Acldiag.exe) verwenden.

Hinweis: Sie können in der Zugriffssteuerungsobjektliste (ACL) in Active Directory Application Mode (ADAM) in Windows Server 2003 Dsacls.exe verwenden, um Berechtigungen (Zugriffssteuerungseinträge) anzuzeigen, und zu ändern.

Nicht wichtig: verwenden Sie Dsacls.exe, um Berechtigungen zu ändern, wenn Sie eine Lösung von Hosting, wie Windows-Basiertem Hosting, High Volume Exchange (HVE), Hosted Messaging, Zusammenarbeit oder Exchange implementiert haben oder wenn der Kunde Microsoft Provisioning Service verwendet. Um die Kunden des Internetdienstanbieters von gegenseitig zu isolieren, hängen die Lösungen von Hosting auf bestimmtes Sicherheitsmodell ab.

Übersicht von Dsacls.exe

DsAcls verwendet die folgende Syntax:
Dsacls-Objekt [/ A] [ D { Benutzer| Gruppe }: Berechtigungen (...) ] [ G { Benutzer| Gruppe }: Berechtigungen (...) ] [/ i: { p| S| T } ] [/ N] [/ p: { Y| N } ] [ R { Benutzer| Gruppe } (...) ] [/ s [T]]
Sie können die folgenden Parameter mit Dsacls.exe verwenden:
  • Objekt: das ist der Pfad zu dem Verzeichnis-Dienstobjekt, auf in die ACLs anzuzeigen oder zu ändern. Dieser Pfad muss ein definierter Name (auch RFC 1779- oder (auch x.500-Format)) sein. Beispiel:
    CN Person OU = Software OU = Entwicklung DC = DC = Microsoft , = COM =
    Fügen Sie \\Servername\ vor dem Objekt hinzu, um einen Server anzugeben. Beispiel:
    \\MyServer\CN=Someone,OU=Software,OU=Engineering,DC=Microsoft,DC=Com
    Sie sollen wann den Dsacls Befehl mit einzigen ausführen der erstellt werde Parameter ( dsacls <VAR>object</VAR>) die Sicherheitsinformation zu dem Objekt wird angezeigt.
  • Befehlszeile: verwendet diesen Parameter, um den Besitz und die Überwachungsinformation mit den Berechtigungen anzuzeigen.
  • D {}Benutzer | { Gruppe}:Berechtigungen: Verwenden Sie diesen Parameter, um angegebene Berechtigungen zu verweigern zu einem Benutzer oder einer Gruppe. Benutzer Beide <VAR>-Benutzer-</VAR> @ <VAR>-Domäne verwenden muss </VAR> oder Domäne\ Benutzer Format und Gruppe muss beide <VAR>-Gruppe-</VAR> @ <VAR>-Domäne verwenden </VAR> oder Domäne\ Gruppe Format. Sie können mehrere Benutzer oder Gruppe in einem Befehl angeben. Für Weitere Informationen zu der die Syntax zu verwenden richtigen Syntax Berechtigungen, Sie sehen der &lt;Berechtigungen Syntax&gt; Abschnitt später in diesem Artikel.
  • G {}Benutzer | Gruppe}:Berechtigungen: Verwenden Sie diesen Parameter, um einem Benutzer oder einer Gruppe angegebene Berechtigungen zu erteilen. Benutzer Beide <VAR>-Benutzer-</VAR> @ <VAR>-Domäne verwenden muss </VAR> oder Domäne\ Benutzer Format und Gruppe muss beide <VAR>-Gruppe-</VAR> @ <VAR>-Domäne verwenden </VAR> oder Domäne\ Gruppe Format. Sie können mehrere Benutzer oder Gruppe in einem Befehl angeben. Für Weitere Informationen zu der die Syntax zu verwenden richtigen Syntax Berechtigungen, Sie sehen der &lt;Berechtigungen Syntax&gt; Abschnitt später in diesem Artikel.
  • { i :{ p| S| T }: um eines der folgenden Vererbungsflags anzugeben, verwenden Sie diesen Parameter:
    • p: verwendet diese Option zu dem Übermitteln einer nur vererbbaren Berechtigungsstufe.
    • S: verwendet diese Option zu dem Übermitteln vererbbaren Berechtigungen nur zu Untern.
    • T: verwendet diese Option zu dem Übermitteln vererbbaren Berechtigungen für das Objekt und die Unter.
  • N: verwendet diesen Parameter, um den aktuellen Zugriff für das Objekt statt der Bearbeitung von es zu ersetzen.
  • { p :{ Y| N }: dieser Parameter bestimmt, ob das Objekt Berechtigungen von seinen übergeordneten Objekten erben kann. Wenn Sie diesen Parameter weglassen, werden die Vererbungseigenschaften des Objekts nicht geändert. Um das Objekt zu kennzeichnen wie Sie geschützt sein, verwendet diesen Parameter Sie ( Y Ja = ) oder nicht schützte ( N keines = ).

