Como usar DSACLs.exe em Windows Server 2003 e Windows 2000

Traduções deste artigo Traduções deste artigo
ID do artigo: 281146 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Este artigo descreve como usar a ferramenta DSACLs.exe (DSACLs.exe) para controle de acesso listas (ACLs) gerenciar para serviços Diretório em Microsoft Windows Server 2003 e Microsoft Windows 2000 Server. DSACLs.exe é um ferramenta de linha de comando que você pode usar para consulta os atributos de segurança e a alteração permissões e atributos de segurança de objetos Active Directory. É o linha de comando equivalente da guia Segurança no encaixe Windows Active Directory-nas ferramentas such as Active Directory Users e computadores e Active Directory Sites e serviços.

DSACLs.exe está incluído no Windows Support Tools. Para instalar o Support Tools, executar Setup.exe da pasta Support\Tools no Windows Server 2003 ou Windows 2000 Server CD-ROM.

Você pode usar DSACLs.exe e outra ferramenta de suporte Windows, diagnóstico ACL (Acldiag.exe), para fornecer funcionalidade diagnóstico e configuração de segurança em objetos Active Directory do prompt de comando.

Observação você pode usar DSACLs.exe para permissões alteração (entradas controle de acesso) de objetos em Active Directory Application Mode (ADAM) em Windows Server 2003 e exibir o lista de controle de acesso (ACL) em.

Importante não usar DSACLs.exe para modificar permissões se você implementou uma solução Hosting such as Hosting Windows-based, High Volume Exchange (HVE), Hosted Messaging e colaboração, ou Hosted Exchange, ou se o cliente está usando Microsoft Provisioning Service. As soluções Hosting dependem modelo de segurança específica para isolar clientes a ISP de each Other.

Visão geral do DSACLs.exe

DsAcls usa a seguinte sintaxe:
FAILED TO TRANSLATE SENTENCE
Você pode usar o seguinte parâmetros com DSACLs.exe:
  • objeto : Este é o caminho para o objeto Serviços Diretório no qual para exibir ou alteração as ACLs. Esse caminho deve ser um nome distinto (also Known as RFC 1779 ou formato x.500). Por exemplo::
    CN = alguém, OU = software, OU = engenharia, DC = Microsoft,DC = com
    Para especificar um servidor, adicionar \\Servername\ antes do objeto. Por exemplo::
    \\MyServer\CN=Someone,OU=Software,OU=Engineering,DC=Microsoft,DC=Com
    Quando você executar o comando DSACLs com apenas a WScript.Shell parâmetro ( objeto DSACLs ), as informações sobre o objeto de segurança é exibido.
  • /a : use este parâmetro para exibir a propriedade e auditoria informações com as permissões.
  • { /d usuário | GRUPO }:PermissõesUse este parâmetro para negar permissões para um usuário ou GRUPO especificado. Usuário e deve usar, formato USUÁRIO@DOMÍNIO ou DOMÍNIO\USUÁRIO GRUPO Use formato Group@Domain ou domínio\grupo. Você pode especificar mais de um usuário ou GRUPO em um comando. Para obter mais informações sobre a sintaxe correta a ser usado para Permissõesconsulte o Sintaxe <Permissions> seção posteriormente neste artigo.
  • { /g usuário | GRUPO}:PermissõesUse este parâmetro para conceder permissões a um usuário ou GRUPO especificados. Usuário e deve usar, formato USUÁRIO@DOMÍNIO ou DOMÍNIO\USUÁRIO GRUPO Use formato Group@Domain ou domínio\grupo. Você pode especificar mais de um usuário ou GRUPO em um comando. Para obter mais informações sobre a sintaxe correta a ser usado para Permissõesconsulte o Sintaxe <Permissions> seção posteriormente neste artigo.
  • { /i p | s | t }: usar este parâmetro para especificar um do seguinte sinalizadores herança:
    • p : usar esta opção para propagar permissões herdáveis somente um nível.
    • s : usar esta opção para propagar permissões herdáveis para subobjetos somente.
    • t : usar esta opção para herdáveis permissões para este objeto e subobjetos propagar.
  • /n : use este parâmetro para substituir a atual acessar sobre o objeto, instead of edição-lo.
  • /p :{ y | n }: este parâmetro determina se o objeto pode herdar permissões de seus objetos pai. Se você omitir esse parâmetro, as propriedades herança do objeto não são alteradas. Usar este parâmetro para marca o objeto como protegido ( y = yes) ou não protegido ( n = não).

    Observação este parâmetro altera uma propriedade do objeto, não de um Entrada de Controle de Acesso (ACE). Para determinar se um ACE é hereditária, use o parâmetro /I.
  • { /r usuário | GRUPO}: Use este parâmetro para remover todas as permissões para o usuário especificado ou GRUPO. Você pode especificar mais de um usuário ou GRUPO em um comando. Usuário e deve usar, formato USUÁRIO@DOMÍNIO ou DOMÍNIO\USUÁRIO GRUPO Use formato Group@Domain ou domínio\grupo.
  • /s : usar este parâmetro para restaurar a segurança no objeto para a segurança usar como padrão para essa classe objeto, conforme definido na esquema Active Directory.
  • /t : usar este parâmetro para restaurar a segurança na árvore de objetos para o usar como padrão para cada classe objeto. Este alternar é válido somente quando você usa o parâmetro /s também.

Sintaxe permissões

Você deve usar a seguinte sintaxe para Permissões Quando você usar o { /d usuário | GRUPO }:Permissões ou { /g usuário | GRUPO }:Permissões parâmetro:
[ PermissionBits ]; [{ Object|Property }]; [ InheritedObjectType ]
  • PermissionBits Valores, que podem ser concatenadas juntos sem espaços pode usar qualquer um do seguinte:

    Permissões genéricos
    Recolher esta tabelaExpandir esta tabela
    GRLeitura genérica
    GEExecutar genérico
    GWGravação genérica
    GAAll genérico

    Permissões específicas

    Recolher esta tabelaExpandir esta tabela
    SDExcluir
    DTExcluir um objeto e todos os seus objetos filho.
    RCLer informações de segurança
    WDAlterar informações de segurança
    WOAlterar informações proprietário
    LCLista os objetos filho de um objeto
    CcCriar objeto filho. Se { objeto | Propriedade } não for especificado para definir uma propriedade específica, isso se aplica a todas as propriedades de um objeto. Caso contrário, ela se aplica à propriedade do objeto especificada.
    DCExcluir objeto filho. Se { objeto | Propriedade } não for especificado para definir uma propriedade específica, isso se aplica a todas as propriedades de um objeto. Caso contrário, ela se aplica à propriedade do objeto especificada.
    WSGravar no objeto auto-. Se { objeto | Propriedade } não for especificado para definir uma propriedade específica, isso se aplica a todas as propriedades de um objeto. Caso contrário, ela se aplica à propriedade do objeto especificada.
    RPLer propriedade. Se { objeto | Propriedade } não for especificado para definir uma propriedade específica, isso se aplica a todas as propriedades de um objeto. Caso contrário, ela se aplica à propriedade do objeto especificada.
    PTGravar propriedade. Se { Object|Property } não é especificado para definir uma propriedade específica, isso se aplica a todas as propriedades de um objeto. Caso contrário, ela se aplica à propriedade do objeto especificada.
    CAControlar direito de acesso. Se { objeto | Propriedade } não for especificado para definir uma propriedade específica, isso se aplica a todas as propriedades de um objeto. Caso contrário, ela se aplica à propriedade do objeto especificada.
    LO Listar a acessar objeto. Pode ser usado para conceder acessar lista para um objeto específico se lista Children (LC) também não é concedido para o pai. Pode também ser negado em objetos específicos para ocultar os objetos se o usuário ou GRUPO tiver LC no pai. Por padrão, Active Directory não aplicar essa permissão.
  • { objeto | Propriedade }: Isso representa o nome do tipo objeto ou propriedade exibir. Para exemplo, " usuário " (sem os quotation Marks) é o nome exibir para objetos usuário, e " número de telefone " (sem os quotation Marks) é o nome exibir para a propriedade número de telefone.

    Para exemplo, o seguinte comando permite que o usuário para criar todos os tipos de filho objetos:
    /G Domain\User:CC

    No entanto, o seguinte comando permite que o usuário para criar objetos computador somente filho:
    /G Domain\User:CC;computer
  • InheritedObjectTypeIsso: representa o nome do tipo do objeto pelo qual as permissões são devam ser herdadas exibir.

    Se um tipo objeto não for especificado, a permissão pode ser herdado por todos os tipos objeto. Este parâmetro é usado somente quando as permissões são herdadas.

    Para exemplo, o seguinte comando permite que todos os tipos de objetos para herdar a permissão:
    /G Domain\User:CC
    No entanto, o seguinte comando permite apenas objetos usuário para herdar a permissão:
    /G Domain\User:CC;;user
Importante : usar Permissões Somente quando você definir permissões específica de objetos que substituir as permissões usar como padrão definido na esquema Active Directory para esse tipo objeto. Use com cuidado e somente se você tem uma compreensão completa de permissões específicas objeto-.



Exemplos de permissões
  • Usuário SDRCWDWO;;

    Esta notação representa excluir, ler informações de segurança, alterar informações de segurança, e alterar a propriedade permissões em objetos do tipo " usuário ".
  • CCDC; GRUPO;

    Esta notação representa filho Criar e excluir filho permissões para criar ou excluir objetos de tipo GRUPO " ".
  • RPWP; telephoneNumber;

    Esta notação representa propriedade de leitura e gravação permissões propriedade sobre a propriedade número de telefone.

Referências

Para obter mais informações sobre o comando DSACLs.exe tipo dsacls /? no prompt de comando e pressione ENTER..
Para obter mais informações sobre as atualizações mais recentes para Dscals.exe que estão incluídos na Service Pack Microsoft Windows Server 2003 1 (SP1), clique o seguinte artigo número para exibição do artigo no Microsoft Knowledge Base:
892777 Ferramentas de Suporte do Windows Server 2003 Service Pack 1

Para obter informações adicionais sobre como instalar as Ferramentas de suporte do Windows 2000, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft (a página pode estar em inglês)::
301423 Instalar as ferramentas de suporte Windows 2000 a um computador Windows_2000_Server-Based HOW TO:
Para informações adicionais As ferramentas que estão incluídos nas ferramentas de suporte, clique Windows 2000 o seguinte artigo números para exibição os artigos no Microsoft Knowledge Base:
246926 Listagem pasta das ferramentas de suporte incluídas no Windows 2000 do
292003 Service Pack 2 adiciona atualizações para Windows 2000 várias ferramentas de suporte
322271 3 Service Pack adiciona atualizações para Windows 2000 várias ferramentas de suporte

Propriedades

ID do artigo: 281146 - Última revisão: terça-feira, 27 de fevereiro de 2007 - Revisão: 3.3
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Palavras-chave: 
kbhowto KB281146 KbMtpt kbmt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Caso venha a encontrar erros neste artigo e queira colaborar no processo de aperfeiçoamento desta ferramenta, por favor preencha o formulário existente na parte inferior desta página. Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 281146

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com