Como usar DSACLs.exe em Windows Server 2003 e Windows 2000

Este artigo descreve como usar a ferramenta DSACLs.exe (DSACLs.exe) para controle de acesso listas (ACLs) gerenciar para serviços Diretório em Microsoft Windows Server 2003 e Microsoft Windows 2000 Server. DSACLs.exe é um ferramenta de linha de comando que você pode usar para consulta os atributos de segurança e a alteração permissões e atributos de segurança de objetos Active Directory. É o linha de comando equivalente da guia Segurança no encaixe Windows Active Directory-nas ferramentas such as Active Directory Users e computadores e Active Directory Sites e serviços.

DSACLs.exe está incluído no Windows Support Tools. Para instalar o Support Tools, executar Setup.exe da pasta Support\Tools no Windows Server 2003 ou Windows 2000 Server CD-ROM.

Você pode usar DSACLs.exe e outra ferramenta de suporte Windows, diagnóstico ACL (Acldiag.exe), para fornecer funcionalidade diagnóstico e configuração de segurança em objetos Active Directory do prompt de comando.

Observação você pode usar DSACLs.exe para permissões alteração (entradas controle de acesso) de objetos em Active Directory Application Mode (ADAM) em Windows Server 2003 e exibir o lista de controle de acesso (ACL) em.

Importante não usar DSACLs.exe para modificar permissões se você implementou uma solução Hosting such as Hosting Windows-based, High Volume Exchange (HVE), Hosted Messaging e colaboração, ou Hosted Exchange, ou se o cliente está usando Microsoft Provisioning Service. As soluções Hosting dependem modelo de segurança específica para isolar clientes a ISP de each Other.

Visão geral do DSACLs.exe

DsAcls usa a seguinte sintaxe:Você pode usar o seguinte parâmetros com DSACLs.exe:

• objeto : Este é o caminho para o objeto Serviços Diretório no qual para exibir ou alteração as ACLs. Esse caminho deve ser um nome distinto (also Known as RFC 1779 ou formato x.500). Por exemplo::
  CN = alguém, OU = software, OU = engenharia, DC = Microsoft,DC = com
  Para especificar um servidor, adicionar \\Servername\ antes do objeto. Por exemplo::
  \\MyServer\CN=Someone,OU=Software,OU=Engineering,DC=Microsoft,DC=Com
  Quando você executar o comando DSACLs com apenas a WScript.Shell parâmetro ( objeto DSACLs ), as informações sobre o objeto de segurança é exibido.
• /a : use este parâmetro para exibir a propriedade e auditoria informações com as permissões.
• { /d usuário | GRUPO }:PermissõesUse este parâmetro para negar permissões para um usuário ou GRUPO especificado. Usuário e deve usar, formato USUÁRIO@DOMÍNIO ou DOMÍNIO\USUÁRIO GRUPO Use formato Group@Domain ou domínio\grupo. Você pode especificar mais de um usuário ou GRUPO em um comando. Para obter mais informações sobre a sintaxe correta a ser usado para Permissõesconsulte o Sintaxe <Permissions> seção posteriormente neste artigo.
• { /g usuário | GRUPO}:PermissõesUse este parâmetro para conceder permissões a um usuário ou GRUPO especificados. Usuário e deve usar, formato USUÁRIO@DOMÍNIO ou DOMÍNIO\USUÁRIO GRUPO Use formato Group@Domain ou domínio\grupo. Você pode especificar mais de um usuário ou GRUPO em um comando. Para obter mais informações sobre a sintaxe correta a ser usado para Permissõesconsulte o Sintaxe <Permissions> seção posteriormente neste artigo.
• { /i p | s | t }: usar este parâmetro para especificar um do seguinte sinalizadores herança:
  • p : usar esta opção para propagar permissões herdáveis somente um nível.
  • s : usar esta opção para propagar permissões herdáveis para subobjetos somente.
  • t : usar esta opção para herdáveis permissões para este objeto e subobjetos propagar.
• /n : use este parâmetro para substituir a atual acessar sobre o objeto, instead of edição-lo.
• /p :{ y | n }: este parâmetro determina se o objeto pode herdar permissões de seus objetos pai. Se você omitir esse parâmetro, as propriedades herança do objeto não são alteradas. Usar este parâmetro para marca o objeto como protegido ( y = yes) ou não protegido ( n = não).
  
  Observação este parâmetro altera uma propriedade do objeto, não de um Entrada de Controle de Acesso (ACE). Para determinar se um ACE é hereditária, use o parâmetro /I.
• { /r usuário | GRUPO}: Use este parâmetro para remover todas as permissões para o usuário especificado ou GRUPO. Você pode especificar mais de um usuário ou GRUPO em um comando. Usuário e deve usar, formato USUÁRIO@DOMÍNIO ou DOMÍNIO\USUÁRIO GRUPO Use formato Group@Domain ou domínio\grupo.
• /s : usar este parâmetro para restaurar a segurança no objeto para a segurança usar como padrão para essa classe objeto, conforme definido na esquema Active Directory.
• /t : usar este parâmetro para restaurar a segurança na árvore de objetos para o usar como padrão para cada classe objeto. Este alternar é válido somente quando você usa o parâmetro /s também.

Sintaxe permissões

Você deve usar a seguinte sintaxe para Permissões Quando você usar o { /d usuário | GRUPO }:Permissões ou { /g usuário | GRUPO }:Permissões parâmetro:

• PermissionBits Valores, que podem ser concatenadas juntos sem espaços pode usar qualquer um do seguinte:
  
  Permissões genéricos
  Recolher esta tabelaExpandir esta tabela

  GR	Leitura genérica
  GE	Executar genérico
  GW	Gravação genérica
  GA	All genérico

  
  Permissões específicas
  
  
  Recolher esta tabelaExpandir esta tabela

  SD	Excluir
  DT	Excluir um objeto e todos os seus objetos filho.
  RC	Ler informações de segurança
  WD	Alterar informações de segurança
  WO	Alterar informações proprietário
  LC	Lista os objetos filho de um objeto
  Cc	Criar objeto filho. Se { objeto | Propriedade } não for especificado para definir uma propriedade específica, isso se aplica a todas as propriedades de um objeto. Caso contrário, ela se aplica à propriedade do objeto especificada.
  DC	Excluir objeto filho. Se { objeto | Propriedade } não for especificado para definir uma propriedade específica, isso se aplica a todas as propriedades de um objeto. Caso contrário, ela se aplica à propriedade do objeto especificada.
  WS	Gravar no objeto auto-. Se { objeto | Propriedade } não for especificado para definir uma propriedade específica, isso se aplica a todas as propriedades de um objeto. Caso contrário, ela se aplica à propriedade do objeto especificada.
  RP	Ler propriedade. Se { objeto | Propriedade } não for especificado para definir uma propriedade específica, isso se aplica a todas as propriedades de um objeto. Caso contrário, ela se aplica à propriedade do objeto especificada.
  PT	Gravar propriedade. Se { Object|Property } não é especificado para definir uma propriedade específica, isso se aplica a todas as propriedades de um objeto. Caso contrário, ela se aplica à propriedade do objeto especificada.
  CA	Controlar direito de acesso. Se { objeto | Propriedade } não for especificado para definir uma propriedade específica, isso se aplica a todas as propriedades de um objeto. Caso contrário, ela se aplica à propriedade do objeto especificada.
  LO	Listar a acessar objeto. Pode ser usado para conceder acessar lista para um objeto específico se lista Children (LC) também não é concedido para o pai. Pode também ser negado em objetos específicos para ocultar os objetos se o usuário ou GRUPO tiver LC no pai. Por padrão, Active Directory não aplicar essa permissão.

• { objeto | Propriedade }: Isso representa o nome do tipo objeto ou propriedade exibir. Para exemplo, " usuário " (sem os quotation Marks) é o nome exibir para objetos usuário, e " número de telefone " (sem os quotation Marks) é o nome exibir para a propriedade número de telefone.
  
  Para exemplo, o seguinte comando permite que o usuário para criar todos os tipos de filho objetos:
  /G Domain\User:CC
  
  No entanto, o seguinte comando permite que o usuário para criar objetos computador somente filho:
  /G Domain\User:CC;computer
• InheritedObjectTypeIsso: representa o nome do tipo do objeto pelo qual as permissões são devam ser herdadas exibir.
  
  Se um tipo objeto não for especificado, a permissão pode ser herdado por todos os tipos objeto. Este parâmetro é usado somente quando as permissões são herdadas.
  
  Para exemplo, o seguinte comando permite que todos os tipos de objetos para herdar a permissão:
  /G Domain\User:CC
  No entanto, o seguinte comando permite apenas objetos usuário para herdar a permissão:
  /G Domain\User:CC;;user

Importante : usar Permissões Somente quando você definir permissões específica de objetos que substituir as permissões usar como padrão definido na esquema Active Directory para esse tipo objeto. Use com cuidado e somente se você tem uma compreensão completa de permissões específicas objeto-.



Exemplos de permissões

• Usuário SDRCWDWO;;
  
  Esta notação representa excluir, ler informações de segurança, alterar informações de segurança, e alterar a propriedade permissões em objetos do tipo " usuário ".
• CCDC; GRUPO;
  
  Esta notação representa filho Criar e excluir filho permissões para criar ou excluir objetos de tipo GRUPO " ".
• RPWP; telephoneNumber;
  
  Esta notação representa propriedade de leitura e gravação permissões propriedade sobre a propriedade número de telefone.

Para obter mais informações sobre o comando DSACLs.exe tipo dsacls /? no prompt de comando e pressione ENTER..
Para obter mais informações sobre as atualizações mais recentes para Dscals.exe que estão incluídos na Service Pack Microsoft Windows Server 2003 1 (SP1), clique o seguinte artigo número para exibição do artigo no Microsoft Knowledge Base:
Para obter informações adicionais sobre como instalar as Ferramentas de suporte do Windows 2000, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft (a página pode estar em inglês):: Para informações adicionais As ferramentas que estão incluídos nas ferramentas de suporte, clique Windows 2000 o seguinte artigo números para exibição os artigos no Microsoft Knowledge Base: