Dsacls
Отображение и изменение разрешений (записей таблицы управления доступом (access control entries — ACE)) в списке управления доступом (access control list — ACL) для объектов ADAM (Active Directory Application Mode).
Записи ACE, добавляемые с помощью команды dsacls, должны представлять собой разрешения для объектов, которые переопределяют установленные по умолчанию в схеме ADAM разрешения каталога. Не рекомендуется добавлять записи ACE, если нет достаточных сведений о безопасности для объектов ADAM.
Если объект указан без дополнительных параметров, команда dsacls отображает записи ACE в ACL.
Синтаксис
dsacls "[\\компьютер\]различаемое_имя_объекта" [/A] [/D описание_разрешения [описание_разрешения]...] [/G описание_разрешения [описание_разрешения]...] [/I:{T | S | P}] [/N] [/P:{Y | N}] [/R {пользователь | группа} [{пользователь | группа}]...] [/S [/T]] [/resetDefaultACL] [/resetDefaultSACL] [/takeOwnership] [/simple] [/domain: домен] [/user: имя_пользователя] [/passwd: {пароль | * }] [/?]
Параметры
- "[\\компьютер\]различаемое_имя_объекта"
- Указывает проверяемый объект Active Directory. Введите различаемое имя объекта. Чтобы указать объект на удаленном компьютере, введите имя компьютера и затем различаемое имя. Этот параметр должен быть заключен в кавычки. Пример: "CN=Kim Akers,CN=Users,DC=domain,DC=test,DC=microsoft,DC=com" или "\\Server01\CN=Kim Akers,CN=Users,DC=domain,DC=test,DC=microsoft,DC=com"
- /A
- Выводит сведения о владельце и аудите.
- /D PermissionStatement [PermissionStatement]...
- Отменяет указанные разрешения для пользователя или группы. С помощью команды /D можно отменить разрешения одновременно для нескольких пользователей. Пример: /D Domain1\User1:CCDC Domain1\User2:DC;computer
- /G PermissionStatement [PermissionStatement]...
- Предоставляет указанные разрешения пользователю или группе. С помощью команды /G можно предоставить разрешения одновременно нескольким пользователям Пример: /G Domain1\User1:CCDC Domain1\User2:DC;computer
- /I:{T | S | P}
- определяет объекты, к которым применяются разрешения. Этот параметр указывает, являются ли данные разрешения наследуемыми. Параметр T используется по умолчанию.
| Значение | Описание |
|---|---|
|
T |
Данный объект и подчиненные объекты |
|
S |
Только подчиненные объекты |
|
P |
Распространяет наследуемые отношения только на один уровень |
- /N
- Устанавливает, что указанные записи ACE заменяют записи ACE в списке ACL. По умолчанию ACE добавляется в ACL.
- /P:{Y | N}
- Определяет, является ли объект защищенным, то есть не имеющим прав на наследование разрешений от родительских объектов. Если этот параметр пропущен, свойства наследования объекта не изменяются.
| Значение | Описание |
|---|---|
|
Y |
Объект является защищенным и не может наследовать разрешения. |
|
N |
Объект не является защищенным и может наследовать разрешения. |
Примечание
- Этот параметр изменяет свойство объекта, а не запись ACE. Чтобы
определить, является ли наследуемой запись ACE, используйте
параметр /I.
- /R {Пользователь | Группа} [{Пользователь | Группа}]...
- Удаляет все записи ACE для указанных пользователей или групп. Параметр Пользователь может быть определен как пользователь@домен или как домен\пользователь. Параметр Группа может быть указан как группа@домен или домен\группа. С помощью параметра /R можно удалить записи ACE для нескольких пользователей или групп одновременно Пример: /R Domain1\User1 Domain1\User2
- /S
- Восстанавливает уровень безопасности объекта до исходного уровня, определенного в схеме Active Directory.
- /T
- Восстанавливает уровень безопасности дерева объектов до соответствующего исходного уровня каждого из объектов. Этот параметр используется только в сочетании с параметром /S.
- /resetDefaultDACL
- Восстанавливает первоначальное значение DACL объекта на основе определения схемы для данного класса объектов.
- /resetDefaultSACL
- Восстанавливает первоначальное значение DACL объекта на основе определения схемы для данного класса объектов.
- /takeOwnership
- Назначает владельцем объекта учетную запись, с которой выполняется команда Dsacls.
- /simple
- Задает выполнение привязки к серверу каталога с использованием простой привязки LDAP.
- /domain: домен
- Задает выполнение привязки с использованием учетной записи домена, определенного ключом домен.
- /user: имя_пользователя
- Задает выполнение привязки с использованием учетной записи, определенной ключом имя_пользователя.
