วิธีการใช้ Dsacls.exe ใน Windows Server 2003 และ Windows 2000

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 281146 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

บทความนี้อธิบายวิธีการใช้เครื่องมือ Dsacls.exe (Dsacls.exe) เพื่อจัดการ access control list (Acl) สำหรับการบริการไดเรกทอรีใน Microsoft Windows Server 2003 และ Microsoft Windows 2000 Server Dsacls.exe เป็นเครื่องมือบรรทัดคำสั่งที่คุณสามารถใช้ การสอบถามแอตทริบิวต์การรักษาความปลอดภัย และ การเปลี่ยนแปลงการอนุญาตและการรักษาความปลอดภัยที่แอตทริบิวต์ของวัตถุ Active Directory ข้อผิดพลาดดังกล่าวจะเหมือนกับบรรทัดคำสั่งของการ รักษาความปลอดภัย แท็บในเครื่องมือ Windows Active Directory สแนปอินต่าง ๆ เช่นผู้ ใช้ของไดเรกทอรีที่ใช้งานอยู่ และคอมพิวเตอร์ และ ไซต์ไดเรกทอรีที่ใช้งานอยู่ และบริการ

Dsacls.exe จะมาพร้อมกับเครื่องมือสนับสนุนของ Windows เมื่อต้องการติดตั้งเครื่องมือสนับสนุน เรียกใช้เป็น Setup.exe จากโฟลเดอร์ Support\Tools บนซีดีรอมเซิร์ฟเวอร์ของ Windows 2000 หรือ Windows Server 2003

คุณสามารถใช้ Dsacls.exe และอื่น Windows สนับสนุนมือ การวินิจฉัย ACL (Acldiag.exe), เพื่อให้ฟังก์ชันการทำงานของการวินิจฉัยและการตั้งค่าคอนฟิกความปลอดภัยบนวัตถุ Active Directory จากพร้อมท์รับคำสั่ง

หมายเหตุ คุณสามารถใช้ Dsacls.exe เพื่อแสดง และเปลี่ยนแปลงสิทธิ์ (รายการควบคุมการเข้าถึง) ใน access control list (ACL) ของวัตถุใน Active Directory แอพลิเคชันโหมด (ADAM) ใน Windows Server 2003

สิ่งสำคัญ ห้ามใช้ Dsacls.exe เพื่อปรับเปลี่ยนสิทธิ์ หากคุณใช้วิธีแก้ปัญหา Hosting เช่น Hosting ที่ใช้ Windows แลกเปลี่ยนระดับเสียงสูง (HVE), การส่งข้อ ความที่โฮสต์ และทำงานร่วมกัน หรือโฮสต์ Exchange หรือ ถ้าลูกค้ากำลังใช้บริการของ Microsoft การเตรียมใช้งาน วิธีการแก้ไขปัญหาของ Hosting ขึ้นอยู่กับรุ่นการรักษาความปลอดภัยที่เฉพาะเจาะจงจะแยกลูกค้าของ ISP จากกัน

ภาพรวมของ Dsacls.exe

DsAcls ใช้ไวยากรณ์ต่อไปนี้:
dsacls วัตถุ [/ แบบ] [/d {ผู้ใช้ | กลุ่ม}:การอนุญาต [...]] [/g {ผู้ใช้ | กลุ่ม}:การอนุญาต [...]] [/ i: { p | s | t }] [/n] [/ p: { y | n }] [/r {ผู้ใช้ | กลุ่ม} [...]] [/t] [/s]
คุณสามารถใช้พารามิเตอร์ต่อไปนี้กับ Dsacls.exe:
  • วัตถุ: นี้คือเส้นทางไปยังวัตถุบริการไดเรกทอรีที่จะแสดง หรือเปลี่ยน ACLs เส้นทางนี้ต้องเป็นชื่อที่แตกต่าง (เรียกอีกอย่างหนึ่งว่ารูปที่ RFC 1779 หรือ x.500) ตัวอย่าง:
    CN =ผู้อื่น OU =ซอฟต์แวร์ OU =วิศวกรรม DC = Microsoft, DC = Com
    เมื่อต้องการระบุเซิร์ฟเวอร์ เพิ่ม \\Servername\ ก่อนวัตถุ ตัวอย่าง:
    \\MyServer\CN=Someone,OU=Software,OU=Engineering,DC=Microsoft,DC=Com
    เมื่อคุณเรียกใช้คำสั่งdsaclsเท่านั้น วัตถุ (พารามิเตอร์dsacls วัตถุ), ข้อมูลการรักษาความปลอดภัยเกี่ยวกับวัตถุถูกแสดงขึ้น
  • /a : ใช้พารามิเตอร์นี้เพื่อแสดงความเป็นเจ้าของและตรวจสอบข้อมูลที่ มีสิทธิ์
  • /d {ผู้ใช้ | กลุ่ม}:การอนุญาต: ใช้พารามิเตอร์นี้เพื่อปฏิเสธสิทธิ์ที่ระบุไปยังผู้ใช้หรือกลุ่ม ผู้ใช้ ต้องใช้วิธีการใด ผู้ใช้@โดเมน หรือ โดเมน\ผู้ใช้ รูปแบบ และ กลุ่ม ต้องใช้วิธีการใด กลุ่ม@โดเมน หรือ โดเมน\กลุ่ม รูปแบบ คุณสามารถระบุผู้ใช้หรือกลุ่มมากกว่าหนึ่งที่อยู่ในคำสั่ง สำหรับข้อมูลเพิ่มเติมเกี่ยวกับไวยากรณ์ถูกต้องเพื่อใช้สำหรับ การอนุญาตดู <Permissions>ไวยากรณ์</Permissions> ส่วนต่อไปในบทความนี้
  • /g {ผู้ใช้ | กลุ่ม}:การอนุญาต: ใช้พารามิเตอร์นี้เพื่อให้สิทธิ์ที่ระบุไปยังผู้ใช้หรือกลุ่ม ผู้ใช้ ต้องใช้วิธีการใด ผู้ใช้@โดเมน หรือ โดเมน\ผู้ใช้ รูปแบบ และ กลุ่ม ต้องใช้วิธีการใด กลุ่ม@โดเมน หรือ โดเมน\กลุ่ม รูปแบบ คุณสามารถระบุผู้ใช้หรือกลุ่มมากกว่าหนึ่งที่อยู่ในคำสั่ง สำหรับข้อมูลเพิ่มเติมเกี่ยวกับไวยากรณ์ถูกต้องเพื่อใช้สำหรับ การอนุญาตดู <Permissions>ไวยากรณ์</Permissions> ส่วนต่อไปในบทความนี้
  • /i:{p | s | t}: ใช้พารามิเตอร์นี้เพื่อระบุค่าสถานะสิ่งที่สืบทอดต่อไปนี้อย่างใดอย่างหนึ่ง:
    • p: ใช้ตัวเลือกนี้เพื่อเผยแพร่สิทธิ์ที่สืบทอดได้หนึ่งระดับเท่านั้น
    • s: ใช้ตัวเลือกนี้เพื่ออนุญาตการ subobjects เท่านั้นที่สืบทอดการเผยแพร่
    • t: ใช้ตัวเลือกนี้เพื่ออนุญาตให้วัตถุนี้และ subobjects ที่สืบทอดการเผยแพร่
  • /n : ใช้พารามิเตอร์นี้เพื่อแทนการเข้าถึงวัตถุ แทนที่จะแก้ไขในปัจจุบัน
  • /p:{y | n}: พารามิเตอร์นี้กำหนดว่า วัตถุสามารถสืบทอดสิทธิ์จากวัตถุแม่ ถ้าคุณไม่ใช้พารามิเตอร์นี้ จะไม่มีการเปลี่ยนแปลงสิ่งที่สืบทอดคุณสมบัติของออบเจ็กต์ ใช้พารามิเตอร์นี้เพื่อทำเครื่องหมายวัตถุตามที่ได้รับการป้องกัน (y = yes) หรือไม่ได้รับการป้องกัน (n = no)

    หมายเหตุ พารามิเตอร์นี้เปลี่ยนแปลงคุณสมบัติของวัตถุ ไม่ของการเข้าถึงตัวควบคุมรายการ (ACE) เมื่อต้องดูว่า เอซได้รับการสืบทอดได้ ใช้พารามิเตอร์ /I
  • /r {ผู้ใช้ | กลุ่ม}: ใช้พารามิเตอร์นี้เพื่อเอาสิทธิ์ทั้งหมดสำหรับผู้ใช้ที่ระบุหรือกลุ่ม คุณสามารถระบุผู้ใช้หรือกลุ่มมากกว่าหนึ่งที่อยู่ในคำสั่ง ผู้ใช้ ต้องใช้วิธีการใด ผู้ใช้@โดเมน หรือ โดเมน\ผู้ใช้ รูปแบบ และ กลุ่ม ต้องใช้วิธีการใด กลุ่ม@โดเมน หรือ โดเมน\กลุ่ม รูปแบบ
  • /s: ใช้พารามิเตอร์นี้เพื่อคืนค่าความปลอดภัยเริ่มต้นสำหรับคลาสของวัตถุนั้น ความปลอดภัยบนวัตถุตามที่กำหนดไว้ใน schema ไดเรกทอรีที่ใช้งานอยู่
  • /t : ใช้พารามิเตอร์นี้เพื่อคืนค่าความปลอดภัยบนแผนภูมิของออบเจ็กต์ที่เป็นค่าเริ่มต้นสำหรับแต่ละระดับชั้นของวัตถุ สวิตช์นี้มีผลบังคับใช้เฉพาะเมื่อคุณใช้พารามิเตอร์/s

การอนุญาต ไวยากรณ์

คุณต้องใช้ไวยากรณ์ต่อไปนี้สำหรับ การอนุญาต เมื่อคุณใช้การ{ /dผู้ใช้ | กลุ่ม}:การอนุญาต or /g {ผู้ใช้ | กลุ่ม}:การอนุญาต พารามิเตอร์:
[PermissionBits];[{Object|คุณสมบัติ}];[InheritedObjectType]
  • PermissionBits สามารถใช้ต่อไปนี้ค่าใด ๆ ซึ่งเชื่อมสามารถถูกรวมเข้าด้วยกัน โดยไม่มีช่องว่าง:

    สิทธิ์ทั่วไป
    ยุบตารางนี้ขยายตารางนี้
    GRอ่านทั่วไป
    GEดำเนินการทั่วไป
    GWเขียนทั่วไป
    GAทั้งหมดทั่วไป

    อนุญาตเฉพาะ

    ยุบตารางนี้ขยายตารางนี้
    SDลบ
    DTลบวัตถุและวัตถุลูกทั้งหมด
    RCอ่านข้อมูลความปลอดภัย
    WDเปลี่ยนแปลงข้อมูลการรักษาความปลอดภัย
    WOการเปลี่ยนแปลงข้อมูลเจ้าของ
    LCเลือกวัตถุลูกของวัตถุ
    สำเนาถึงสร้างวัตถุย่อย ถ้า{วัตถุ|คุณสมบัติ} ไม่มีระบุการกำหนดคุณสมบัติเฉพาะเจาะจง นี้ใช้กับคุณสมบัติทั้งหมดของวัตถุ มิฉะนั้น ใช้กับคุณสมบัติของวัตถุที่ระบุ
    DCลบวัตถุย่อย ถ้า{วัตถุ|คุณสมบัติ} ไม่มีระบุการกำหนดคุณสมบัติเฉพาะเจาะจง นี้ใช้กับคุณสมบัติทั้งหมดของวัตถุ มิฉะนั้น ใช้กับคุณสมบัติของวัตถุที่ระบุ
    WSเขียนไปยังวัตถุที่ตนเอง ถ้า{วัตถุ|คุณสมบัติ} ไม่มีระบุการกำหนดคุณสมบัติเฉพาะเจาะจง นี้ใช้กับคุณสมบัติทั้งหมดของวัตถุ มิฉะนั้น ใช้กับคุณสมบัติของวัตถุที่ระบุ
    จุดคืนค่าอ่านคุณสมบัติ ถ้า{วัตถุ|คุณสมบัติ} ไม่มีระบุการกำหนดคุณสมบัติเฉพาะเจาะจง นี้ใช้กับคุณสมบัติทั้งหมดของวัตถุ มิฉะนั้น ใช้กับคุณสมบัติของวัตถุที่ระบุ
    WPเขียนคุณสมบัติ ถ้า{Object|คุณสมบัติ} ไม่มีระบุการกำหนดคุณสมบัติเฉพาะเจาะจง นี้ใช้กับคุณสมบัติทั้งหมดของวัตถุ มิฉะนั้น ใช้กับคุณสมบัติของวัตถุที่ระบุ
    CAควบคุมการเข้าถึงทางขวา ถ้า{วัตถุ|คุณสมบัติ} ไม่มีระบุการกำหนดคุณสมบัติเฉพาะเจาะจง นี้ใช้กับคุณสมบัติทั้งหมดของวัตถุ มิฉะนั้น ใช้กับคุณสมบัติของวัตถุที่ระบุ
    LO รายการการเข้าถึงวัตถุ สามารถใช้ต้องให้สิทธิการเข้าถึงรายการกับวัตถุระบุถ้ารายการเด็ก (LC) ไม่ยังได้รับการพาเรนต์ สามารถยังถูกปฏิเสธบนวัตถุที่เฉพาะเจาะจงเมื่อต้องซ่อนวัตถุเหล่านั้นถ้าผู้ใช้หรือกลุ่มมี LC บนแม่ บังคับ โดยค่าเริ่มต้น ไดเรกทอรีที่ใช้งานอยู่ไม่ได้ใช้สิทธิ์นี้
  • {วัตถุ|คุณสมบัติ}: ซึ่งหมายถึงชื่อที่ใช้แสดงของชนิดของวัตถุหรือคุณสมบัติ ตัวอย่างเช่น "ผู้ใช้" (โดยไม่ใส่เครื่องหมายอัญประกาศ) เป็นชื่อที่ใช้แสดงสำหรับวัตถุผู้ใช้ และ "เลขโทรศัพท์" (โดยไม่ใส่เครื่องหมายอัญประกาศ) เป็นชื่อที่ใช้แสดงสำหรับคุณสมบัติหมายเลขโทรศัพท์

    ตัวอย่าง คำสั่งต่อไปนี้อนุญาตให้ผู้ใช้สามารถสร้างวัตถุลูกทั้งหมดชนิด:
    /G Domain\User:CC

    อย่างไรก็ตาม คำสั่งต่อไปนี้อนุญาตให้ผู้ใช้สามารถสร้างออบเจ็กต์คอมพิวเตอร์ลูกเท่านั้น:
    /G Domain\User:CC คอมพิวเตอร์
  • InheritedObjectType: นี้แสดงถึงชื่อที่ใช้แสดงของชนิดออบเจ็กต์ที่คาดไว้ซึ่งสิทธิ์ที่จะมีการสืบทอด

    ถ้าไม่มีระบุชนิดของวัตถุ สามารถมีการสืบทอดสิทธิ์ตามชนิดของวัตถุทั้งหมด พารามิเตอร์นี้จะใช้ได้ก็ต่อเมื่อมีสิทธิ์ที่สืบทอดได้เท่านั้น

    ตัวอย่าง คำสั่งต่อไปนี้อนุญาตให้ทุกชนิดของออบเจ็กต์ที่สืบทอดสิทธิ์:
    /G Domain\User:CC
    อย่างไรก็ตาม คำสั่งต่อไปนี้อนุญาตให้เฉพาะผู้ใช้วัตถุสืบทอดสิทธิ์:
    /G Domain\User:CC;;ผู้ใช้
สิ่งสำคัญ: ใช้ การอนุญาต เฉพาะ เมื่อคุณกำหนดสิทธิ์เฉพาะวัตถุที่แทนสิทธิ์ในการเริ่มต้นที่กำหนดไว้ใน schema Active Directory สำหรับชนิดของวัตถุนั้น ใช้ ด้วยความระมัดระวังและเฉพาะเมื่อ คุณมีการทำความเข้าใจเกี่ยวกับเต็มรูปแบบของวัตถุเฉพาะสิทธิ์



ตัวอย่างของ การอนุญาต
  • SDRCWDWO;;ผู้ใช้

    สัญลักษณ์นี้แสดงถึงการลบ อ่านข้อมูลความปลอดภัย เปลี่ยนแปลงข้อมูลการรักษาความปลอดภัย และเปลี่ยนแปลงความเป็นเจ้าของอนุญาตให้ใช้วัตถุของชนิด "ผู้ใช้"
  • CCDC กลุ่ม

    สัญลักษณ์นี้แสดงถึงการสร้างลูก และลบสิทธิ์ลูกเพื่อสร้าง หรือลบวัตถุของชนิด "กลุ่ม"
  • RPWP; telephonenumber

    สัญลักษณ์นี้แสดงถึงคุณสมบัติการอ่าน และเขียนคุณสมบัติในลักษณะของหมายเลขโทรศัพท์

ข้อมูลอ้างอิง

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับคำสั่งdsacls.exeพิมพ์ dsacls / ที่พรอมต์คำสั่ง และจากนั้นกด ENTER
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการปรับปรุงล่าสุดเมื่อต้องการ Dscals.exe ที่รวมอยู่ใน Microsoft Windows Server 2003 Service Pack 1 (SP1), คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
892777เครื่องมือสนับสนุนของ Windows Server 2003 Service Pack 1

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการติดตั้งเครื่องมือสนับสนุน Windows 2000 คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
301423วิธีการ: ติดตั้งเครื่องมือสนับสนุน Windows 2000 ลงในคอมพิวเตอร์ที่ใช้ Windows 2000 Server
สำหรับข้อมูลเพิ่มเติม เครื่องมือที่มีอยู่ใน Windows 2000 เครื่องมือสนับสนุน คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
246926โฟลเดอร์ที่แสดงรายการของเครื่องมือการสนับสนุนที่รวมอยู่ใน Windows 2000
292003 Service Pack 2 เพิ่มโปรแกรมปรับปรุงลงในเครื่องมือสนับสนุน 2000 Windows หลาย ๆ
322271 Service Pack 3 เพิ่มโปรแกรมปรับปรุงลงในเครื่องมือสนับสนุน 2000 Windows หลาย ๆ

คุณสมบัติ

หมายเลขบทความ (Article ID): 281146 - รีวิวครั้งสุดท้าย: 30 ตุลาคม 2555 - Revision: 4.0
ใช้กับ
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Keywords: 
kbhowto kbmt KB281146 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:281146

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com