Como usar Dsacls.exe en Windows Server 2003 y Windows 2000

Seleccione idioma Seleccione idioma
Id. de artículo: 281146 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

Este artículo describe cómo utilizar la herramienta Dsacls.exe (Dsacls.exe) para administrar listas de control de acceso (ACL) para servicios de directorio en Microsoft Windows Server 2003 y Microsoft Windows 2000 Server. DSACLS.exe es una herramienta de línea de comandos que puede utilizar para consultar los atributos de seguridad y para cambiar los permisos y los atributos de seguridad de objetos de Active Directory. Es el equivalente de la línea de comandos de la Seguridad ficha de las herramientas de snap-in de Active Directory de Windows como usuarios de Active Directory y los equipos y sitios de Active Directory y servicios.

DSACLS.exe se incluye con las herramientas de soporte de Windows. Para instalar las herramientas de soporte, ejecute Setup.exe desde la carpeta Support\Tools en el CD-ROM de Windows 2000 Server o en Windows Server 2003.

Puede utilizar Dsacls.exe y otra herramienta de soporte técnico de Windows, diagnósticos de ACL (Acldiag.exe), para proporcionar funcionalidad de diagnóstico y configuración de seguridad de objetos de Active Directory desde la línea de comandos.

Nota Puede usar Dsacls.exe para mostrar y cambiar los permisos (entradas de control de acceso) en la lista de control de acceso (ACL) de objetos en Active Directory Application Mode (ADAM) en Windows Server 2003.

Importante No utilice Dsacls.exe para modificar los permisos, si ha implementado una solución de alojamiento, como Windows-based Hosting, alto volumen de Exchange (HVE), Hosted Messaging y Collaboration o Exchange alojado o si el cliente está utilizando el servicio de Provisioning de Microsoft. Las soluciones de Hosting dependen de modelo de seguridad específica para aislar a los clientes del ISP entre sí.

Información general acerca de Dsacls.exe

DsAcls utiliza la sintaxis siguiente:
DSACLS Objeto [/ a] [/d {usuario | grupo}:permisos [...]] [/g {usuario | grupo}:permisos [...]] [/ i: {p | s | t}] [/ n] [/ p: {y | n}] [/r {usuario | grupo} [...]] [/s [/ t]]
Puede utilizar los siguientes parámetros con Dsacls.exe:
  • Objeto: Se trata la ruta de acceso al objeto de servicios de directorio en el que se va a mostrar o cambiar las ACL. Esta ruta de acceso debe ser un nombre completo (también conocido como en formato RFC 1779 o x.500). Por ejemplo:
    CN = persona, OU = Software, OU = ingeniería, DC = Microsoft, DC = Com
    Para especificar un servidor, agregar \\Servername\ antes de que el objeto. Por ejemplo:
    \\MyServer\CN=someone,OU=software,OU=Engineering,DC=Microsoft,DC=com
    Cuando ejecute el comando de dsacls con sólo la Objeto (parámetroDSACLS Objeto), se muestra la información de seguridad sobre el objeto.
  • /a : Utilice este parámetro para mostrar la propiedad y la información de auditoría con los permisos.
  • /d {usuario | grupo}:permisos: Utilice este parámetro para denegar permisos especificados para un usuario o grupo. Usuario debe usar usuario@Dominio o Dominio\usuario formato, y grupo debe usar grupo@Dominio o Dominio\grupo formato. Puede especificar más de un usuario o grupo en un comando. Para obtener más información acerca de la sintaxis correcta que se utilizará para permisos, consulte la <Permissions>Sintaxis</Permissions> sección más adelante en este artículo.
  • /g {usuario | grupo}:permisos: Utilice este parámetro para conceder permisos especificados para un usuario o grupo. Usuario debe usar usuario@Dominio o Dominio\usuario formato, y grupo debe usar grupo@Dominio o Dominio\grupo formato. Puede especificar más de un usuario o grupo en un comando. Para obtener más información acerca de la sintaxis correcta que se utilizará para permisos, consulte la <Permissions>Sintaxis</Permissions> sección más adelante en este artículo.
  • /i:{p | s | t}: Utilice este parámetro para especificar uno de los siguientes indicadores de herencia:
    • p.m.: Utilice esta opción para propagar permisos heredables de un objeto sólo en un nivel.
    • s: Utilice esta opción para propagar los permisos heredables de un objeto a sólo objetos secundarios.
    • t: Utilice esta opción para propagar los permisos heredables de un objeto a este objeto y los objetos secundarios.
  • /n : Utilice este parámetro para reemplazar el acceso actual en el objeto, en lugar de modificarlo.
  • /p:{y | n}: este parámetro determina si el objeto puede heredar los permisos de sus objetos primarios. Si se omite este parámetro, no se cambian las propiedades de herencia del objeto. Utilice este parámetro para marcar el objeto como protegido (y = Sí) o no protegido (n = no).

    Nota Este parámetro cambia una propiedad del objeto, no de una entrada de Control de acceso (ACE). Para determinar si una ACE es heredables de un objeto, utilice el parámetro /I.
  • /r {usuario | grupo}: Utilice este parámetro para quitar todos los permisos para el usuario o grupo especificado. Puede especificar más de un usuario o grupo en un comando. Usuario debe usar usuario@Dominio o Dominio\usuario formato, y grupo debe usar grupo@Dominio o Dominio\grupo formato.
  • /s: Utilice este parámetro para restaurar la seguridad en el objeto a la seguridad predeterminada para esa clase de objeto, tal como se define en el esquema de Active Directory.
  • /t : Utilice este parámetro para restaurar la seguridad en el árbol de objetos en el valor predeterminado para cada clase de objeto. Este modificador sólo es válido cuando utiliza también el parámetro /s .

Permisos Sintaxis

Debe utilizar la sintaxis siguiente para permisos al utilizar { /dusuario | grupo}:permisos or /g {usuario | grupo}:permisos parámetro:
[PermissionBits];[{Objeto|Propiedad}];[InheritedObjectType]
  • PermissionBits Puede utilizar cualquiera de los siguientes valores, que permiten la concatenación sin espacios en blanco:

    Permisos genéricos
    Contraer esta tablaAmpliar esta tabla
    GRLectura genérica
    GEEjecución genérica
    GWEscritura genérica
    GATodos los genéricos

    Permisos específicos

    Contraer esta tablaAmpliar esta tabla
    SDEliminar
    DTEliminar un objeto y todos sus objetos secundarios.
    RCLeer la información de seguridad
    WDCambiar información de seguridad
    WOInformación del propietario del cambio
    LCLista con los objetos secundarios de un objeto
    CCCrear objeto secundario. Si {Objeto|Propiedad} no se especifica para definir una propiedad concreta, esto se aplica a todas las propiedades de un objeto. De lo contrario, se aplica a la propiedad especificada del objeto.
    CONTROLADOR DE DOMINIOEliminar objeto secundario. Si {Objeto|Propiedad} no se especifica para definir una propiedad concreta, esto se aplica a todas las propiedades de un objeto. De lo contrario, se aplica a la propiedad especificada del objeto.
    WSEscribir en el propio objeto. Si {Objeto|Propiedad} no se especifica para definir una propiedad concreta, esto se aplica a todas las propiedades de un objeto. De lo contrario, se aplica a la propiedad especificada del objeto.
    PUNTO DE REUNIÓNPropiedad de lectura. Si {Objeto|Propiedad} no se especifica para definir una propiedad concreta, esto se aplica a todas las propiedades de un objeto. De lo contrario, se aplica a la propiedad especificada del objeto.
    ELEMENTO WEBEscribir la propiedad. Si {Objeto|Propiedad} no se especifica para definir una propiedad concreta, esto se aplica a todas las propiedades de un objeto. De lo contrario, se aplica a la propiedad especificada del objeto.
    ENTIDAD EMISORA DE CERTIFICADOSControlar el acceso a la derecha. Si {Objeto|Propiedad} no se especifica para definir una propiedad concreta, esto se aplica a todas las propiedades de un objeto. De lo contrario, se aplica a la propiedad especificada del objeto.
    LO El acceso a objetos de lista. Puede utilizarse para conceder acceso de la lista a un objeto específico si lista de elementos secundarios (LC) no se concede también al elemento primario. También se puede denegar en determinados objetos para ocultar los objetos si el usuario o grupo de LC en el elemento primario. De forma predeterminada, Active Directory no exige este permiso.
  • {Objeto|Propiedad}: Esto representa el nombre para mostrar del tipo de objeto o propiedad. Por ejemplo, "user" (sin las comillas) es el nombre para mostrar para los objetos de usuario y "número de teléfono" (sin las comillas) es el nombre para mostrar de la propiedad de número de teléfono.