- /passwd: пароль
- Задает выполнение привязки с использованием пароля, определенного ключом пароль. Если пароль не указан, он запрашивается у пользователя.
- /?
- Выводит справку по команде dsacls.
Синтаксис PermissionStatement
Для значений PermissionStatement используется следующий формат:
{пользователь | группа}:разрешения[;{тип_объекта | свойство}][;наследуемый_тип_объекта]
Параметры
- {Пользователь | Группа}
- Указывает пользователя или группу, к которым применяются данные права. Пользователь определяется различаемым именем, именем пользователь@домен или домен\пользователь. Группа определяется различающимся именем, именем группа@домен или домен\группа.
- Разрешения
- Введите одно или несколько значений в следующих таблицах (без пробелов).
Родовые разрешения
| Значение | Описание |
|---|---|
|
GR |
Обычное чтение |
|
GE |
Обычное выполнение |
|
GW |
Обычная запись |
|
GA |
Все встроенные |
Отдельные разрешения
| Значение | Описание |
|---|---|
|
SD |
Удаление. |
|
DT |
Удаление объекта и его дочерних объектов. |
|
RC |
Чтение сведений по безопасности. |
|
WD |
Изменение сведений по безопасности. |
|
WO |
Изменение сведений о владельце. |
|
LC |
Список дочерних объектов для объекта. |
|
CC |
Создание дочернего объекта. Если параметр {ObjectType | Property} не указывается для определения конкретного типа дочернего объекта, этот параметр применяется ко всем типам дочерних объектов; в противном случае он применяется к указанному типу дочернего объекта. |
|
DC |
Удаление дочернего объекта. Если параметр {ObjectType | Property} не указывается для определения конкретного типа дочернего объекта, этот параметр применяется ко всем типам дочерних объектов; в противном случае он применяется к указанному типу дочернего объекта. |
|
WS |
Запись в объект. Имеет смысл только для объектов Group и если параметр {ObjectType | Property} является "членом". |
|
RP |
Свойство чтения. Если параметр {ObjectType | Property} не указывается для определения конкретного свойства, этот параметр применяется ко всем свойствам объекта; в противном случае он применяется к указанному свойству объекта. |
|
WP |
Свойство записи. Если параметр {ObjectType | Property} не указывается для определения конкретного свойства, этот параметр применяется ко всем свойствам объекта; в противном случае он применяется к указанному свойству объекта. |
|
CA |
Право управления доступом. Если параметр {ObjectType | Property} не указывается для определения конкретного расширенного права на управление доступом, он применяется ко всем значимым свойствам управления доступом для данного объекта; в противном случае он применяется к конкретному расширенному праву этого объекта. |
|
LO |
Доступ на включение в список. Может использоваться для предоставления доступа на вывод списка для конкретного объекта, если право List Children (LC) не предоставлено родителю. Может отменяться для конкретных объектов, чтобы скрыть их, если у пользователя или группы есть разрешение LC для родителя. Примечание
|
- {ObjectType | Property}
- Ограничивает разрешение указанным типом объекта или свойством. Введите отображаемое имя типа объекта или свойства. Если тип объекта или свойство не указаны, разрешение применяется ко всем типам объектов и свойствам. Например, следующая команда разрешает пользователю создавать все типы дочерних объектов: /G Domain\User:CC Следующая команда разрешает пользователю создавать только дочерние объекты компьютера: /G Domain\User:CC;computer
- InheritedObjectType
- Ограничивает наследование разрешения указанным типом объекта. Введите отображаемое имя типа объекта. Если тип объекта не указан, это разрешение может наследоваться всеми типами объектов. Этот параметр используется только в том случае, если разрешение является наследуемым. Например, следующая команда позволяет наследовать разрешение всем типам объектов: /G Domain\User:CC А эта команда позволяет наследовать разрешение только объектам пользователей: /G Domain\User:CC;;user
Примеры
SDRCWDWO;;user
Удаление, чтение сведений по безопасности. Изменение сведений по безопасности, изменение разрешения владельца на объекты с типом «пользователь».
CCDC;group;
Создание и удаление дочерних разрешений для создания и удаления объектов с типом «группа».
RPWP;telephonenumber;
Разрешение на чтение свойства и запись свойства для свойства телефонного номера.
Условные обозначения форматирования
| Формат | Значение |
|---|---|
|
Курсив |
Сведения, вводимые пользователем |
|
Полужирный |
Элементы, вводимые без изменений |
|
Многоточие (...) |
Параметр может быть введен в командной строке несколько раз |
|
В квадратных скобках ([]) |
Необязательные элементы |
|
В фигурных скобках ({}), варианты разделены вертикальной линией (|). Пример: {even|odd} |
Набор вариантов, из которых пользователю необходимо выбрать только один |
|
Шрифт Courier |
Программный код или данные, выводимые программой |