如何使用 Windows Server 2003 和 Windows 2000 中 Dsacls.exe

文章翻译 文章翻译
文章编号: 281146 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

本文介绍如何使用 Dsacls.exe 工具 (Dsacls.exe) 来管理访问控制列表 (ACL) Microsoft Windows Server 2003 和 MicrosoftWindows2000Server 中用于目录服务。 Dsacls.exe 是命令行工具, 可使用来查询安全属性并将更改 ActiveDirectory 对象的权限及安全特性。 命令行它相当与 WindowsActiveDirectory 管理单元工具如 ActiveDirectory 用户和计算机以及 lActiveDirectory 站点和服务中 安全 选项卡。

Dsacls.exe 将附带在 Windows 支持工具。 在 Windows Server 2003 或 Windows2000ServerCD-ROM 要安装支持工具, 从 Support\Tools 文件夹运行 Setup.exe。

可用于 Dsacls.exe 和其他 Windows 支持工具, ACL 诊断 (Acldiag.exe), ActiveDirectory 对象从命令提示符上提供安全配置和诊断功能。

访问控制列表 (ACL) 对象中 ActiveDirectory 应用程序模式 (ADAM) 在 Windows Server 2003 中 注意 可使用 Dsacls.exe 来显示和更改权限 (访问控制项)。

要点 不要使用 Dsacls.exe 来修改权限如果已实现解决方案如基于 Windows 的 Hosting、 高卷 Exchange (HVE)、 承载消息和协作或承载 Exchange, Hosting 或如果使用 Microsoft 提供服务客户。 解决 Hosting 方案取决于特定安全模型来隔离彼此 ISP 客户。

Dsacls.exe 概述

DsAcls 使用以下语法:
FAILED TO TRANSLATE SENTENCE
您可以使用以下参数: Dsacls.exe
  • 对象 : 这是到目录服务对象基于它来显示或更改 ACL 路径。 此路径必须是可分辨名称 (也称为 RFC 1779 或 x.500 格式)。 例如:
    CN = Com = 软件, OU = 工程, DC = Microsoft, DC = 某人, OU
    要指定服务器, 添加 \\Servername\ 对象之前。 例如:
    \\MyServer\CN=Someone,OU=Software,OU=Engineering,DC=Microsoft,DC=Com
    与仅当您运行 dsacls 命令 实例。 显示参数 ( dsacls 对象 ), 关于对象安全信息。
  • / a : 使用此参数来显示所有权和审核信息具有权限。
  • / d {用户 | }:权限: 使用此参数来拒绝向用户或组指定权限。 用户 必须使用任一 用户 @ 域 或 域 用户 格式, 和 \ 必须使用任一 组 @ 域 或 域 组 格式 \。 命令中可以指定多个用户或组。 有关正确语法以用于 权限查看 <Permissions> 语法 本文中稍后部分。
  • / g {用户 | }:权限: 使用此参数将指定权限授予用户或组。 用户 必须使用任一 用户 @ 域 或 域 用户 格式, 和 \ 必须使用任一 组 @ 域 或 域 组 格式 \。 命令中可以指定多个用户或组。 有关正确语法以用于 权限查看 <Permissions> 语法 本文中稍后部分。
  • / i p 使用此参数来指定以下继承标志之一: s t ::{ | | }
    • p : 使用此选项来传播继承权限仅一级。
    • s : 使用此选项将传播到子对象仅继承权限。
    • t : 使用此选项来传播继承权限授予该对象和子对象。
  • / n : 使用此参数可替换对象, 代替编辑它上当前访问。
  • / p y 此参数确定该对象是否可从其父对象继承权限 n ::{ | }。 如果省略此参数, 不更改对象继承属性。 使用此参数可标记为保护对象 ( y n )) 或不保护 = yes = 没有 (。

    注意 该参数更改对象, 不是一个访问控制项 (ACE) 属性。 要确定 ACE 是否继承, 请使用 / I 参数。
  • / {用户 | }: 使用此参数可删除所有对指定用户或组权限。 命令中可以指定多个用户或组。 用户 必须使用任一 用户 @ 域 或 域 用户 格式, 和 \ 必须使用任一 组 @ 域 或 域 组 格式 \。
  • / s : 使用此参数将还原到默认安全对于该对象类, 安全对象上按 ActiveDirectory 架构中定义。
  • / t : 使用此参数将还原到默认为每个对象类安全对象树上。 只有当还使用 / s 参数此开关才有效。