    Por ejemplo, el siguiente comando permite al usuario crear todos los tipos de objetos secundarios:
    Domain\User:CC/g

    Sin embargo, el siguiente comando permite al usuario crear objetos de equipo sólo secundarios:
    Domain\User:CC/g; equipo
  • InheritedObjectType: Esto representa el nombre para mostrar del tipo de objeto por el que los permisos se esperan que se puede heredar.

    Si no se especifica un tipo de objeto, todos los tipos de objeto puede hereden el permiso. Este parámetro se utiliza sólo cuando los permisos heredables de un objeto.

    Por ejemplo, el comando siguiente permite que todos los tipos de objetos hereden el permiso:
    Domain\User:CC/g
    Sin embargo, el comando siguiente permite que sólo los objetos de usuario hereden el permiso:
    Domain\User:CC/g;usuario
Importante: uso permisos sólo cuando se definen permisos específicos de objetos que reemplazan los permisos predeterminados definidos en el esquema de Active Directory para ese tipo de objeto. Utilice con precaución y sólo si tiene un conocimiento completo de permisos específicos de objeto.



Ejemplos de Permisos
  • SDRCWDWO;usuario

    Esta notación representa eliminar, leer información de seguridad, cambiar información de seguridad y cambiar permisos de propiedad en objetos de tipo "user".
  • CCDC; grupo;

    Esta notación representa entrada secundaria de crear y eliminar permisos secundarios para crear o eliminar objetos del tipo "grupo".
  • RPWP; telephoneNumber (númeroDeTeléfono);

    Esta notación representa la propiedad de lectura y escritura, permisos de propiedad en la propiedad de número de teléfono.

Referencias

Para obtener más información acerca del comando dsacls.exe , escriba ¿DSACLS /? en el símbolo del sistema y, a continuación, presione ENTRAR.
Para obtener más información acerca de las actualizaciones más recientes a Dscals.exe que se incluyen en Microsoft Windows Server 2003 Service Pack 1 (SP1), haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
892777Herramientas de soporte técnico de Windows Server 2003 Service Pack 1

Para obtener información adicional acerca de cómo instalar las herramientas de soporte técnico de Windows 2000, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
301423Cómo: Instalar las herramientas de soporte técnico de Windows 2000 en un equipo basado en Windows 2000 Server
Para obtener información adicional las herramientas que se incluyen con herramientas de soporte técnico de Windows 2000, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
246926Lista de carpetas de las herramientas de soporte técnico incluidas en Windows 2000
292003 Service Pack 2 actualiza varias herramientas de soporte técnico de Windows 2000
322271 Service Pack 3 actualiza varias herramientas de soporte técnico de Windows 2000

Propiedades

Id. de artículo: 281146 - Última revisión: miércoles, 16 de enero de 2013 - Versión: 2.0
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Palabras clave: 
kbhowto kbmt KB281146 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 281146

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com