Cara menggunakan Dsacls.exe pada Windows Server 2003 dan Windows 2000

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 281146 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Pada Halaman ini

RINGKASAN

Artikel ini menjelaskan cara menggunakan alat Dsacls.exe (Dsacls.exe) untuk mengelola daftar kontrol akses (ACL) untuk layanan direktori Microsoft Windows Server 2003 dan Microsoft Windows 2000 Server. Dsacls.exe adalah alat baris perintah yang dapat Anda gunakan untuk query atribut keamanan dan untuk mengubah izin dan atribut keamanan objek Active Directory. Ini adalah baris perintah setara Keamanan tab di Windows Active Directory peralatan snap-in direktori aktif pengguna dan komputer dan aktif direktori situs dan layanan.

Dsacls.exe disertakan dengan alat dukungan Windows. Untuk menginstal alat dukungan, jalankan Setup.exe dari Dukungan\Alat pada Windows Server 2003 atau Windows 2000 Server CD-ROM.

Anda dapat menggunakan Dsacls.exe dan alat dukungan Windows lain, ACL diagnostik (Acldiag.exe), untuk menyediakan keamanan konfigurasi dan fungsionalitasnya diagnosis pada objek Active Directory dari prompt perintah.

Catatan Anda dapat menggunakan Dsacls.exe untuk menampilkan dan mengubah izin (entri kontrol akses) dalam daftar kontrol akses (ACL) objek di Active Directory Application Mode (ADAM) pada Windows Server 2003.

Penting Tidak menggunakan Dsacls.exe untuk mengubah hak akses jika Anda telah menerapkan solusi Hosting seperti berbasis Windows Hosting, tinggi Volume Exchange (HVE), host Olahpesan dan kolaborasi, atau host Exchange, atau jika pelanggan menggunakan layanan Provisioning Microsoft. Solusi Hosting tergantung pada model tertentu keamanan untuk mengisolasi ISP pelanggan dari satu sama lain.

Ikhtisar dari Dsacls.exe

DsAcls menggunakan sintaks berikut:
dsacls objek [/ a] [/d {pengguna | grup}:izin [...]] [/g {pengguna | grup}:izin [...]] [/ i: {p | s | t}] [/ n] [/ p: {y | n}] [/r {pengguna | grup} [...]] [/ s [/t]]
Anda dapat menggunakan parameter berikut dengan Dsacls.exe:
  • objek: Ini adalah jalan ke objek layanan direktori untuk menampilkan atau mengubah ACLs. Jalan ini harus dibedakan nama (juga dikenal sebagai RFC 1779 atau x.500 format). Misalnya:
    CN = seseorang, OU = Software, OU = teknik, DC = Microsoft, DC = Com
    Untuk menentukan server, tambahkan \\Servername\ sebelum objek. Misalnya:
    \\MyServer\CN=someone,ou=Software,ou=Engineering,DC=Microsoft,DC=com
    Ketika Anda menjalankan dsacls perintah dengan hanya objek parameter)dsacls objek), keamanan informasi tentang objek ditampilkan.
  • /a: Gunakan parameter ini untuk menampilkan kepemilikan dan audit informasi dengan izin.
  • Bumi {pengguna | grup}:izin: Gunakan parameter ini untuk menyangkal hak akses yang ditentukan untuk pengguna atau grup. Pengguna harus menggunakan baik pengguna@domain atau domain\pengguna format, dan grup harus menggunakan baik grup@domain atau domain\grup format. Anda dapat menetapkan lebih dari satu pengguna atau grup di perintah. Untuk informasi selengkapnya tentang sintaks yang benar untuk menggunakan untuk izin, melihat <permissions>Sintaks</permissions> bagian nanti dalam artikel ini.
  • /g {pengguna | grup}:izin: Gunakan parameter ini untuk memberikan hak akses yang ditentukan untuk pengguna atau grup. Pengguna harus menggunakan baik pengguna@domain atau domain\pengguna format, dan grup harus menggunakan baik grup@domain atau domain\grup format. Anda dapat menetapkan lebih dari satu pengguna atau grup di perintah. Untuk informasi selengkapnya tentang sintaks yang benar untuk menggunakan untuk izin, melihat <permissions>Sintaks</permissions> bagian nanti dalam artikel ini.
  • /i:{p | s | t}: Gunakan parameter ini untuk menentukan salah satu bendera warisan berikut:
    • p: Gunakan pilihan ini untuk menyebarkan diwariskan izin satu tingkat hanya.
    • s: Gunakan pilihan ini untuk menyebarkan diwariskan izin untuk subobjects hanya.
    • t: Gunakan pilihan ini untuk menyebarkan diwariskan izin untuk objek ini dan subobjects.
  • /n dapat : Gunakan parameter ini untuk menggantikan akses saat ini pada objek, alih-alih menyuntingnya.
  • p:{y | n}: Parameter ini menentukan apakah objek dapat mewarisi izin dari objek induk. Apabila Anda mengabaikan parameter ini, sifat-sifat warisan objek tidak berubah. Gunakan parameter ini untuk menandai objek sebagai dilindungi (y = yes) atau tidak dilindungi ()n = no).

