Dsacls

Отображение и изменение разрешений (записей таблицы управления доступом (access control entries — ACE)) в списке управления доступом (access control list — ACL) для объектов ADAM (Active Directory Application Mode).

Записи ACE, добавляемые с помощью команды dsacls, должны представлять собой разрешения для объектов, которые переопределяют установленные по умолчанию в схеме ADAM разрешения каталога. Не рекомендуется добавлять записи ACE, если нет достаточных сведений о безопасности для объектов ADAM.

Если объект указан без дополнительных параметров, команда dsacls отображает записи ACE в ACL.

Синтаксис

dsacls "[\\компьютер\]различаемое_имя_объекта" [/A] [/D описание_разрешения [описание_разрешения]...] [/G описание_разрешения [описание_разрешения]...] [/I:{T | S | P}] [/N] [/P:{Y | N}] [/R {пользователь | группа} [{пользователь | группа}]...] [/S [/T]] [/resetDefaultACL] [/resetDefaultSACL] [/takeOwnership] [/simple] [/domain: домен] [/user: имя_пользователя] [/passwd: {пароль | * }] [/?]

Параметры

"[\\компьютер\]различаемое_имя_объекта": Указывает проверяемый объект Active Directory. Введите различаемое имя объекта. Чтобы указать объект на удаленном компьютере, введите имя компьютера и затем различаемое имя. Этот параметр должен быть заключен в кавычки. Пример: "CN=Kim Akers,CN=Users,DC=domain,DC=test,DC=microsoft,DC=com" или "\\Server01\CN=Kim Akers,CN=Users,DC=domain,DC=test,DC=microsoft,DC=com"

/A: Выводит сведения о владельце и аудите.

/D PermissionStatement [PermissionStatement]...: Отменяет указанные разрешения для пользователя или группы. С помощью команды /D можно отменить разрешения одновременно для нескольких пользователей. Пример: /D Domain1\User1:CCDC Domain1\User2:DC;computer

/G PermissionStatement [PermissionStatement]...: Предоставляет указанные разрешения пользователю или группе. С помощью команды /G можно предоставить разрешения одновременно нескольким пользователям Пример: /G Domain1\User1:CCDC Domain1\User2:DC;computer

/I:{T | S | P}: определяет объекты, к которым применяются разрешения. Этот параметр указывает, являются ли данные разрешения наследуемыми. Параметр T используется по умолчанию.

Значение	Описание
T	Данный объект и подчиненные объекты
S	Только подчиненные объекты
P	Распространяет наследуемые отношения только на один уровень

/N: Устанавливает, что указанные записи ACE заменяют записи ACE в списке ACL. По умолчанию ACE добавляется в ACL.

/P:{Y | N}: Определяет, является ли объект защищенным, то есть не имеющим прав на наследование разрешений от родительских объектов. Если этот параметр пропущен, свойства наследования объекта не изменяются.

Значение	Описание
Y	Объект является защищенным и не может наследовать разрешения.
N	Объект не является защищенным и может наследовать разрешения.

Примечание

Этот параметр изменяет свойство объекта, а не запись ACE. Чтобы определить, является ли наследуемой запись ACE, используйте параметр /I.

/R {Пользователь | Группа} [{Пользователь | Группа}]...: Удаляет все записи ACE для указанных пользователей или групп. Параметр Пользователь может быть определен как пользователь@домен или как домен\пользователь. Параметр Группа может быть указан как группа@домен или домен\группа. С помощью параметра /R можно удалить записи ACE для нескольких пользователей или групп одновременно Пример: /R Domain1\User1 Domain1\User2

/S: Восстанавливает уровень безопасности объекта до исходного уровня, определенного в схеме Active Directory.

/T: Восстанавливает уровень безопасности дерева объектов до соответствующего исходного уровня каждого из объектов. Этот параметр используется только в сочетании с параметром /S.

/resetDefaultDACL: Восстанавливает первоначальное значение DACL объекта на основе определения схемы для данного класса объектов.

/resetDefaultSACL: Восстанавливает первоначальное значение DACL объекта на основе определения схемы для данного класса объектов.

/takeOwnership: Назначает владельцем объекта учетную запись, с которой выполняется команда Dsacls.

/simple: Задает выполнение привязки к серверу каталога с использованием простой привязки LDAP.

/domain: домен: Задает выполнение привязки с использованием учетной записи домена, определенного ключом домен.

/user: имя_пользователя: Задает выполнение привязки с использованием учетной записи, определенной ключом имя_пользователя.

/passwd: пароль: Задает выполнение привязки с использованием пароля, определенного ключом пароль. Если пароль не указан, он запрашивается у пользователя.

/?: Выводит справку по команде dsacls.

