Использование Dsacls.exe в Windows Server 2003 и Windows 2000

Переводы статьи Переводы статьи
Код статьи: 281146 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

В данной статье описывается использование средства Dsacls.exe (Dsacls.exe) для списков управления доступом (ACL) для служб Microsoft Windows Server 2003 и Microsoft Windows 2000 Server. DSACLS.exe является средством командной строки, который можно использовать для запроса атрибутов безопасности и изменения разрешений и атрибутов безопасности объектов Active Directory. Он является эквивалентом вкладки Безопасность в средствах Windows Active Directory оснастка Active Directory-пользователи и компьютеры и Active Directory — сайты и службы.

DSACLS.exe входит в состав средств поддержки Windows. Чтобы установить средства поддержки, запустите Setup.exe в папке Support\Tools на компакт-диске Windows 2000 Server или Windows Server 2003.

Dsacls.exe и другое средство поддержки Windows, диагностика ACL (Acldiag.exe) можно использовать для обеспечения возможности диагностики и настройки безопасности для объектов Active Directory из командной строки.

Примечание Dsacls.exe можно использовать для отображения и изменения разрешений (записи управления доступом) в списке управления доступом (ACL) для объектов в Active Directory Application Mode (ADAM) в Windows Server 2003.

Важно Не следует использовать для изменения разрешений при реализации решения размещения Windows-based Hosting, высокой громкости Exchange (HVE), размещенных обмена сообщениями и совместной работы или Hosted Exchange, или если пользователь использует службу подготовки Dsacls.exe. Решения размещения зависят от модели безопасности для изоляции пользователей поставщика услуг Интернета друг от друга.

Общие сведения о Dsacls.exe

DsAcls используется следующий синтаксис:
DSACLS объект [/] [/d {пользователь | Группа}:разрешения [...]] [/g {пользователь | Группа}:разрешения [...]] [/ i: {p | s | t}] [/ n] [/ p: {y | n}] [/r {пользователь | Группа} [...]] [/ s [/t]]
С Dsacls.exe, можно использовать следующие параметры:
  • объект: Это путь к объекту каталога служб, для которого следует отобразить или изменить списки управления доступом. Этот путь должен быть различающееся имя (также известный как RFC 1779 или x.500 формат). Например:
    CN кого-либо, OU = программного обеспечения, OU = = конструирования, DC = Microsoft, DC = Com
    Чтобы указать сервер, добавьте \\Servername\ перед объектом. Например:
    \\MyServer\CN=someone,OU=Software,OU=Engineering,DC=Microsoft,DC=com
    При выполнении команды dsacls только с объект (параметрDSACLS объект), отображаются сведения о безопасности объекта.
  • /a : используйте этот параметр для отображения владельца и правила аудита с разрешениями.
  • /d {пользователь | Группа}:разрешенияПараметр для указанного разрешения для пользователя или группы. Пользователь необходимо использовать либо пользователь@домен или домен\пользователь формат, и Группа необходимо использовать либо Группа@домен или домен\Группа формат. В команде можно указать более одного пользователя или группы. Дополнительные сведения о правильный синтаксис для использования разрешения, см. <Permissions>Синтаксис</Permissions> в разделе этой статьи.
  • /g {пользователь | Группа}:разрешенияСлужит для предоставления разрешений указанного пользователя или группы. Пользователь необходимо использовать либо пользователь@домен или домен\пользователь формат, и Группа необходимо использовать либо Группа@домен или домен\Группа формат. В команде можно указать более одного пользователя или группы. Дополнительные сведения о правильный синтаксис для использования разрешения, см. <Permissions>Синтаксис</Permissions> в разделе этой статьи.
  • /i:{p | s | t}: используйте этот параметр, чтобы указать один из следующих флагов наследования:
    • p: используйте этот параметр, чтобы распространить наследуемые разрешения на один уровень.
    • s: используйте этот параметр, чтобы распространить наследуемые разрешения на только вложенных объектов.
    • t: используйте этот параметр, чтобы распространить наследуемые разрешения на этот объект и вложенных объектов.
  • / n : этот параметр используется для замены текущего доступа к объекту, а не редактировать.
  • /p:{y | n}: этот параметр определяет, является ли объект может наследовать разрешения от его родительских объектов. Если опустить этот параметр свойства наследования объекта не изменяются. Этот параметр используется, чтобы отметить объект как защищенный (y = Да) или не защищена (n = нет).

    Примечание Этот параметр изменяет свойство объекта, а не элемента управления ввода ДОСТУПОМ. Чтобы определить, является ли элемент управления ДОСТУПОМ наследуется, используйте параметр /I.
  • /r {пользователь | Группа}: Используйте этот параметр, чтобы удалить все разрешения для указанного пользователя или группы. В команде можно указать более одного пользователя или группы. Пользователь необходимо использовать либо пользователь@домен или домен\пользователь формат, и Группа необходимо использовать либо Группа@домен или домен\Группа формат.
  • / s: используйте этот параметр для восстановления объекта безопасности безопасности по умолчанию для этого класса объектов, определенные в схеме Active Directory.
  • /t : используйте этот параметр для восстановления безопасности в дереве объектов по умолчанию для каждого класса объектов. Этот параметр является допустимым только при использовании параметра/s .

Разрешения Синтаксис

Необходимо использовать следующий синтаксис для разрешения При использовании /d {пользователь | Группа}:разрешения or /g {пользователь | Группа}:разрешения параметр:
[PermissionBits];[{Object|Свойство}];[InheritedObjectType]
  • PermissionBits можно использовать любое из следующих значений, которые могут быть объединены друг с другом без пробелов.

    Общие разрешения
    Свернуть эту таблицуРазвернуть эту таблицу
    GRЧтение
    GEВыполнение
    GWОбычная запись
    ДЖВсе встроенные

    Особые разрешения

    Свернуть эту таблицуРазвернуть эту таблицу
    SDУдалить
    DTУдалите объект и все его дочерние объекты.
    RCПрочитать сведения о безопасности
    WDИзменить сведения о безопасности
    WOИзменить сведения о владельце
    АККРЕДИТИВСписок дочерних объектов объекта
    КОПИЯСоздание дочернего объекта. Если {Объект|Свойство} не указывается для определения конкретного свойства, это применимо ко всем свойствам объекта. В противном случае он применяется к указанному свойству объекта.
    КОНТРОЛЛЕР ДОМЕНАУдалите дочерний объект. Если {Объект|Свойство} не указывается для определения конкретного свойства, это применимо ко всем свойствам объекта. В противном случае он применяется к указанному свойству объекта.
    WSНапишите собственный объект. Если {Объект|Свойство} не указывается для определения конкретного свойства, это применимо ко всем свойствам объекта. В противном случае он применяется к указанному свойству объекта.
    RPЧтение свойства. Если {Объект|Свойство} не указывается для определения конкретного свойства, это применимо ко всем свойствам объекта. В противном случае он применяется к указанному свойству объекта.
    ВЧЗапись свойства. Если {Object|Свойство} не указывается для определения конкретного свойства, это применимо ко всем свойствам объекта. В противном случае он применяется к указанному свойству объекта.
    ЦЕНТР СЕРТИФИКАЦИИПраво управления доступом. Если {Объект|Свойство} не указывается для определения конкретного свойства, это применимо ко всем свойствам объекта. В противном случае он применяется к указанному свойству объекта.
    ПОЛОВИННОЙ ВЫСОТЫ Список доступа к объектам. Может использоваться для предоставления доступа список к конкретному объекту, если дочерние элементы списка (LC) также не предоставлено в родительский объект. Может быть также запрещен для определенных объектов, чтобы скрыть эти объекты, если пользователь или группа имеет LC на родительском. По умолчанию Active Directory не применять это разрешение.
  • {Объект|Свойство}: Представляет отображаемое имя типа объекта или свойства. Например "пользователь" (без кавычек) — выводимое имя для объектов пользователей и отображаемое имя для свойства номер телефона является «номер телефона» (без кавычек).

    Например следующая команда разрешает пользователю создавать все типы дочерних объектов:
    Domain\User:CC/g

    Тем не менее следующая команда разрешает пользователю создавать только дочерние объекты компьютера:
    Компьютер; Domain\User:CC/g
  • InheritedObjectType: Представляет отображаемое имя типа объекта, на который должны наследовать разрешения.

    Если тип объекта не указан, разрешения может наследоваться все типы объектов. Этот параметр используется только в том случае, когда разрешения могут наследоваться.

    Например следующая команда позволяет использовать все типы объектов, которые наследуют разрешения:
    Domain\User:CC/g
    Тем не менее следующая команда позволяет наследовать разрешение только объектами пользователя:
    /G Domain\User:CC;пользователь
Внимание: использование разрешения только при определении разрешений определенного объекта, переопределяют разрешения по умолчанию, определенные в схеме Active Directory для данного типа объекта. Используйте с осторожностью и только если имеется полное представление о специфических для объекта разрешениях.



Примеры Разрешения
  • SDRCWDWO;пользователь

    Эта нотация представляет Delete, прочитать сведения о безопасности, изменение сведений о безопасности и изменить владельца разрешения на объекты типа «user».
  • CCDC; группа;

    Этой нотации представляет создание дочерних и удалять дочерние разрешения для создания или удаления объектов типа «group».
  • RPWP; telephonenumber;

    Эта нотация представляет свойство чтения и свойство разрешения на запись для свойства номер телефона.

Ссылки

Дополнительные сведения о команде dsacls.exe введите DSACLS /? в командной строке и нажмите клавишу ВВОД.
Дополнительные сведения о последних обновлениях для Dscals.exe, включенных в Пакет обновления 1 (SP1) для Windows Server 2003 щелкните следующий номер статьи базы знаний Майкрософт:
892777 Windows Server 2003 Пакет обновления 1 служебных программ

Дополнительные сведения об установке средств поддержки Windows 2000 щелкните следующий номер статьи базы знаний Майкрософт:
301423 ПРАКТИЧЕСКОЕ руководство: Установка средств поддержки Windows 2000 на компьютере под управлением Windows 2000 Server
Для получения дополнительных сведений средства, входящие в состав средств поддержки Windows 2000 щелкните следующий номер статьи базы знаний Майкрософт:
246926 Для просмотра списка средств поддержки, включенные в Windows 2000
292003 Пакет обновления 2 добавляет обновлений для средств поддержки Windows 2000
322271 Пакет обновления 3 добавляет обновлений для средств поддержки Windows 2000

Свойства

Код статьи: 281146 - Последний отзыв: 23 ноября 2013 г. - Revision: 6.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Ключевые слова: 
kbhowto kbmt KB281146 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.
Эта статья на английском языке: 281146

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com