Jak korzystać z narzędzia Dsacls.exe w systemach Windows Server 2003 i Windows 2000

Streszczenie

W tym artykule opisano sposób użycia narzędzia Dsacls.exe (Dsacls.exe) do zarządzania listami kontroli dostępu (ACL) dla usług katalogowych w systemach Microsoft Windows Server 2003 i Microsoft Windows 2000 Server. Dsacls.exe jest narzędziem wiersza polecenia, którego można używać do wykonywania kwerend dotyczących atrybutów zabezpieczeń oraz do zmiany uprawnień i atrybutów zabezpieczeń obiektów usługi Active Directory. Jest to działający w wierszu polecenia odpowiednik karty Zabezpieczenia w narzędziach przystawek usługi Active Directory systemu Windows, takich jak Użytkownicy i komputery usługi Active Directory oraz Lokacje i usługi Active Directory.

Narzędzie Dsacls.exe uwzględniono w narzędziach obsługi systemu Windows. Aby zainstalować narzędzia obsługi, należy uruchomić program Setup.exe znajdujący się w folderze Support\Tools na dysku CD-ROM z systemem Windows Server 2003 lub Windows 2000 Server.

Można używać narzędzia Dsacls.exe oraz innego narzędzia obsługi systemu Windows, ACL Diagnostics (Acldiag.exe), do zapewniania funkcji związanych z konfiguracją zabezpieczeń i diagnostyką obiektów usługi Active Directory z wiersza polecenia.

Uwaga: Korzystając z narzędzia Dsacls.exe, można wyświetlać i zmieniać uprawnienia (wpisy kontroli dostępu) na liście kontroli dostępu (ACL) obiektów w trybie aplikacji usługi Active Directory Application Mode (ADAM, Active Directory Application Mode) w systemie Windows Server 2003.

Ważne: Nie wolno używać narzędzia Dsacls.exe do modyfikowania uprawnień, jeżeli wdrożono rozwiązanie w zakresie hostingu, takie jak hosting oparty na systemie Windows, High Volume Exchange (HVE), Hosted Messaging and Collaboration lub Hosted Exchange albo jeżeli klient korzysta z usługi Microsoft Provisioning Service. Rozwiązania w zakresie hostingu są zależne od określonego modelu zabezpieczeń używanego do izolacji poszczególnych klientów usługodawcy internetowego (ISP).


Powrót do początku

Omówienie narzędzia Dsacls.exe

Składnia narzędzia Dsacls jest następująca:
dsacls obiekt [/a] [/d {użytkownik | grupa}:uprawnienia [...]] [/g {użytkownik | grupa}:uprawnienia [...]] [/i:{p | s | t}] [/n] [/p:{y | n}] [/r {użytkownik | grupa} [...]] [/s [/t]]
Z narzędziem Dsacls.exe można używać następujących parametrów:
 • obiekt: Ścieżka do obiektu usług katalogowych, dla którego są wyświetlane lub zmieniane listy ACL. Ta ścieżka musi być nazwą wyróżniającą (zwaną również formatem RFC 1779 lub x.500). Na przykład:
  CN=Pracownik,OU=Oprogramowanie,OU=Inżynieria,DC=Microsoft,DC=Com
  Aby określić serwer, należy dodać \\Nazwa_serwera\ przed obiektem. Na przykład:
  \\MójSerwer\CN=Pracownik,OU=Oprogramowanie,OU=Inżynieria,DC=Microsoft,DC=Com
  Jeżeli polecenie dsacls jest uruchamiane tylko z parametrem obiekt (dsacls obiekt), wyświetlane są informacje dotyczące zabezpieczeń obiektu.
 • /a: Za pomocą tego parametru można wyświetlić informacje o własności oraz inspekcji wraz z uprawnieniami.
 • /d {użytkownik | grupa}:uprawnienia: Za pomocą tego parametru można odmówić określonych uprawnień użytkownikowi lub grupie. Parametr użytkownik musi być określony w formacie użytkownik@domena lub domena\użytkownik, a parametr grupa musi być określony w formacie grupa@domena lub domena\grupa. W poleceniu można określić kilku użytkowników lub kilka grup. Aby uzyskać więcej informacji dotyczących poprawnej składni, której należy używać w przypadku parametru uprawnienia, zobacz sekcję Składnia parametru w dalszej części tego artykułu.
 • /g {użytkownik | grupa}:uprawnienia: Za pomocą tego parametru można udzielać określonych uprawnień użytkownikowi lub grupie. Parametr użytkownik musi być określony w formacie użytkownik@domena lub domena\użytkownik, a parametr grupa musi być określony w formacie grupa@domena lub domena\grupa. W poleceniu można określić kilku użytkowników lub kilka grup. Aby uzyskać więcej informacji dotyczących poprawnej składni, której należy używać w przypadku parametru uprawnienia, zobacz sekcję Składnia parametru w dalszej części tego artykułu.
 • /i:{p | s | t}: Za pomocą tego parametru można określić jedną z następujących flag dziedziczenia:
  • p: Ta opcja umożliwia propagowanie uprawnień dziedzicznych tylko o jeden poziom.
  • s: Ta opcja umożliwia propagowanie uprawnień dziedzicznych tylko do podobiektów.
  • t: Ta opcja umożliwia propagowanie uprawnień dziedzicznych do danego obiektu i podobiektów.
 • /n: Za pomocą tego parametru można zamieniać bieżący dostęp do obiektu, zamiast go edytować.
 • /p:{y | n}: Ten parametr określa, czy obiekt może dziedziczyć uprawnienia obiektów nadrzędnych. Jeżeli ten parametr zostanie pominięty, właściwości obiektu związane z dziedziczeniem nie są zmieniane. Za pomocą tego parametru można oznaczyć obiekt jako chroniony (y = tak) lub niechroniony (n = nie).

  Uwaga: Ten parametr zmienia właściwość obiektu, a nie wpisu kontroli dostępu (ACE, Access Control Entry). Aby ustalić, czy wpis ACE może być dziedziczony, należy użyć parametru /I.
 • /r {użytkownik | grupa}: Za pomocą tego parametru można usunąć wszystkie uprawnienia danego użytkownika lub grupy. W poleceniu można określić kilku użytkowników lub kilka grup. Parametr użytkownik musi być określony w formacie użytkownik@domena lub domena\użytkownik, a parametr grupa musi być określony w formacie grupa@domena lub domena\grupa.
 • /s: Za pomocą tego parametru można przywrócić zabezpieczenia obiektu zgodne z domyślnymi zabezpieczeniami danej klasy obiektów zdefiniowanymi w schemacie usługi Active Directory.
 • /t: Za pomocą tego parametru można przywrócić zabezpieczenia drzewa obiektów zgodne z domyślnymi ustawieniami poszczególnych klas obiektów. Ten przełącznik jest prawidłowy tylko wtedy, gdy używany jest parametr /s.

Składnia parametru uprawnienia

Następującej składni należy używać dla parametru uprawnienia wówczas, gdy używany jest parametr /d {użytkownik | grupa}:uprawnienia lub /g {użytkownik | grupa}:uprawnienia:
[BityUprawnień];[{Obiekt|Właściwość}];[TypDziedziczonegoObiektu]
 • Parametr BityUprawnień może przyjmować następujące wartości, które mogą być łączone bez spacji:

  Uprawnienia rodzajowe
  GROdczyt rodzajowy.
  GEWykonanie rodzajowe.
  GWZapis rodzajowy.
  GAWszystkie uniwersalne.

  Uprawnienia specyficzne

  SDUsuwanie
  DTUsuwanie obiektu i wszystkich obiektów podrzędnych.
  RCOdczyt informacji o zabezpieczeniach.
  WDZmienianie informacji o zabezpieczeniach.
  WOZmienianie informacji o właścicielu.
  LCWyświetlenie listy obiektów podrzędnych danego obiektu.
  CCTworzenie obiektu podrzędnego. Jeżeli parametr {Obiekt|Właściwość} nie jest określony w celu zdefiniowania określonej właściwości, dane uprawnienie dotyczy wszystkich właściwości obiektu. W przeciwnym wypadku dotyczy określonej właściwości obiektu.
  DCUsuwanie obiektu podrzędnego. Jeżeli parametr {Obiekt|Właściwość} nie jest określony w celu zdefiniowania określonej właściwości, dane uprawnienie dotyczy wszystkich właściwości obiektu. W przeciwnym wypadku dotyczy określonej właściwości obiektu.
  WSZapis w samym obiekcie. Jeżeli parametr {Obiekt|Właściwość} nie jest określony w celu zdefiniowania określonej właściwości, dane uprawnienie dotyczy wszystkich właściwości obiektu. W przeciwnym wypadku dotyczy określonej właściwości obiektu.
  RPOdczyt właściwości. Jeżeli parametr {Obiekt|Właściwość} nie jest określony w celu zdefiniowania określonej właściwości, dane uprawnienie dotyczy wszystkich właściwości obiektu. W przeciwnym wypadku dotyczy określonej właściwości obiektu.
  WPZapis właściwości. Jeżeli parametr {Obiekt|Właściwość} nie jest określony w celu zdefiniowania określonej właściwości, dane uprawnienie dotyczy wszystkich właściwości obiektu. W przeciwnym wypadku dotyczy określonej właściwości obiektu.
  CAKontrolowanie prawa dostępu. Jeżeli parametr {Obiekt|Właściwość} nie jest określony w celu zdefiniowania określonej właściwości, dane uprawnienie dotyczy wszystkich właściwości obiektu. W przeciwnym wypadku dotyczy określonej właściwości obiektu.
  LO Wyświetlanie dostępu do obiektu. Ta właściwość może być używana do udzielania dostępu za pośrednictwem listy do określonego obiektu, jeżeli uprawnienie Wyświetlanie listy obiektów podrzędnych (LC, List Children) nie zostało udzielone obiektowi nadrzędnemu. Można również odmówić uprawnienia do określonych obiektów w celu ich ukrycia, jeżeli użytkownikowi lub grupie udzielono uprawnienia LC w przypadku obiektu nadrzędnego. Domyślnie usługa Active Directory nie wymusza tego uprawnienia.
 • {Obiekt|Właściwość}: Ten parametr reprezentuje nazwę wyświetlaną typu obiektu lub właściwości. Na przykład „użytkownik” (bez cudzysłowów) jest nazwą wyświetlaną obiektów użytkowników, a „numer telefonu” (bez cudzysłowów) jest nazwą wyświetlaną właściwości numeru telefonu.

  Na przykład następujące polecenie zezwala użytkownikowi na tworzenie wszystkich typów obiektów podrzędnych:
  /G Domena\Użytkownik:CC

  Następujące polecenie zezwala jednak użytkownikowi na tworzenie tylko obiektów podrzędnych typu komputer:
  /G Domena\Użytkownik:CC;computer
 • TypDziedziczonegoObiektu: Ten parametr reprezentuje nazwę wyświetlaną typu obiektu, który prawdopodobnie odziedziczy uprawnienia.

  Jeżeli typ obiektu nie jest określony, dane uprawnienie może być dziedziczone przez wszystkie typy obiektów. Ten parametr jest używany tylko wówczas, gdy uprawnienia mogą być dziedziczone.

  Na przykład następujące polecenie zezwala na dziedziczenie danego uprawnienia przez wszystkie typy obiektów:
  /G Domena\Użytkownik:CC
  Następujące polecenie zezwala jednak na dziedziczenie danego uprawnienia tylko przez obiekty typu użytkownik:
  /G Domena\Użytkownik:CC;;user
WAŻNE: Parametru uprawnienia można używać tylko wówczas, gdy zdefiniowano uprawnienia specyficzne dla obiektu, zastępujące uprawnienia domyślne zdefiniowane w schemacie usługi Active Directory dla danego typu obiektu. Uprawnień należy używać z rozwagą, po zrozumieniu wszystkich zagadnień związanych z uprawnieniami specyficznymi dla obiektu.

Powrót do początku

Przykłady uprawnień
 • SDRCWDWO;;użytkownik

  Ten zapis reprezentuje uprawnienia: Usuwanie, Odczyt informacji o zabezpieczeniach, Zmienianie informacji o zabezpieczeniach i Zmienianie własności dotyczące obiektów typu „użytkownik”.
 • CCDC;grupa;

  Ten zapis reprezentuje uprawnienia: Tworzenie obiektu podrzędnego i Usuwanie obiektu podrzędnego służące do tworzenia lub usuwania obiektów typu „grupa”.
 • RPWP;numertelefonu;

  Ten zapis reprezentuje uprawnienia: Odczyt właściwości i Zapis właściwości dotyczące właściwości numeru telefonu.
Powrót do początku

Materiały referencyjne

Aby uzyskać więcej informacji dotyczących polecenia dsacls.exe, wpisz dsacls /? w wierszu polecenia, a następnie naciśnij klawisz ENTER.
Aby uzyskać więcej informacji dotyczących najnowszych aktualizacji dla narzędzia Dsacls.exe, uwzględnionych w dodatku Service Pack 1 (SP1) dla systemu Microsoft Windows Server 2003, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

892777 Narzędzia obsługi dodatku Service Pack 1 dla systemu Windows Server 2003


Aby uzyskać dodatkowe informacje dotyczące sposobu instalowania narzędzi obsługi systemu Windows 2000, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
301423 JAK: Instalowanie Narzędzi obsługi systemu Windows 2000 na komputerze z systemem Windows 2000 Server

Aby uzyskać dodatkowe informacje dotyczące narzędzi uwzględnionych w zestawie narzędzi obsługi systemu Windows 2000, kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
246926 Lista plików w folderze narzędzi obsługi dołączonym do systemu Windows 2000

292003 Service Pack 2 Adds Updates to Several Windows 2000 Support Tools
322271 Dodatek Service Pack 3 zawiera aktualizacje kilku narzędzi obsługi systemu Windows 2000

Powrót do początku
Właściwości

Identyfikator artykułu: 281146 — ostatni przegląd: 16.01.2008 — zmiana: 1

Opinia