How to Use Dsacls.exe 在 Windows Server 2003 和 Windows 2000

文章翻譯 文章翻譯
文章編號: 281146 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

本篇文章說明如何使用 Dsacls.exe 工具 (Dsacls.exe) 來管理存取控制清單 (ACL) 為目錄服務在 Microsoft Windows Server 2003 和 Microsoft Windows 2000 Server。 Dsacls.exe 是命令列工具, 您可以使用來變更使用權限和安全性的 Active Directory 物件屬性來查詢安全性屬性 (Attribute) 和。 它就相當於在 Windows Active Directory 嵌入式管理單元工具 (例如 「 Active Directory 使用者和電腦 」 和 Active Directory 站台及服務 」 中的 [ 安全性 ] 索引標籤命令列。

Dsacls.exe 是隨附於 Windows 支援工具。 如果要安裝 「 支援工具 」, 從 Windows Server 2003 或 Windows 2000 Server CD - ROM 上 Support \Tools 資料夾執行 Setup . exe。

您可以使用 Dsacls.exe 和另一個 Windows 支援工具, ACL 診斷 Acldiag.exe (,), 可以在命令提示字元下, Active Directory 物件上提供安全性組態與診斷功能。

請注意 您可以使用 Dsacls.exe 來顯示及變更使用權限 (存取控制項目) 在存取控制清單 (ACL) 的物件在 Active Directory 應用程式模式 (ADAM) 在 Windows Server 2003

重要事項 不要使用 Dsacls.exe 來修改權限如果您已實作 Hosting 方案 (例如, Hosting Windows 為基礎、 高磁碟區 Exchange (HVE)、 主控的訊息及共同作業或主控的 Exchange, 或客戶是使用 Microsoft 網路提供服務。 Hosting 解決方案取決於特定安全性模型來隔離彼此來自 ISP 的客戶。

Dsacls.exe 概觀

DsAcls 會使用下列語法:
[/ s ] [/ t ] ] [ ... ] } 群組 | 使用者 { / [ ] } n | y { p / [ [/ n ] ] } t | s | p { i: / [ ] [ ... ] 權限 : } 群組 | 使用者 { / g [ ] [ ... ] 權限 : } 群組 | 使用者 { / d [ [/ dsacls 物件
您可以使用下列參數與 Dsacls.exe:
  • 物件 : 這是指到要顯示或變更 ACL 在其目錄服務物件路徑 這個路徑必須是辨別名稱 (也稱為 RFC 成 1779 或 x.500 格式)。 舉例來說:
    CN = Microsoft, DC 工程, DC = Software, OU = 某人, OU = = Com
    若要指定伺服器, 加入 \\Servername\ 物件之前。 舉例來說:
    \\MyServer\CN=Someone,OU=Software,OU=Engineering,DC=Microsoft,DC=Com
    當您執行 dsacls 指令與唯一的 物件 會顯示參數 dsacls 物件 (,) 物件的安全性資訊。
  • / a : 您可以使用這個參數, 顯示所有權及使用權限稽核資訊
  • / d {使用者 | 群組 }:使用權限: 使用此參數, 來拒絕指定使用權限給使用者或群組。 使用者 必須使用 @ 任一網域使用者 \ 或 網域 使用者 格式, 和 群組 必須使用 @ 任一網域群組 \ 或 網域 群組 格式 您可以在命令中指定一個以上的使用者或群組 如需要為使用正確語法的資訊 使用權限請參魷 \cs6 \f1 \cf6 \lang1024, <Permissions> 語法 稍後在本文一節。
  • / g {使用者 | 群組}:使用權限: 使用這個參數, 將指定使用權限授與使用者或群組。 使用者 必須使用 @ 任一網域使用者 \ 或 網域 使用者 格式, 和 群組 必須使用 @ 任一網域群組 \ 或 網域 群組 格式 您可以在命令中指定一個以上的使用者或群組 如需要為使用正確語法的資訊 使用權限請參魷 \cs6 \f1 \cf6 \lang1024, <Permissions> 語法 稍後在本文一節。
  • / i 使用這個參數來指定下列之一下列繼承 (Inheritance) 旗標: } t | s | p :{
    • p : 請使用此選項來傳播可繼承權限只有一個層級
    • s : 使用這個選項來將繼承使用權傳播到子物件只能
    • t : 使用此選項來將繼承使用權傳播到這個物件及子物件
  • / n : 您可以使用這個參數, 取代物件, 而不是編輯它上目前的存取
  • / p } n | y :{ 這個參數會決定是否物件可繼承權限自其父物件 如果您省略此參數, 不會變更的物件之繼承 (Inheritance) 屬性。 您可以使用這個參數, 物件標記為受保護 = no n (或不受其保護) = yes y (

    注意 這項參數變更物件, 不的存取控制項目 (ACE) 之屬性。 請使用 / I 參數, 以判定是否, 可繼承的 ACE。
  • / {使用者 | 群組}: 您可以使用這個參數, 移除所有針對指定的使用者或群組權限 您可以在命令中指定一個以上的使用者或群組 使用者 必須使用 @ 任一網域使用者 \ 或 網域 使用者 格式, 和 群組 必須使用 @ 任一網域群組 \ 或 網域 群組 格式
  • / s : 您可以使用這個參數, 還原到預設的安全性對該物件類別, 物件上的安全性, 如 Active Directory 架構中所定義
  • / t : 您可以使用這個參數, 還原成預設值為每個物件類別樹狀目錄的物件上的安全性 這個參數只有在您也使用 / s 參數才有效。

