Cara menggunakan Dsacls.exe pada Windows Server 2003 dan Windows 2000

Artikel ini menjelaskan cara menggunakan alat Dsacls.exe (Dsacls.exe) untuk mengelola daftar kontrol akses (ACL) untuk layanan direktori Microsoft Windows Server 2003 dan Microsoft Windows 2000 Server. Dsacls.exe adalah alat baris perintah yang dapat Anda gunakan untuk query atribut keamanan dan untuk mengubah izin dan atribut keamanan objek Active Directory. Ini adalah baris perintah setara Keamanan tab di Windows Active Directory peralatan snap-in direktori aktif pengguna dan komputer dan aktif direktori situs dan layanan.

Dsacls.exe disertakan dengan alat dukungan Windows. Untuk menginstal alat dukungan, jalankan Setup.exe dari Dukungan\Alat pada Windows Server 2003 atau Windows 2000 Server CD-ROM.

Anda dapat menggunakan Dsacls.exe dan alat dukungan Windows lain, ACL diagnostik (Acldiag.exe), untuk menyediakan keamanan konfigurasi dan fungsionalitasnya diagnosis pada objek Active Directory dari prompt perintah.

Catatan Anda dapat menggunakan Dsacls.exe untuk menampilkan dan mengubah izin (entri kontrol akses) dalam daftar kontrol akses (ACL) objek di Active Directory Application Mode (ADAM) pada Windows Server 2003.

Penting Tidak menggunakan Dsacls.exe untuk mengubah hak akses jika Anda telah menerapkan solusi Hosting seperti berbasis Windows Hosting, tinggi Volume Exchange (HVE), host Olahpesan dan kolaborasi, atau host Exchange, atau jika pelanggan menggunakan layanan Provisioning Microsoft. Solusi Hosting tergantung pada model tertentu keamanan untuk mengisolasi ISP pelanggan dari satu sama lain.

Ikhtisar dari Dsacls.exe

DsAcls menggunakan sintaks berikut:Anda dapat menggunakan parameter berikut dengan Dsacls.exe:

• objek: Ini adalah jalan ke objek layanan direktori untuk menampilkan atau mengubah ACLs. Jalan ini harus dibedakan nama (juga dikenal sebagai RFC 1779 atau x.500 format). Misalnya:
  CN = seseorang, OU = Software, OU = teknik, DC = Microsoft, DC = Com
  Untuk menentukan server, tambahkan \\Servername\ sebelum objek. Misalnya:
  \\MyServer\CN=someone,ou=Software,ou=Engineering,DC=Microsoft,DC=com
  Ketika Anda menjalankan dsacls perintah dengan hanya objek parameter)dsacls objek), keamanan informasi tentang objek ditampilkan.
• /a: Gunakan parameter ini untuk menampilkan kepemilikan dan audit informasi dengan izin.
• Bumi {pengguna | grup}:izin: Gunakan parameter ini untuk menyangkal hak akses yang ditentukan untuk pengguna atau grup. Pengguna harus menggunakan baik pengguna@domain atau domain\pengguna format, dan grup harus menggunakan baik grup@domain atau domain\grup format. Anda dapat menetapkan lebih dari satu pengguna atau grup di perintah. Untuk informasi selengkapnya tentang sintaks yang benar untuk menggunakan untuk izin, melihat <permissions>Sintaks</permissions> bagian nanti dalam artikel ini.
• /g {pengguna | grup}:izin: Gunakan parameter ini untuk memberikan hak akses yang ditentukan untuk pengguna atau grup. Pengguna harus menggunakan baik pengguna@domain atau domain\pengguna format, dan grup harus menggunakan baik grup@domain atau domain\grup format. Anda dapat menetapkan lebih dari satu pengguna atau grup di perintah. Untuk informasi selengkapnya tentang sintaks yang benar untuk menggunakan untuk izin, melihat <permissions>Sintaks</permissions> bagian nanti dalam artikel ini.
• /i:{p | s | t}: Gunakan parameter ini untuk menentukan salah satu bendera warisan berikut:
  • p: Gunakan pilihan ini untuk menyebarkan diwariskan izin satu tingkat hanya.
  • s: Gunakan pilihan ini untuk menyebarkan diwariskan izin untuk subobjects hanya.
  • t: Gunakan pilihan ini untuk menyebarkan diwariskan izin untuk objek ini dan subobjects.
• /n dapat : Gunakan parameter ini untuk menggantikan akses saat ini pada objek, alih-alih menyuntingnya.
• p:{y | n}: Parameter ini menentukan apakah objek dapat mewarisi izin dari objek induk. Apabila Anda mengabaikan parameter ini, sifat-sifat warisan objek tidak berubah. Gunakan parameter ini untuk menandai objek sebagai dilindungi (y = yes) atau tidak dilindungi ()n = no).
  
  Catatan Parameter ini mengubah properti objek, tidak dari akses kontrol entri (ACE). Untuk menentukan apakah ACE diwariskan, gunakan /I parameter.
• /r {pengguna | grup}: Gunakan parameter ini untuk menghapus semua izin untuk pengguna tertentu atau kelompok. Anda dapat menetapkan lebih dari satu pengguna atau grup di perintah. Pengguna harus menggunakan baik pengguna@domain atau domain\pengguna format, dan grup harus menggunakan baik grup@domain atau domain\grup format.
• / s: Gunakan parameter ini untuk memulihkan keamanan pada objek untuk keamanan default untuk objek kelas, sebagaimana didefinisikan dalam skema Active Directory.
• /t: Gunakan parameter ini untuk memulihkan keamanan pada pohon objek ke default untuk masing-masing objek kelas. Switch ini berlaku hanya jika Anda juga menggunakan / s parameter.

