Windows Server 2003 および Windows 2000 で Dsacls.exe を使用する方法

文書翻訳 文書翻訳
文書番号: 281146 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

この資料では、Microsoft Windows Server 2003 および Microsoft Windows 2000 Server で、Dsacls.exe ツール (Dsacls.exe) を使用して、ディレクトリ サービスのアクセス制御リスト (ACL) を管理する方法について説明します。Dsacls.exe は、セキュリティ属性を照会する場合や、Active Directory オブジェクトのアクセス許可やセキュリティ属性を変更する場合に使用できるコマンド ライン ツールです。[Active Directory ユーザーとコンピュータ] や [Active Directory サイトとサービス] などの Windows Active Directory スナップイン ツールで表示される [セキュリティ] タブと同等の機能をコマンド ラインで提供します。

Dsacls.exe は、Windows サポート ツールに含まれています。サポート ツールをインストールするには、Windows Server 2003 または Windows 2000 Server CD-ROM の Support\Tools フォルダから Setup.exe を実行します。

Dsacls.exe と、もう 1 つの Windows サポート ツールである ACL Diagnostics (Acldiag.exe) を使用することにより、コマンド プロンプトから、Active Directory オブジェクトに対するセキュリティの構成および診断を行うことができます。

: Windows Server 2003 では、Dsacls.exe を使用して、ADAM (Active Directory Application Mode) のオブジェクトのアクセス制御リスト (ACL) のアクセス許可 (アクセス制御エントリ) を表示および変更できます。

重要 : Windows ベースのホスティング、HVE (High Volume Exchange)、Hosted Messaging and Collaboration、または Hosted Exchange などのホスティング ソリューションが導入されている場合や、Microsoft Provisioning Service が利用されている場合は、Dsacls.exe を使用してアクセス許可を変更しないでください。ホスティング ソリューションでは、特定のセキュリティ モデルを使用することにより、ISP の利用者を相互に分離しています。

Dsacls.exe の概要

DsAcls では、次の構文を使用します。
dsacls object [/a] [/d {user | group}:permissions [...]] [/g {user | group}:permissions [...]] [/i:{p | s | t}] [/n] [/p:{y | n}] [/r {user | group} [...]] [/s [/t]]
Dsacls.exe では次のパラメータを使用できます。
  • object : これは、ACL を表示または変更するディレクトリ サービス オブジェクトへのパスです。このパスは、識別名 (RFC 1779 または x.500 形式) である必要があります。例を示します。
    CN=Someone,OU=Software,OU=Engineering,DC=Microsoft,DC=Com
    サーバーを指定するには、オブジェクトの前に \\Servername\ を追加します。例を示します。
    \\MyServer\CN=Someone,OU=Software,OU=Engineering,DC=Microsoft,DC=Com
    object パラメータのみを指定して dsacls コマンドを実行 (dsacls object) すると、そのオブジェクトに関するセキュリティ情報が表示されます。
  • /a : このパラメータを使用すると、所有者と監査の情報がアクセス許可と共に表示されます。
  • /d {user | group}:permissions : ユーザーやグループに対して、指定したアクセス許可の付与を拒否するには、このパラメータを使用します。User には user@domain または domain\user の形式を使用する必要があり、group には group@domain または domain\group の形式を使用する必要があります。1 つのコマンドで複数のユーザーまたはグループを指定できます。permissions を使用する際の正しい構文の詳細については、この資料の後半にある「Permissions の構文」を参照してください。
  • /g {user | group}:permissions : このパラメータを使用すると、指定したアクセス許可がユーザーまたはグループに与えられます。User には user@domain または domain\user の形式を、group には group@domain または domain\group の形式を使用する必要があります。1 つのコマンドで複数のユーザーまたはグループを指定できます。permissions を使用する際の正しい構文の詳細については、この資料の後半にある「Permissions の構文」を参照してください。
  • /i:{p | s | t} : このパラメータでは、次のいずれかの継承フラグを指定します。
    • p : 継承可能なアクセス許可が 1 レベルだけ継承されるようにするには、このオプションを使用します。
    • s : 継承可能なアクセス許可がサブオブジェクトのみに継承されるようにするには、このオプションを使用します。
    • t : 継承可能なアクセス許可がこのオブジェクトとサブオブジェクトに継承されるようにするには、このオプションを使用します。
  • /n : オブジェクトに対する現在のアクセス許可を編集するのではなく、別のアクセス許可に置き換える場合は、このパラメータを使用します。
  • /p:{y | n} : このパラメータでは、オブジェクトがその親オブジェクトからアクセス許可を継承できるかどうかを指定します。このパラメータを省略した場合、オブジェクトの継承プロパティは変更されません。このパラメータを使用して、オブジェクトに保護 (y = yes) または非保護 (n = no) の設定を行います。

    : このパラメータでは、アクセス制御エントリ (ACE) のプロパティではなく、オブジェクトのプロパティが変更されます。ACE が継承可能かどうかを確認するには、/I パラメータを使用します。
  • /r {user | group} : このパラメータを使用すると、指定したユーザーまたはグループのアクセス許可がすべて削除されます。1 つのコマンドで複数のユーザーまたはグループを指定できます。User には user@domain または domain\user の形式を使用する必要があり、group には group@domain または domain\group の形式を使用する必要があります。
  • /s : このパラメータを使用すると、オブジェクトのセキュリティ設定が、Active Directory スキーマで定義されている、オブジェクト クラスのデフォルトのセキュリティ設定に戻されます。
  • /t : このパラメータを使用すると、オブジェクトのツリーのセキュリティ設定が、各オブジェクト クラスのデフォルトの設定に戻されます。このスイッチは、/s パラメータを同時に使用した場合にのみ有効です。