权限 语法

您必须使用以下语法用于 权限 当使用 / d {用户 | }:权限 或 / g {用户 | }:权限 参数时必须指定一个应用程序。 :
PermissionBits [ [ InheritedObjectType ] [ { Object|Property } ]; ];
  • PermissionBits 可以使用任何是下列值, 它可将串联在一起无空格:

    一般权限
    收起该表格展开该表格
    GR一般性读
    GE一般执行
    GW一般写入
    GA一般全部

    特定权限

    收起该表格展开该表格
    SD删除
    DT删除对象和所有子对象。
    RC读取安全信息
    WD更改安全信息
    WO更改所有者信息
    LC列表对象子对象
    抄送创建子对象。 如果 { 对象 | 属性 } 这适用于所有对象的属性来定义特定属性, 未指定。 否则, 应用于指定的对象属性。
    DC删除子对象。 如果 { 对象 | 属性 } 这适用于所有对象的属性来定义特定属性, 未指定。 否则, 应用于指定的对象属性。
    WS写入自我对象。 如果 { 对象 | 属性 } 这适用于所有对象的属性来定义特定属性, 未指定。 否则, 应用于指定的对象属性。
    RP读取属性。 如果 { 对象 | 属性 } 这适用于所有对象的属性来定义特定属性, 未指定。 否则, 应用于指定的对象属性。
    WP编写属性。 如果未指定要定义特定属性, { Object|Property } 这适用于所有对象的属性。 否则, 应用于指定的对象属性。
    CA控制访问权限。 如果 { 对象 | 属性 } 这适用于所有对象的属性来定义特定属性, 未指定。 否则, 应用于指定的对象属性。
    LO 列出对象访问。 可被用于授予对特定对象列表访问如果还没有被授予对父列表 Children (LC)。 可同时被拒绝对特定对象来隐藏这些对象如果用户或组有 LC 父上。 默认情况下, ActiveDirectory 不实施此权限。
  • { 对象 | 属性 }: 这表示对象类型或属性的显示名称。 例如, " 用户 " (不带引号) 是针对用户对象, 显示名称, 对于电话号码属性是显示名称 " 电话号码 " (不带引号)。

    例如, 以下命令允许用户能够创建所有类型的子对象:
    /G Domain\User:CC

    但是, 以下命令允许用户以创建仅子计算机对象:
    /G Domain\User:CC;computer
  • InheritedObjectType: 这表示对象类型权限通过都需要被继承的显示名称。

    由所有对象类型如果未指定对象类型, 可被继承权限。 权限是继承时使用此参数。

    例如, 以下命令允许所有类型的对象可继承权限:
    /G Domain\User:CC
    但是, 以下命令允许仅用户对象可继承权限:
    /G Domain\User:CC;;user
要点 : 使用 权限 仅当定义对象特定权限覆盖默认权限对该对象类型 ActiveDirectory 架构中定义。 使用对对象特定权限您有一个完整了解和警告只有当。



示例 权限
  • SDRCWDWO; ; 用户

    此符号表示删除、 读取安全信息、 更改安全信息和 " 用户 " 类型的对象上更改所有权权限。
  • CCDC ; 组 ;

    此符号表示创建子和删除子权限创建或删除对象的类型 " 组 "。
  • RPWP ; telephonenumber;

    此符号表示读取属性和电话号码属性上写入属性权限。

参考

有关更多信息有关 dsacls.exe 命令, 键入 dsacls /? 在命令提示符和然后按 Enter。
有关在 Microsoft Windows Server 2003 Service Pack 1 (SP 1), 包含最新更新到 Dscals.exe 请单击下列文章编号以查看 Microsoft 知识库中相应
892777 WindowsServer 2003 ServicePack 1 支持工具

有关如何安装 Windows 2000 支持工具, 请单击下列文章编号以查看 Microsoft 知识库中相应:
301423 HOWTO: 安装 Windows 2000 支持工具到基于 Windows 2000 服务器计算机
有关其他信息工具所附带 Windows2000SupportTools, 请单击下列文章编号以查看 Microsoft 知识库文章:
246926 包含在 Windows 2000 支持工具的文件夹列表
292003 Service Pack 2 更新向若干 Windows 2000 支持工具
322271 Service Pack 3 更新向若干 Windows 2000 支持工具

属性

文章编号: 281146 - 最后修改: 2007年2月27日 - 修订: 3.3
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
关键字:?
kbhowto KB281146 KbMtzh kbmt
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。如果您发现了错误并希望帮助我们提高机器翻译技术,请完成文章末尾的在线调查。
点击这里察看该文章的英文版: 281146
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com