Comment utiliser Dsacls.exe dans Windows Server 2003 et Windows 2000

Traductions disponibles Traductions disponibles
Numéro d'article: 281146 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article décrit comment utiliser l'outil (Dsacls.exe) Dsacls.exe pour gérer des liste de contrôle d'accès (ACL) pour service d'annuaire dans Microsoft Windows Server 2003 et Microsoft Windows 2000 Server. Dsacls.exe est un outil de ligne de commande lequel vous peut utiliser à interroger les attributs de sécurité et à modifier des autorisations et des attributs d'objets Active Directory de sécurité. Il est l'équivalent de ligne de commande de l'onglet Sécurité, dans les composant logiciel enfichable Windows Active Directory tel qu'Utilisateurs et ordinateurs Active Directory et Sites et services Active Directory.

Dsacls.exe est fourni avec les outils de support de Windows. Pour installer les outils de support, exécutez Setup.exe à partir du dossier Support\Tools sur le Windows Server 2003 ou CD-ROM Windows 2000 Server.

Vous pouvez utiliser Dsacls.exe et un autre Outil de support de Windows, ACL Diagnostics (Acldiag.exe) pour fournir la configuration de la sécurité et la fonctionnalité diagnostic sur des objets Active Directory à partir de l'invite de commandes.

Remarque Vous pouvez utiliser Dsacls.exe (dans ACL de la liste de contrôle d'accès d'objets dans ADAM dans Windows Server 2003) pour afficher et pour changer des autorisations (entrée de contrôle d'accès).

Important n'utilisez pas Dsacls.exe pour modifier des autorisations si vous avez implémenté une solution Hosting tel qu'Hosting, High Volume Exchange (HVE), Hosted Messaging, collaboration ou hébergement d'Exchange Windows ou si le client fait appel à Microsoft Provisioning Service. Les solutions Hosting dépendent de modèle de sécurité spécifique pour isoler les clients du fournisseur de services Internet de les uns les autres.

Vue d'ensemble de Dsacls.exe

DsAcls utilise la syntaxe suivante :
Objet dsacls [/ a] [ /d { utilisateur| groupe } : autorisations (...) ] [ /g { utilisateur| groupe } : autorisations (...) ] [/ i: { p| s| t } ] [/ n] [/ p: { y| n } ] [ /r { utilisateur| groupe } (...) ] [/s [/t]]
Vous pouvez utiliser les paramètres suivants avec Dsacls.exe :
  • objet : cela est le chemin à l'objet de service d'annuaire pour afficher ou pour modifier sur les ACL. Ce chemin d'accès doit être un nom (RFC 1779 mettre à en forme (ou RFC 1779) ou également x.500) unique. Par exemple
    CN = quelqu'un, unité d'organisation = logiciel, unité d'organisation = ingénierie, contrôleur de domaine = Microsoft , DC = com
    Pour spécifier un serveur, ajoutez \\Servername\ avant l'objet. Par exemple
    \\MyServer\CN=Someone,OU=Software,OU=Engineering,DC=Microsoft,DC=Com
    Vous exécutez quand la commande dsacls avec seule the objet Le paramètre ( dsacls <VAR>object</VAR>) l'information de sécurité sur l'objet est affiché.
  • /a : utilise ce paramètre pour afficher la propriété et l'information d'audit avec les autorisations.
  • {} /dutilisateur | { groupe}:autorisations: Utilisez ce paramètre pour refuser les autorisations spécifiées à un utilisateur ou un groupe. Utilisateu doit utiliser une domaine d'utilisateur </VAR> @ <VAR> <VAR> </VAR> ou domaine et format utilisateur\ groupe doit utiliser une domaine de groupe </VAR> @ <VAR> <VAR> </VAR> ou domaine format de groupe\. Vous pouvez spécifier plus de un utilisateur ou groupe dans une commande. Plus d'information pour sur la syntaxe correcte à utiliser autorisations, Vous voyez the &lt;autorisations syntaxe&gt; section à la fin de cet article.
  • {} /gutilisateur | groupe}:autorisations: Utilisez ce paramètre pour accorder les autorisations spécifiées à un utilisateur ou un groupe. Utilisateu doit utiliser une domaine d'utilisateur </VAR> @ <VAR> <VAR> </VAR> ou domaine et format utilisateur\ groupe doit utiliser une domaine de groupe </VAR> @ <VAR> <VAR> </VAR> ou domaine format de groupe\. Vous pouvez spécifier plus de un utilisateur ou groupe dans une commande. Plus d'information pour sur la syntaxe correcte à utiliser autorisations, Vous voyez the &lt;autorisations syntaxe&gt; section à la fin de cet article.
  • { /i :{ p| s| t } : vous utilisez ce paramètre pour spécifier l'un des indicateurs suivants d'héritage :
    • -p : utilise cette option pour propager un niveau seulement d'autorisations pouvant être hérité.
    • s : utilise cette option pour propager les autorisations à sous-objet seulement pouvant être hérité.
    • t : utilise cette option pour propager les autorisations pour l'objet et les sous-objet pouvant être hérité.
  • /n : utilise ce paramètre pour remplacer l'accès actuel sur l'objet au lieu de le modifier.
  • { /p :{ y| n } : ce paramètre détermine si l'objet peut hériter d'autorisation de ses objets parent. Si vous ne spécifiez pas ce paramètre, les propriétés de l'objet d'héritage ne sont pas modifiées. Vous n'utilisez ce paramètre pour marquer l'objet comme être protégé ( y oui = ) ou n'a pas protégé ( n = aucun ).

    Remarque ce paramètre change une propriété de l'objet ne pas d'une entrée de contrôle d'accès. Pour déterminer si un ACE est héritable, utilisez le paramètre /I.
  • {} /rutilisateur | groupe} : Vous utilisez ce paramètre pour supprimer toutes les autorisations pour l'utilisateur spécifié ou le groupe spécifié. Vous pouvez spécifier plus de un utilisateur ou groupe dans une commande. Utilisateu doit utiliser une domaine d'utilisateur </VAR> @ <VAR> <VAR> </VAR> ou domaine et format utilisateur\ groupe doit utiliser une domaine de groupe </VAR> @ <VAR> <VAR> </VAR> ou domaine format de groupe\.
  • /s : utilise ce paramètre pour restaurer la sécurité sur l'objet à la sécurité par défaut pour la classe d'objet comme être définie dans le schéma Active Directory.
  • /t : utilise ce paramètre pour restaurer la sécurité sur l'arborescence d'objets par défaut pour chaque classe d'objet. Ce commutateur est valide que lorsque vous utilisez également le paramètre /s.

Syntaxe Autorisations

Vous devez utiliser la syntaxe suivante autorisations Vous utilisez quand le {} /dutilisateur | { groupe}:autorisations {} /gutilisateur | { groupe}:autorisations paramètre :
[ PermissionBits [{ Object|Property [InheritedObjectType] }]]
  • PermissionBits Je peux utiliser toutes les valeurs suivantes qui peuvent être concaténées ensemble sans espaces :

    Autorisations génériques
    Réduire ce tableauAgrandir ce tableau
    GRLecture générique
    GEGénérique s'exécuter
    GWÉcriture générique
    GATout générique

    Autorisations spécifiques

    Réduire ce tableauAgrandir ce tableau
    SDSupprimez
    DTSupprimez un objet et tous ses objets enfants.
    RCLisez l'information de sécurité
    WDModifiez l'information de sécurité
    WOModifiez l'information de propriétaire
    LCRépertoriez les objets enfants d'un objet
    CCCréez l'objet enfant. Si {}Objet| Propriété} N'est pas spécifié pour définir une propriété spécifique cela applique à toutes les propriétés d'un objet. Sinon il applique à la propriété spécifiée de l'objet.
    CONTRÔLEUR DE DOMAINESupprimez l'objet enfant. Si {}Objet| Propriété} N'est pas spécifié pour définir une propriété spécifique cela applique à toutes les propriétés d'un objet. Sinon il applique à la propriété spécifiée de l'objet.
    WSÉcrivez sur l'objet automatique. Si {}Objet| Propriété} N'est pas spécifié pour définir une propriété spécifique cela applique à toutes les propriétés d'un objet. Sinon il applique à la propriété spécifiée de l'objet.
    RPLisez la propriété. Si {}Objet| Propriété} N'est pas spécifié pour définir une propriété spécifique cela applique à toutes les propriétés d'un objet. Sinon il applique à la propriété spécifiée de l'objet.
    WPÉcrivez la propriété. Si { Object|Property} n'est pas spécifié pour définir une propriété spécifique, cela est utilisé à toutes propriétés d'un objet. Sinon il applique à la propriété spécifiée de l'objet.
    AUTORITÉ DE CERTIFICATIONContrôlez l'accès à droite. Si {}Objet| Propriété} N'est pas spécifié pour définir une propriété spécifique cela applique à toutes les propriétés d'un objet. Sinon il applique à la propriété spécifiée de l'objet.
    LO Répertoriez l'accès à objets. Peut être utilisé à accorder l'accès de liste à un objet spécifique que List Children (LC) n'est pas accordé également au parent. Peut également être refusé sur des objets spécifiques pour masquer les objets si l'utilisateur ou le groupe possèdent LC sur le parent. Par défaut Active Directory n'applique pas cette autorisation.
  • {Objet| Propriété} : Cela représente le nom complet des types d'objet ou la propriété. Par exemple "utilisateur" (sans les guillemets) correspond au nom d'objets utilisateur affiché et "numéro de téléphone (sans les guillemets)" est le nom affiché pour la propriété numérique téléphonique.

    Par exemple la commande suivante permet à l'utilisateur de créer tous les types d'objets enfants :
    /G Domain\User:CC

    Cependant la commande suivante permet à l'utilisateur de créer des objets ordinateurs enfants seulement :
    /G Domain\User:CC;computer
  • InheritedObjectType: Cela représente le nom complet des types d'objet lesquels est attendu aux autorisations être hérité.

    Si un type d'objet n'est pas spécifié, peut être hérité les tous types d'objet de l'autorisation. Ce paramètre est utilisé que lorsqu' autorisations sont héritable.

    Par exemple la commande suivante autorise tous les types d'objets pour hériter de l'autorisation :
    /G Domain\User:CC
    Cependant la commande suivante permet seulement des objets utilisateur d'hériter l'autorisation :
    /G Domain\User:CC;;user
IMPORTANT : utilisation autorisations Vous définissez seulement quand les autorisations object-specific qui remplacent les autorisations par défaut définies dans le schéma Active Directory pour le type d'objet. Utilisation vous avez une compréhension complète d'autorisations object-specific avec la précaution et l'if seul.



Exemples d'Autorisations
  • SDRCWDWO; utilisateur

    Cette notation représente Supprimait, l'information Lecture de sécurité, l'information de sécurité de Modification et les autorisations de propriété de modification sur des objets de type "utilisateur".
  • CCDC; groupe ;

    Cette notation représente l'enfant Créer et Supprime enfant autorisations de créer ou de supprimer des objets de type "groupe".
  • RPWP; telephonenumber ;

    Cette notation représente la propriété de lecture et Écrit autorisations de propriété sur la propriété numérique téléphonique.

Références

Pour plus d'informations sur la commande dsacls.exe, tapez dsacls /? à une invite de commande et appuyez sur ENTRÉE
Pour plus d'informations sur les dernières mises à jour à Dscals.exe qui sont incluses dans Microsoft Windows Server 2003 Service Pack 1 ( SP1 ) (SP1) cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
892777 Outils de support de Windows Server 2003 Service Pack

Pour plus d'informations comment sur installer les outils de support de Windows 2000, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
301423 COMMENT À : installer les outils de support de Windows 2000 à des ordinateurs Windows 2000 Server
Pour plus d'informations les outils inclus avec outils de support de Windows 2000 cliquent ci-dessous sur les numéros pour afficher les articles correspondant dans la Base de connaissances Microsoft :
246926 Liste des dossiers compris dans les outils de support de Windows 200
292003 Service Pack 2 ajoute des mises à jour à plusieurs outils de support de Windows 2000
322271 Le Service Pack 3 inclut les mises à jour de nombreux outils de support de Windows 200

Propriétés

Numéro d'article: 281146 - Dernière mise à jour: mardi 27 février 2007 - Version: 3.3
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Mots-clés : 
kbhowto KB281146 KbMtfr kbmt
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que feraient une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique. Si vous relevez des erreurs graves et souhaitez contribuer à l?amélioration du système, vous pouvez compléter l?enquête à votre disposition dans le bas des articles.
La version anglaise de cet article est la suivante: 281146
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com