    Catatan Parameter ini mengubah properti objek, tidak dari akses kontrol entri (ACE). Untuk menentukan apakah ACE diwariskan, gunakan /I parameter.
  • /r {pengguna | grup}: Gunakan parameter ini untuk menghapus semua izin untuk pengguna tertentu atau kelompok. Anda dapat menetapkan lebih dari satu pengguna atau grup di perintah. Pengguna harus menggunakan baik pengguna@domain atau domain\pengguna format, dan grup harus menggunakan baik grup@domain atau domain\grup format.
  • / s: Gunakan parameter ini untuk memulihkan keamanan pada objek untuk keamanan default untuk objek kelas, sebagaimana didefinisikan dalam skema Active Directory.
  • /t: Gunakan parameter ini untuk memulihkan keamanan pada pohon objek ke default untuk masing-masing objek kelas. Switch ini berlaku hanya jika Anda juga menggunakan / s parameter.

Izin Sintaks

Anda harus menggunakan sintaks berikut untuk izin Ketika Anda menggunakan Bumi {pengguna | grup}:izin atau /g {pengguna | grup}:izin parameter:
[PermissionBits];[{Object|Properti}];[InheritedObjectType]
  • PermissionBits dapat menggunakan salah satu nilai berikut, yang dapat concatenated bersama-sama tanpa spasi:

    Izin generik
    Perkecil tabel iniPerbesar tabel ini
    GRBaca generik
    GEGenerik mengeksekusi
    GWMenulis umum
    GASemua generik

    Izin khusus

    Perkecil tabel iniPerbesar tabel ini
    SDHapus
    DTMenghapus sebuah objek dan semua objek anak-anak.
    RCMembaca informasi keamanan
    WDMengubah informasi keamanan
    WOMengubah informasi pemilik
    LCDaftar objek anak-anak dari sebuah objek
    CCBuat anak objek. Jika {Objek|Properti} tidak ditentukan untuk menentukan properti tertentu, hal ini berlaku untuk semua sifat-sifat suatu objek. Jika tidak, itu berlaku untuk properti tertentu objek.
    DCMenghapus anak objek. Jika {Objek|Properti} tidak ditentukan untuk menentukan properti tertentu, hal ini berlaku untuk semua sifat-sifat suatu objek. Jika tidak, itu berlaku untuk properti tertentu objek.
    WSMenulis ke objek diri. Jika {Objek|Properti} tidak ditentukan untuk menentukan properti tertentu, hal ini berlaku untuk semua sifat-sifat suatu objek. Jika tidak, itu berlaku untuk properti tertentu objek.
    RPMembaca properti. Jika {Objek|Properti} tidak ditentukan untuk menentukan properti tertentu, hal ini berlaku untuk semua sifat-sifat suatu objek. Jika tidak, itu berlaku untuk properti tertentu objek.
    WPMenulis properti. Jika {Object|Properti} tidak ditentukan untuk menentukan properti tertentu, hal ini berlaku untuk semua sifat-sifat suatu objek. Jika tidak, itu berlaku untuk properti tertentu objek.
    CAMengontrol akses langsung. Jika {Objek|Properti} tidak ditentukan untuk menentukan properti tertentu, hal ini berlaku untuk semua sifat-sifat suatu objek. Jika tidak, itu berlaku untuk properti tertentu objek.
    LO Daftar objek akses. Dapat digunakan untuk memberikan daftar akses untuk objek tertentu jika daftar anak-anak (LC) tidak juga diberikan kepada orang tua. Dapat juga ditolak pada objek tertentu untuk menyembunyikan objek tersebut jika pengguna atau grup telah LC pada orang tua. Secara default, direktori aktif tidak menegakkan izin ini.
  • {Objek|Properti}: Ini mewakili nama tampilan jenis objek atau properti. Sebagai contoh, "pengguna" (tanpa tanda kutip) adalah nama tampilan untuk objek pengguna, dan "nomor telepon" (tanpa tanda kutip) adalah nama tampilan untuk properti nomor telepon.

    Sebagai contoh, perintah berikut memungkinkan pengguna untuk membuat semua jenis objek anak-anak:
    /G Domain\User:CC

    Namun, perintah berikut memungkinkan pengguna untuk membuat hanya objek komputer anak-anak:
    /G Domain\User:CC; komputer
  • InheritedObjectType: Ini mewakili nama tampilan jenis objek yang izin yang diharapkan akan diwariskan.

    Jika jenis objek tidak ditentukan, izin dapat diwarisi oleh semua jenis objek. Parameter ini digunakan hanya ketika hak akses diwariskan.

    Sebagai contoh, perintah berikut memungkinkan semua jenis benda mewarisi izin:
    /G Domain\User:CC
    Namun, perintah berikut memungkinkan hanya objek pengguna untuk mewarisi izin:
    /G Domain\User:CC;pengguna
PENTING: Penggunaan izin hanya ketika Anda mendefinisikan izin khusus objek yang menimpa izin default yang didefinisikan pada schema Active Directory untuk jenis objek. Gunakan dengan hati-hati dan hanya jika Anda memiliki pemahaman penuh dari objek khusus izin.



Contoh Izin
  • SDRCWDWO;pengguna

    Notasi ini mewakili Hapus, baca informasi keamanan, perubahan keamanan informasi, dan perubahan kepemilikan hak akses pada objek jenis "pengguna".
  • CCDC; kelompok;

    Notasi ini mewakili buat anak dan menghapus anak izin untuk membuat atau menghapus objek jenis "grup".
  • RPWP; telephonenumber;

    Notasi ini mewakili properti membaca dan menulis izin properti di properti nomor telepon.

REFERENSI

Untuk informasi lebih lanjut tentang dsacls.exe perintah, jenis dsacls /? pada prompt perintah, kemudian tekan ENTER.
Untuk informasi lebih lanjut tentang pembaruan terbaru untuk Dscals.exe yang disertakan dalam Microsoft Windows Server 2003 Service Pack 1 (SP1), klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
892777Alat dukungan Windows Server 2003 Paket Layanan 1

Untuk informasi tambahan tentang cara menginstal alat dukungan Windows 2000, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
301423BAGAIMANA untuk: Instal alat dukungan Windows 2000 untuk komputer berbasis Windows 2000 Server
Untuk informasi tambahan alat-alat yang disertakan dengan alat dukungan Windows 2000, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
246926Daftar map alat dukungan yang termasuk dalam Windows 2000
292003 Paket Layanan 2 menambahkan pembaruan ke alat dukungan beberapa Windows 2000
322271 Paket Layanan 3 menambahkan pembaruan ke alat dukungan beberapa Windows 2000

Properti

ID Artikel: 281146 - Kajian Terakhir: 23 September 2011 - Revisi: 2.0
Berlaku bagi:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Kata kunci: 
kbhowto kbmt KB281146 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:281146

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com