Синтаксис PermissionStatement

Для значений PermissionStatement используется следующий формат:

{пользователь | группа}:разрешения[;{тип_объекта | свойство}][;наследуемый_тип_объекта]

Параметры

{Пользователь | Группа}: Указывает пользователя или группу, к которым применяются данные права. Пользователь определяется различаемым именем, именем пользователь@домен или домен\пользователь. Группа определяется различающимся именем, именем группа@домен или домен\группа.

Разрешения: Введите одно или несколько значений в следующих таблицах (без пробелов).

Родовые разрешения

Значение	Описание
GR	Обычное чтение
GE	Обычное выполнение
GW	Обычная запись
GA	Все встроенные

Отдельные разрешения

Значение	Описание
SD	Удаление.
DT	Удаление объекта и его дочерних объектов.
RC	Чтение сведений по безопасности.
WD	Изменение сведений по безопасности.
WO	Изменение сведений о владельце.
LC	Список дочерних объектов для объекта.
CC	Создание дочернего объекта. Если параметр {ObjectType \| Property} не указывается для определения конкретного типа дочернего объекта, этот параметр применяется ко всем типам дочерних объектов; в противном случае он применяется к указанному типу дочернего объекта.
DC	Удаление дочернего объекта. Если параметр {ObjectType \| Property} не указывается для определения конкретного типа дочернего объекта, этот параметр применяется ко всем типам дочерних объектов; в противном случае он применяется к указанному типу дочернего объекта.
WS	Запись в объект. Имеет смысл только для объектов Group и если параметр {ObjectType \| Property} является "членом".
RP	Свойство чтения. Если параметр {ObjectType \| Property} не указывается для определения конкретного свойства, этот параметр применяется ко всем свойствам объекта; в противном случае он применяется к указанному свойству объекта.
WP	Свойство записи. Если параметр {ObjectType \| Property} не указывается для определения конкретного свойства, этот параметр применяется ко всем свойствам объекта; в противном случае он применяется к указанному свойству объекта.
CA	Право управления доступом. Если параметр {ObjectType \| Property} не указывается для определения конкретного расширенного права на управление доступом, он применяется ко всем значимым свойствам управления доступом для данного объекта; в противном случае он применяется к конкретному расширенному праву этого объекта.
LO	Доступ на включение в список. Может использоваться для предоставления доступа на вывод списка для конкретного объекта, если право List Children (LC) не предоставлено родителю. Может отменяться для конкретных объектов, чтобы скрыть их, если у пользователя или группы есть разрешение LC для родителя. Примечание По умолчанию это разрешение не установлено в Active Directory. Чтобы произвести проверку этого разрешения, необходимо соответствующим образом настроить Active Directory.

{ObjectType | Property}: Ограничивает разрешение указанным типом объекта или свойством. Введите отображаемое имя типа объекта или свойства. Если тип объекта или свойство не указаны, разрешение применяется ко всем типам объектов и свойствам. Например, следующая команда разрешает пользователю создавать все типы дочерних объектов: /G Domain\User:CC Следующая команда разрешает пользователю создавать только дочерние объекты компьютера: /G Domain\User:CC;computer

InheritedObjectType: Ограничивает наследование разрешения указанным типом объекта. Введите отображаемое имя типа объекта. Если тип объекта не указан, это разрешение может наследоваться всеми типами объектов. Этот параметр используется только в том случае, если разрешение является наследуемым. Например, следующая команда позволяет наследовать разрешение всем типам объектов: /G Domain\User:CC А эта команда позволяет наследовать разрешение только объектам пользователей: /G Domain\User:CC;;user

Примеры

SDRCWDWO;;user

Удаление, чтение сведений по безопасности. Изменение сведений по безопасности, изменение разрешения владельца на объекты с типом «пользователь».

CCDC;group;

Создание и удаление дочерних разрешений для создания и удаления объектов с типом «группа».

RPWP;telephonenumber;

Разрешение на чтение свойства и запись свойства для свойства телефонного номера.

Условные обозначения форматирования

Формат	Значение
Курсив	Сведения, вводимые пользователем
Полужирный	Элементы, вводимые без изменений
Многоточие (...)	Параметр может быть введен в командной строке несколько раз
В квадратных скобках ([])	Необязательные элементы
В фигурных скобках ({}), варианты разделены вертикальной линией (\|). Пример: {even\|odd}	Набор вариантов, из которых пользователю необходимо выбрать только один
Шрифт Courier	Программный код или данные, выводимые программой

Internal Server Error

The server encountered an internal error or misconfiguration and was unable to complete your request.

Please contact the server administrator at webmaster@systemmanager.forsenergy.ru to inform them of the time this error occurred, and the actions you performed just before this error.

Additionally, a 500 Internal Server Error error was encountered while trying to use an ErrorDocument to handle the request.