使用權限 語法

您必須使用下列語法為 使用權限 當您使用 / d {使用者 | 群組 }:使用權限 或 / g {使用者 | 群組 }:使用權限 參數:
[ PermissionBits ] ; [ { Object|Property } ] ; [ InheritedObjectType ]
  • PermissionBits 可以使用下列任何的下列值, 這可以是串連在一起不含空白:

    泛型使用權限
    摺疊此表格展開此表格
    / GR一般讀取
    GE泛型執行
    GW一般寫入
    GA所有泛型

    特定使用權限

    摺疊此表格展開此表格
    SD刪除
    DT刪除物件及其所有子物件。
    RC讀取安全性資訊
    WD變更安全性資訊
    WO變更擁有者資訊
    LC列出子物件的物件
    [ 副本 ]建立子物件。 如果 { 物件 | 屬性 } 未指定來定義特定的屬性, 這適用於物件的所有屬性 否則, 套用至指定之物件屬性。
    DC刪除子物件。 如果 { 物件 | 屬性 } 未指定來定義特定的屬性, 這適用於物件的所有屬性 否則, 套用至指定之物件屬性。
    WS寫入至自身物件。 如果 { 物件 | 屬性 } 未指定來定義特定的屬性, 這適用於物件的所有屬性 否則, 套用至指定之物件屬性。
    RP讀取屬性。 如果 { 物件 | 屬性 } 未指定來定義特定的屬性, 這適用於物件的所有屬性 否則, 套用至指定之物件屬性。
    WP寫入屬性。 如果未指定 { Object|Property } 來定義特定的屬性, 這適用於物件的所有屬性。 否則, 套用至指定之物件屬性。
    CA控制存取權限。 如果 { 物件 | 屬性 } 未指定來定義特定的屬性, 這適用於物件的所有屬性 否則, 套用至指定之物件屬性。
    LO 列出物件存取。 可以用來如果清單 ] 子系 (LC) 是未同時授與給父代授權給特定的物件清單。 可能會遭到特定物件上也拒絕若想隱藏這些物件如果父代上使用者或群組有控 LC。 根據預設值, Active Directory 不會強制使用這個使用權限。
  • { 物件 | 屬性 }: 這表示物件型別或屬性 (Property) 的顯示名稱 舉例來說, 「 電話號碼 」 (不必加括號) " user " (不必加括號) 是顯示名稱之使用者物件, 也是為電話號碼屬性顯示名稱。

    舉例來說, 下面命令允許使用者能夠建立所有類型的子物件:
    /G Domain\User:CC

    不過, 下面命令允許使用者可以建立子系電腦物件只能:
    /G Domain\User:CC;computer
  • InheritedObjectType: 這表示顯示名稱的物件型別所根據預期要被繼承使用權限。

    如果未指定物件型別, 使用權限可繼承由所有物件型別。 這個參數只能用於使用權限是可繼承的。

    舉例來說, 下面命令允許所有類型的物件繼承使用權限:
    /G Domain\User:CC
    不過, 下面命令允許只有使用者物件來繼承使用權限:
    /G Domain\User:CC;;user
重要 : 使用 使用權限 只有當您定義覆寫預設的使用權限在 Active Directory 為該物件型別資料結構描述定義的特定物件的權限。 使用與警告只有在您具有完全瞭解的特定物件的使用權限



使用權限 的範例
  • 使用者 ; SDRCWDWO;

    這個標記法表示 [ 刪除 ]、 讀取安全性資訊、 變更安全性資訊和物件的型別 」 使用者 」 上 [ 變更擁有權權限。
  • CCDC ; 群組;

    這個標記法表示子系建立和刪除子系權限, 才能建立或刪除物件的型別 " group "。
  • RPWP ; telephonenumber;

    這個標記法表示讀取屬性和 「 寫入 」 使用權限屬性電話號碼屬性上。

?考

如需, dsacls.exe 命令的詳細資訊請輸入 dsacls /? ,然後按下 ENTER。.
如需 Microsoft Windows Server 2003 Service Pack 1 (SP 1) 中, 所包含, 更新最新程式要 Dscals.exe 資訊請按一下下列文件編號, 檢視發行項 「 Microsoft 知識庫 」 中的文件:
892777 Windows Server 2003 Service Pack 1 支援工具

如需有關如何安裝「Windows 2000 支援工具」的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件::
301423 HOW TO: 安裝 Windows 2000 支援工具到 Windows 2000 Server 電腦
請按如需詳細資訊工具所隨附 Windows 2000 支援工具, 一下下面文件編號, 檢視 「 Microsoft 知識庫 」 中的文件:
246926 包含在 Windows 2000 支援工具的資料夾清單
292003 Service Pack 2 更新程式新增到數個 Windows 2000 支援工具
322271 Service Pack 3 會將更新程式加入至數個 Windows 2000 支援工具

屬性

文章編號: 281146 - 上次校閱: 2007年2月27日 - 版次: 3.3
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
關鍵字:?
kbhowto KB281146 KbMtzh kbmt
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。如果您發現錯誤,並想要協助我們進行改善,請填寫本篇文章下方的問卷。
按一下這裡查看此文章的英文版本:281146
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com