    Hinweis: dieser Parameter ändert eine Eigenschaft des Objekts nicht von einem Access Control Entry (ACE). Verwenden Sie den I-Parameter, um festzustellen, ob ein ACE vererbbar ist.
  • R {}Benutzer | Gruppe}: Um alle Berechtigungen für den angegebenen Benutzer oder die angegebene Gruppe zu entfernen, verwenden Sie diesen Parameter. Sie können mehrere Benutzer oder Gruppe in einem Befehl angeben. Benutzer Beide <VAR>-Benutzer-</VAR> @ <VAR>-Domäne verwenden muss </VAR> oder Domäne\ Benutzer Format und Gruppe muss beide <VAR>-Gruppe-</VAR> @ <VAR>-Domäne verwenden </VAR> oder Domäne\ Gruppe Format.
  • / s: verwendet diesen Parameter, um die Sicherheit für das Objekt für die Standardsicherheit für die Objektklasse wie dem Definieren in dem Active Directory-Schema zu wiederherzustellen.
  • T: verwendet diesen Parameter, um die Sicherheit in der Struktur der Objekte auf dem Standardwert für jede Objektklasse zu wiederherzustellen. Dieser Schalter ist gültig, wenn Sie auch den Parameter / s nur verwenden.

Berechtigungen Syntax

Sie müssen die folgende Syntax verwenden Berechtigungen Sie verwenden wann das D {}Benutzer | { Gruppe}:BerechtigungenG {}Benutzer | { Gruppe}:Berechtigungen eine Anwendung angegeben werden
[ PermissionBits [{ Object|Property [InheritedObjectType] }]]
  • PermissionBits Ich kann alle folgende Werte verwenden, die ohne Leerzeichen miteinander verkettet werden können:

    Allgemeine Berechtigungen
    Tabelle minimierenTabelle vergrößern
    GRAllgemeine Lese
    GEGenerik werden ausgeführt
    GWAllgemeines Schreiben
    GAJedes allgemeines

    Bestimmte Berechtigungen

    Tabelle minimierenTabelle vergrößern
    SDLösche
    DTLöschen Sie ein Objekt und seinen alle unterordneten Objekte.
    RCLesen Sie Sicherheitsinformation
    WDÄndern Sie Sicherheitsinformation
    WOÄndern Sie Besitzerinformation
    LCListen Sie die unterordneten Objekte eines Objekts auf
    CCErstellen Kind -Objekt. Wenn {}Objekt| Eigenschaft} Angegeben wird nicht das auf alle Eigenschaften eines Objekts angewandt wird, um eine bestimmte Eigenschaft zu definieren. Es gilt andernfalls an der angegebenen Eigenschaft des Objekts.
    DCLöschen Sie unterordnetes Objekt. Wenn {}Objekt| Eigenschaft} Angegeben wird nicht das auf alle Eigenschaften eines Objekts angewandt wird, um eine bestimmte Eigenschaft zu definieren. Es gilt andernfalls an der angegebenen Eigenschaft des Objekts.
    WSSchreiben Sie auf Selbstobjekt. Wenn {}Objekt| Eigenschaft} Angegeben wird nicht das auf alle Eigenschaften eines Objekts angewandt wird, um eine bestimmte Eigenschaft zu definieren. Es gilt andernfalls an der angegebenen Eigenschaft des Objekts.
    RPLesen Sie Eigenschaft. Wenn {}Objekt| Eigenschaft} Angegeben wird nicht das auf alle Eigenschaften eines Objekts angewandt wird, um eine bestimmte Eigenschaft zu definieren. Es gilt andernfalls an der angegebenen Eigenschaft des Objekts.
    TVSchreiben Sie Eigenschaft. Wenn { Object|Property} angegeben wird nicht um eine bestimmte Eigenschaft festzulegen, wird das auf alle Eigenschaften eines Objekts angewandt. Es gilt andernfalls an der angegebenen Eigenschaft des Objekts.
    CASteuern Sie rechts Zugriff. Wenn {}Objekt| Eigenschaft} Angegeben wird nicht das auf alle Eigenschaften eines Objekts angewandt wird, um eine bestimmte Eigenschaft zu definieren. Es gilt andernfalls an der angegebenen Eigenschaft des Objekts.
    LO Listen Sie den Objektzugriff auf. Um List-Zugriff auf ein bestimmtes Objekt zu gewähren, wenn List Children (LC) zu dem Eltern nicht außerdem erteilt wird, kann verwandt werden. Um das Ausblenden der Objekte, wenn der Benutzer oder die Gruppe über LC auf das Eltern verfügen, kann außerdem in bestimmten Objekten verweigert werden. Active Directory erzwingt diese Berechtigung nicht standardmäßig.
  • {Objekt| Eigenschaft}: Das stellt den Anzeigename des Objekttypen oder der Eigenschaft dar. Beispielsweise ist "Benutzer" (ohne die Anführungszeichen) der Anzeigename für Benutzerobjekte und "Telefonnummer (ohne die Anführungszeichen)" ist der Anzeigename für das Number - Eigenschaft Telefon.

    Beispielsweise erlaubt der folgende Befehl dem Benutzer, unterordnete Objekte alle Typen zu erstellen:
    /G Domain\User:CC

    Der folgende Befehl erlaubt dem Benutzer jedoch, nur unterordnete Computerobjekte zu erstellen:
    /G Domain\User:CC;computer
  • InheritedObjectType: Das stellt den Anzeigename des Objekttypen, erwartet wird, die Berechtigungen zu vererbt werden, dar.

    Wenn ein Objekttyp nicht angegeben wird, kann die Berechtigung von alle Objekttypen geerbt werden. Wenn Berechtigungen nur vererbbar sind, wird dieser Parameter verwandt.

    Beispielsweise lässt der folgende Befehl alle Objekttypen zu, um die Berechtigung zu erben:
    /G Domain\User:CC
    Der folgende Befehl lässt jedoch nur Benutzerobjekte zu, die Berechtigung zu erben:
    /G Domain\User:CC;;user
Wichtig: Verwendung Berechtigungen Wann definieren Sie als nur objektspezifische Berechtigungen, die Vorrang vor den Standardberechtigungen in dem Active Directory-Schema für den Objekttypen haben. Verwendung ein vollständiges Verständnis von objektspezifischen Berechtigungen haben Sie mit Vorsicht und einzigem If.



Beispielsweise Berechtigungen
  • SDRCWDWO; Benutzer

    Diese Notation stellt Leselöschen, Lesesicherheitsinformation, Änderungslesesicherheitsinformation und Besitzleseberechtigungen Ändern für Objekte des Typen "Benutzer" dar.
  • CCDC; Gruppe;

    Diese Notation stellt Create-Kind dar, und so löscht diese Notation unterordnete Berechtigungen zu dem Erstellen oder dem Löschen von Objekten des Typen "Gruppe".
  • RPWP; Telephonenumber;

    Diese Notation stellt Leseeigenschaft dar, und Erstellt auf dem Number - Eigenschaft Telefon Eigenschaftsberechtigungen.

Informationsquellen

Erhalten Sie Weitere Informationen zu dem Befehl dsacls.exe, wenn eingibt dsacls /? eingeben und dann die EINGABETASTE drücken
Erhalten Sie Weitere Informationen zu den neusten Updates zu Dscals.exe, die in Microsoft Windows Server 2003 Service Pack 1 ( 1) enthalten werden, indem auf die folgende Artikelanzahl klickt, um den Artikel der Microsoft Knowledge Base zu lesen:
892777 Windows Server 2003 Service Pack 1 Support Tools

Klicken Sie auf die folgende Artikelanzahl für weiteres Informationen zur Installation von dem Windows 2000-Supporttool den Artikel der Microsoft Knowledge Base zu lesen:
301423 Welcher VERFAHRENSWEISE: TO: Sie installieren das Windows 2000-Supporttool auf einem Windows 2000 Server-Basierten Computer
Um weitere Informationen zu erhalten, klicken die Tools, die mit Windows 2000-Supporttool enthalten sind, auf die folgenden Artikelanzahlen, um die Artikel der Microsoft Knowledge Base zu lesen:
246926 Ordner-List des Supporttools, Windows 2000 enthalten wird
292003 Service Pack 2 fügt mehrerem Windows 2000-Supporttool Updates hinzu
322271 Service Pack 3 ergänzt Windows 2000-Supporttools um mehrere Update

Eigenschaften

Artikel-ID: 281146 - Geändert am: Dienstag, 27. Februar 2007 - Version: 3.3
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Keywords: 
kbhowto KB281146 KbMtde kbmt
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 281146
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com