Permissions の構文

/d {user | group}:permissions または /g {user | group}:permissions のパラメータを使用する場合、permissions パラメータには次の構文を使用する必要があります。
[PermissionBits];[{Object|Property}];[InheritedObjectType]
  • PermissionBits には、以下のいずれかの値を使用できます。各値は空白を入れずに 1 つに連結できます。

    汎用アクセス許可
    元に戻す全体を表示する
    GR 汎用読み取り
    GE 汎用実行
    GW 汎用書き込み
    GA 総合

    固有のアクセス許可

    元に戻す全体を表示する
    SD 削除。
    DT オブジェクトおよびすべての子オブジェクトの削除。
    RC セキュリティ情報の読み取り。
    WD セキュリティ情報の変更。
    WO 所有者情報の変更。
    LC オブジェクトの子オブジェクトの一覧表示。
    CC 子オブジェクトの作成。特定のプロパティを定義する {Object|Property} が指定されていない場合、このアクセス許可はオブジェクトのすべてのプロパティに適用されます。指定された場合は、オブジェクトの指定したプロパティに適用されます。
    DC 子オブジェクトの削除。特定のプロパティを定義する {Object|Property} が指定されていない場合、このアクセス許可はオブジェクトのすべてのプロパティに適用されます。指定された場合は、オブジェクトの指定したプロパティに適用されます。
    WS オブジェクト自身への書き込み。特定のプロパティを定義する {Object|Property} が指定されていない場合、このアクセス許可はオブジェクトのすべてのプロパティに適用されます。指定された場合は、オブジェクトの指定したプロパティに適用されます。
    RP プロパティの読み取り。特定のプロパティを定義する {Object|Property} が指定されていない場合、このアクセス許可はオブジェクトのすべてのプロパティに適用されます。指定された場合は、オブジェクトの指定したプロパティに適用されます。
    WP プロパティの書き込み。特定のプロパティを定義する {Object|Property} が指定されていない場合、このアクセス許可はオブジェクトのすべてのプロパティに適用されます。指定された場合は、オブジェクトの指定したプロパティに適用されます。
    CA アクセス権限の制御。特定のプロパティを定義する {Object|Property} が指定されていない場合、このアクセス許可はオブジェクトのすべてのプロパティに適用されます。指定された場合は、オブジェクトの指定したプロパティに適用されます。
    LO オブジェクトのアクセス許可の一覧表示。親に対して LC (子オブジェクトの一覧表示) のアクセス許可が付与されていない場合でも、このアクセス許可を使用して、特定のオブジェクトに対する一覧表示のアクセス許可を付与することができます。特定のオブジェクトでこのアクセス許可を拒否の設定にすることにより、ユーザまたはグループにそのオブジェクトの親に対する LC のオブジェクトが付与されていても、そのオブジェクトを非表示にすることができます。Active Directory のデフォルトの設定では、このアクセス許可は設定されません。
  • {Object|Property} : この部分は、オブジェクトの種類またはプロパティの表示名を表します。たとえば、"user" (引用符は除きます) をユーザー オブジェクトの表示名、"telephone number" (引用符は除きます) を電話番号プロパティの表示名として使用できます。

    たとえば、次のコマンドでは、すべての種類の子オブジェクトの作成をユーザーに許可します。
    /G Domain\User:CC

    しかし、次のコマンドでは、子コンピュータ オブジェクトの作成のみがユーザーに許可されます。
    /G Domain\User:CC;computer
  • InheritedObjectType : この部分は、アクセス許可が継承されるべきオブジェクトの種類の表示名を表します。

    オブジェクトの種類が指定されない場合、アクセス許可はすべてのオブジェクトの種類に継承されます。このパラメータは、アクセス許可が継承可能な場合にのみ使用されます。

    たとえば、次のコマンドでは、アクセス許可の継承がすべての種類のオブジェクトに許可されます。
    /G Domain\User:CC
    しかし、次のコマンドでは、ユーザー オブジェクトのみにアクセス許可の継承が許可されます。
    /G Domain\User:CC;;user
重要 : permissions は、Active Directory スキーマでそのオブジェクトの種類に対して定義されているデフォルトのアクセス許可をオーバーライドする、オブジェクト固有のアクセス許可を定義する場合にのみ使用します。オブジェクト固有のアクセス許可を十分に理解したうえで、慎重に使用するようにしてください。



Permissions の例
  • SDRCWDWO;;user

    この表記は、種類が "user" のオブジェクトに対する、削除、セキュリティ情報の読み取り、セキュリティ情報の変更、および所有者の変更のアクセス許可を表します。
  • CCDC;group;

    この表記は、種類が "group" のオブジェクトを作成または削除するための、子の作成と子の削除のアクセス許可を表します。
  • RPWP;telephonenumber;

    この表記は、電話番号プロパティに対する、プロパティの読み取りとプロパティの書き込みのアクセス許可を表します。

関連情報

dsacls.exe コマンドの詳細については、コマンド プロンプトで dsacls /? と入力して Enter キーを押します。
Microsoft Windows Server 2003 Service Pack 1 (SP1) に含まれている、Dscals.exe に対する最新の更新プログラムの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
892777 Windows Server 2003 Service Pack 1 のサポート ツール

Windows 2000 サポート ツールのインストール方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
301423 Windows 2000 サポート ツールを Windows 2000 Server ベースのコンピュータにインストールする方法
Windows 2000 サポート ツールに含まれているツールの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
246926 Windows 2000 に含まれるサポート ツール フォルダの一覧
292003 Service Pack 2 ではいくつかの Windows 2000 サポート ツールが更新されている
322271 SP3 で更新された Windows 2000 サポート ツール

プロパティ

文書番号: 281146 - 最終更新日: 2006年6月8日 - リビジョン: 3.1
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
キーワード:?
kbhowto KB281146
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com