Izin Sintaks

Anda harus menggunakan sintaks berikut untuk izin Ketika Anda menggunakan Bumi {pengguna | grup}:izin atau /g {pengguna | grup}:izin parameter:

• PermissionBits dapat menggunakan salah satu nilai berikut, yang dapat concatenated bersama-sama tanpa spasi:
  
  Izin generik
  Perkecil tabel iniPerbesar tabel ini

  GR	Baca generik
  GE	Generik mengeksekusi
  GW	Menulis umum
  GA	Semua generik

  
  Izin khusus
  
  
  Perkecil tabel iniPerbesar tabel ini

  SD	Hapus
  DT	Menghapus sebuah objek dan semua objek anak-anak.
  RC	Membaca informasi keamanan
  WD	Mengubah informasi keamanan
  WO	Mengubah informasi pemilik
  LC	Daftar objek anak-anak dari sebuah objek
  CC	Buat anak objek. Jika {Objek|Properti} tidak ditentukan untuk menentukan properti tertentu, hal ini berlaku untuk semua sifat-sifat suatu objek. Jika tidak, itu berlaku untuk properti tertentu objek.
  DC	Menghapus anak objek. Jika {Objek|Properti} tidak ditentukan untuk menentukan properti tertentu, hal ini berlaku untuk semua sifat-sifat suatu objek. Jika tidak, itu berlaku untuk properti tertentu objek.
  WS	Menulis ke objek diri. Jika {Objek|Properti} tidak ditentukan untuk menentukan properti tertentu, hal ini berlaku untuk semua sifat-sifat suatu objek. Jika tidak, itu berlaku untuk properti tertentu objek.
  RP	Membaca properti. Jika {Objek|Properti} tidak ditentukan untuk menentukan properti tertentu, hal ini berlaku untuk semua sifat-sifat suatu objek. Jika tidak, itu berlaku untuk properti tertentu objek.
  WP	Menulis properti. Jika {Object|Properti} tidak ditentukan untuk menentukan properti tertentu, hal ini berlaku untuk semua sifat-sifat suatu objek. Jika tidak, itu berlaku untuk properti tertentu objek.
  CA	Mengontrol akses langsung. Jika {Objek|Properti} tidak ditentukan untuk menentukan properti tertentu, hal ini berlaku untuk semua sifat-sifat suatu objek. Jika tidak, itu berlaku untuk properti tertentu objek.
  LO	Daftar objek akses. Dapat digunakan untuk memberikan daftar akses untuk objek tertentu jika daftar anak-anak (LC) tidak juga diberikan kepada orang tua. Dapat juga ditolak pada objek tertentu untuk menyembunyikan objek tersebut jika pengguna atau grup telah LC pada orang tua. Secara default, direktori aktif tidak menegakkan izin ini.

• {Objek|Properti}: Ini mewakili nama tampilan jenis objek atau properti. Sebagai contoh, "pengguna" (tanpa tanda kutip) adalah nama tampilan untuk objek pengguna, dan "nomor telepon" (tanpa tanda kutip) adalah nama tampilan untuk properti nomor telepon.
  
  Sebagai contoh, perintah berikut memungkinkan pengguna untuk membuat semua jenis objek anak-anak:
  /G Domain\User:CC
  
  Namun, perintah berikut memungkinkan pengguna untuk membuat hanya objek komputer anak-anak:
  /G Domain\User:CC; komputer
• InheritedObjectType: Ini mewakili nama tampilan jenis objek yang izin yang diharapkan akan diwariskan.
  
  Jika jenis objek tidak ditentukan, izin dapat diwarisi oleh semua jenis objek. Parameter ini digunakan hanya ketika hak akses diwariskan.
  
  Sebagai contoh, perintah berikut memungkinkan semua jenis benda mewarisi izin:
  /G Domain\User:CC
  Namun, perintah berikut memungkinkan hanya objek pengguna untuk mewarisi izin:
  /G Domain\User:CC;pengguna

PENTING: Penggunaan izin hanya ketika Anda mendefinisikan izin khusus objek yang menimpa izin default yang didefinisikan pada schema Active Directory untuk jenis objek. Gunakan dengan hati-hati dan hanya jika Anda memiliki pemahaman penuh dari objek khusus izin.



Contoh Izin

• SDRCWDWO;pengguna
  
  Notasi ini mewakili Hapus, baca informasi keamanan, perubahan keamanan informasi, dan perubahan kepemilikan hak akses pada objek jenis "pengguna".
• CCDC; kelompok;
  
  Notasi ini mewakili buat anak dan menghapus anak izin untuk membuat atau menghapus objek jenis "grup".
• RPWP; telephonenumber;
  
  Notasi ini mewakili properti membaca dan menulis izin properti di properti nomor telepon.

Untuk informasi lebih lanjut tentang dsacls.exe perintah, jenis dsacls /? pada prompt perintah, kemudian tekan ENTER.
Untuk informasi lebih lanjut tentang pembaruan terbaru untuk Dscals.exe yang disertakan dalam Microsoft Windows Server 2003 Service Pack 1 (SP1), klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
Untuk informasi tambahan tentang cara menginstal alat dukungan Windows 2000, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft: Untuk informasi tambahan alat-alat yang disertakan dengan alat dukungan Windows 2000, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft: