Windows Server 2003 ve Windows 2000'de dsacls.exe nasýl kullanýlýr?

Bu makalede, Microsoft Windows Server 2003 ve Microsoft Windows 2000 Server için dizin hizmetleri için eriþim denetim listelerini (ACL) yönetmek için dsacls.exe aracý (dsacls.exe) nasýl kullanýlýr. Dsacls.exe güvenlik özniteliklerini sorgula ve izinler ve Active Directory nesnelerinin güvenlik özniteliklerini deðiþtirmek için kullanabileceðiniz bir komut satýrý aracýdýr. Bu ek bileþeni, Windows Active Directory'de araçlarý gibi Active Directory Kullanýcýlarý ve Bilgisayarlarý'ný ve Active Directory Siteleri ve Hizmetleri <a1>Güvenlik</a1> sekmesinde, komut satýrý eþdeðeridir.

Dsacls.exe Windows Destek Araçlarý'nda bulunur. Destek araçlarýný yüklemek için <a0></a0>, Windows Server 2003 veya Windows 2000 Server CD-ROM'u üzerinde Support\Tools klasöründeki Setup.exe dosyasýný çalýþtýrýn.

Komut satýrýndan Active Directory nesnelerinin güvenlik yapýlandýrma ve taný iþlevi saðlamak üzere, dsacls.exe ve baþka bir Windows destek aracý, ACL Diagnostics (acldiag.exe) kullanabilirsiniz.

Not Dsacls.exe nesneleri, Active Directory Uygulama Modu (ADAM) Windows Server 2003'te eriþim denetimi listesinde (ACL) görüntüler ve <a1>izinleri</a1> (eriþim denetim girdileri) deðiþtirmek için kullanabilirsiniz.

Önemli Dsacls.exe gibi Windows tabanlý Hosting, yüksek ses Exchange (HVE), barýndýrýlan ileti ve iþbirliði veya barýndýrýlan Exchange Hosting çözüm uygulanan veya müþteri, Microsoft Saðlama hizmeti kullanýyorsanýz, izinlerini deðiþtirmek için kullanmayýn. Belirli bir güvenlik modeli, ýSS'NIN müþteriler birbirinden ayýrmak için Hosting çözümleri baðlýdýr.

Dsacls.exe'e genel bakýþ

DsAcls, aþaðýdaki sözdizimini kullanýr:Dsacls.exe ile aþaðýdaki parametreleri kullanabilirsiniz:

• object: Bu ACL'leri deðiþtirmek veya görüntülemek, <a1>Dizin</a1> Hizmetleri nesnesine yoludur. Bu yol, bir ayýrt edici ad (olarak da bilinir RFC öðesini 1779 veya x.500 biçimde) olmalýdýr. Örneðin,:
  CN birisi, OU = Software, OU = mühendislik, DC = Microsoft, DC = com
  Bir sunucu belirtmek için <a0></a0>, nesneyi önce \\Servername\ ekleyin. Örneðin,:
  \\MyServer\CN=Someone,OU=Software,OU=Engineering,DC=Microsoft,DC=Com
  Yalnýzca object parametresi (dsacls object) dsacls komutunu çalýþtýrdýðýnýzda, nesneyle ilgili güvenlik bilgileri görüntülenir.
• /a: sahiplik ve izinlere sahip denetim bilgilerini görüntülemek için bu parametreyi kullanýn.
• /d {user | group}: permissions: Bu parametre, bir kullanýcý veya grup için belirtilen izinleri reddetmek için kullanýn. User ya da kullanmalýsýnýz user @ domain veya domain \ user biçimi ve bir group ya da kullanmalýsýnýz group @ domain veya domain \ group biçimi. Bir komutta birden çok kullanýcý veya grubu belirtebilirsiniz. permissions ' ni kullanmak için doðru sözdizimi hakkýnda daha fazla bilgi için bkz: <Permissions> Syntax bu makalenin sonraki bölümünde.
• /g {user | group}: permissions: Bu parametre, bir kullanýcý veya grup için belirtilen izinleri vermek için kullanýn. User ya da kullanmalýsýnýz user @ domain veya domain \ user biçimi ve bir group ya da kullanmalýsýnýz group @ domain veya domain \ group biçimi. Bir komutta birden çok kullanýcý veya grubu belirtebilirsiniz. permissions ' ni kullanmak için doðru sözdizimi hakkýnda daha fazla bilgi için bkz: <Permissions> Syntax bu makalenin sonraki bölümünde.
• /i:{p | s | t}: devralma Aþaðýdaki bayraklardan birini belirtmek için bu parametreyi kullanýn:
  • p: yalnýzca bir düzey üst öðeden devralýnabilen izinlerin yaymak için bu seçeneði kullanýn.
  • s: devralýnabilen izinleri yalnýzca subobjects yaymak için bu seçeneði kullanýn.
  • t: üst öðeden devralýnabilen izinlerin bu nesneye ve subobjects yaymak için bu seçeneði kullanýn.
• /n: düzenlemek yerine, nesne için geçerli olan eriþimini deðiþtirmek için bu parametreyi kullanýn.
• /p:{y | n}: Bu parametre, nesne izinleri üst nesnelerine devralýp belirler. Bu parametreyi atlarsanýz, Nesne devralma özelliklerini deðiþtirilmez. Nesne korumalý olarak iþaretlemek için bu parametreyi kullanýn (y = yes) veya deðil korumalý (n yok =).
  
  Not Bu parametre, deðil, eriþim denetim girdisi (ACE) nesnesinin bir özelliðini deðiþtirir. Bir ACE devralýnabilir olup olmadýðýný belirlemek için <a0></a0>, /ý parametresini kullanýn.
• /r {user | group}: Bu parametre, belirtilen kullanýcý veya grup için tüm izinleri kaldýrmak için kullanýn. Bir komutta birden çok kullanýcý veya grubu belirtebilirsiniz. User ya da kullanmalýsýnýz user @ domain veya domain \ user biçimi ve bir group ya da kullanmalýsýnýz group @ domain veya domain \ group biçimi.
• /s: Active Directory þemasýnda tanýmlanan varsayýlan güvenlik bu nesne sýnýfý için nesne üzerindeki güvenlik geri yüklemek için bu parametreyi kullanýn.
• /t: her nesne sýnýfý için varsayýlan güvenlik nesneleri aðacýndaki geri yüklemek için bu parametreyi kullanýn. Ayrýca yalnýzca /s</a0> parametresini kullandýðýnýzda, bu anahtarý geçerli deðil.

Permissions sözdizimi

/D kullandýðýnýzda, aþaðýdaki sözdizimini permissions kullanmalýsýnýz {user | group}: permissions veya /g {user | group}: permissions parametre:

• PermissionBitsarada boþluk birleþtirilmiþ aþaðýdaki deðerlerden herhangi birini kullanabilirsiniz:
  
  Genel izin
  Bu tabloyu kapaBu tabloyu aç

  GR	Genel okuma
  GE	Genel Çalýþtýr
  GW	Genel yazma
  GA	Genel olarak tüm

  
  Belirli izinler
  
  
  Bu tabloyu kapaBu tabloyu aç

  SD	Sil
  DT	Nesne ve tüm alt nesneleri sil.
  RC	Güvenlik bilgileri okunamýyor
  WD	Güvenlik bilgilerini deðiþtirme
  WO	Sahibi bilgileri deðiþtirme
  LC	Bir nesnenin alt nesneler listesi
  CC	Alt að nesnesi oluþturun. {Object|Property} belirtilmezse belirli bir özellik tanýmlamak için <a0></a0>, bir nesnenin tüm özelliklerine bu geçerlidir. Aksi halde, nesnenin belirtilen özellik için geçerlidir.
  DC	Alt að nesnesini silin. {Object|Property} belirtilmezse belirli bir özellik tanýmlamak için <a0></a0>, bir nesnenin tüm özelliklerine bu geçerlidir. Aksi halde, nesnenin belirtilen özellik için geçerlidir.
  WS	Kendi kendine nesnesine yazma. {Object|Property} belirtilmezse belirli bir özellik tanýmlamak için <a0></a0>, bir nesnenin tüm özelliklerine bu geçerlidir. Aksi halde, nesnenin belirtilen özellik için geçerlidir.
  RP	Özellik okunamýyor. {Object|Property} belirtilmezse belirli bir özellik tanýmlamak için <a0></a0>, bir nesnenin tüm özelliklerine bu geçerlidir. Aksi halde, nesnenin belirtilen özellik için geçerlidir.
  WP	Özellik yazýn. {Object|Property} belirli bir özellik tanýmlamak için belirtilmiþ olmasý durumunda, bu nesnenin tüm özelliklerine geçerlidir. Aksi halde, nesnenin belirtilen özellik için geçerlidir.
  CA	Saða eriþimi kontrol eder. {Object|Property} belirtilmezse belirli bir özellik tanýmlamak için <a0></a0>, bir nesnenin tüm özelliklerine bu geçerlidir. Aksi halde, nesnenin belirtilen özellik için geçerlidir.
  LO	Nesne eriþimi listeleyin. Liste Children (LC) de üst izin verilirse liste belirli bir nesneye eriþim için kullanýlabilir. Ayrýca kullanýcý veya Grup üst LC varsa, bu nesneleri gizlemek için belirli nesneler üzerinde engellenebilir. Bu izne varsayýlan olarak, Active Directory zorlamaz.

• {Object|Property}: Bu görünen ad nesne türünü veya özelliðini gösterir. Örneðin, "user" (týrnak iþaretleri olmadan) kullanýcý nesnelerinin görünen adýný, "telefon" (týrnak iþaretleri olmadan) telefon numarasý özelliði için bir görünen ad numarasýdýr.
  
  Örneðin, aþaðýdaki komut, tüm alt nesne türlerini oluþturmak için kullanýcý izin verir:
  /G Domain\User:CC
  
  Ancak, aþaðýdaki komut, yalnýzca alt bilgisayar nesneleri oluþtur kullanýcýnýn izin verir:
  /G Domain\User:CC; bilgisayar
• InheritedObjectType: Bu, izinlerin devralýnmasýný beklenen nesne türünün görünen adýný temsil eder.
  
  Belirtilen nesne türünü, izni tüm nesne türleri tarafýndan devralýnabilir. Bu parametre, yalnýzca izinleri devralýnabilen olduðunda kullanýlýr.
  
  Örneðin, aþaðýdaki komut, tüm izni devralmak için nesne türlerini izin verir:
  /G Domain\User:CC
  Ancak, aþaðýdaki komut, yalnýzca kullanýcý nesnelerini izni devralmak için izin verir:
  /G Domain\User:CC; kullanýcý

ÖNEMLI: yalnýzca Active Directory þemasý bu nesne türü için tanýmlanan varsayýlan izinleri geçersiz kýlan nesnenin özel izinlerini tanýmladýðýnýzda permissions ' ni kullanýn. Kullaným dikkat ve yalnýzca, tam bir anlayýþ özel nesne izinlerine sahip.



Permissions örnekleri

• SDRCWDWO; kullanýcý
  
  Bu gösterim, Sil, okuma güvenlik bilgileri, güvenlik bilgilerini deðiþtirme ve "kullanýcý" türündeki nesneler üzerinde sahip olma izinleri deðiþtir temsil eder.
• CCDC; Grup;
  
  Bu gösterim, oluþtur alt'ý temsil eder ve oluþturmak veya "group" türündeki nesneleri silmek için alt izinleri Sil.
• RPWP; telephonenumber;
  
  Bu gösterim, okuma özelliði temsil eder ve telefon numarasý özelliði özelliði izinleri yaz.

Dsacls.exe</a0> komutu hakkýnda daha fazla bilgi için þunu yazýn dsacls /? komut istemini ve sonra ENTER tuþuna basýn.
Microsoft Windows Server 2003 Service Pack 1 (SP1) içerdiði için en son güncelleþtirmeleri Dscals.exe hakkýnda daha fazla bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn:
Windows 2000 Destek Araçlarý'ný yükleme hakkýnda ek bilgi için, Microsoft Bilgi Bankasý'ndaki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn: Ek bilgi için Windows 2000 Destek Araçlarý ile gelen Araçlarý Microsoft Knowledge Base'deki makaleleri görüntülemek üzere aþaðýdaki makale numaralarýný týklatýn: