Exporter (0) Imprimer
Développer tout
Arp
At
Cd
Cls
Cmd
Del
Dir
Fc
For
Ftp
If
Ldp
Lpq
Lpr
Md
Mmc
Msg
Nlb
Rcp
Rd
Reg
Rem
Ren
Rsh
Rsm
Rss
Sc
Set
Sfc
Ver
Vol
Développer Réduire
Cet article a fait l'objet d'une traduction automatique. Déplacez votre pointeur sur les phrases de l'article pour voir la version originale de ce texte. Informations supplémentaires.
Traduction
Source

DSACLS

Affiche les autorisations et (entrées de contrôle d'accès) dans l'accès contrôlent liste (ACL) des objets dans les Services de domaine Active Directory (AD DS).

DSACLS est un outil de ligne de commande qui est intégré à Windows Server 2008. Il est disponible si vous avez installé le rôle de serveur AD DS. Pour utiliser dsacls, vous devez exécuter la commande dsacls à partir d'une invite de commandes avec élévation de privilèges. Pour ouvrir une invite de commandes avec élévation de privilèges, cliquez sur Démarrer, cliquez droit sur invite de commandeet puis cliquez sur Exécuter en tant qu'administrateur.

Pour obtenir des exemples d'utilisation de cette commande, voir des exemples.

DSACLS est l'équivalent de ligne de commande de l'onglet sécurité dans la boîte de dialogue propriétés pour un objet Active Directory dans des outils tels que les ordinateurs et utilisateurs Active Directory. Vous pouvez utiliser l'outil pour afficher et modifier les autorisations pour un objet Active Directory.

Cc771151.note(fr-fr,WS.10).gif Remarque
Les entrées de contrôle d'accès (ACE) que vous ajoutez à l'aide de dsacls doivent être des autorisations spécifiques à un objet qui remplacent les autorisations par défaut qui sont définies dans le schéma Active Directory pour ce type d'objet. N'ajoutez pas d'ACE, sauf si vous êtes éclairées sur la sécurité des objets Active Directory.

Pour afficher une liste ACL, l'utilisateur doit avoir autorisations de lecture sur les objets Active Directory. Pour modifier une liste ACL, l'utilisateur doit disposer des autorisations d'écriture sur l'objet Active Directory.

Syntaxe



DSACLS "[\ \\ <Computer>] <ObjectDN>" [/ A] [/D <PermissionStatement>[<PermissionStatement>]...] [/G <PermissionStatement>[<PermissionStatement>]...] [/ I: {T | S | P}] [/ N] [/ P: {Y | N}] [/ r {<User>| <Group>} [{<User>| <Group>}]...] [/S [/ T]] [/?]

Paramètres

Si vous spécifiez un objet sans paramètres supplémentaires, Dsacls affiche les ACE dans la liste ACL.

Paramètre Description

« [\\ <Computer> \] <ObjectDN> »

Identifie l'objet Active Directory à étudier. Tapez le nom unique de l'objet. Pour spécifier un objet sur un ordinateur distant, tapez ce nom d'ordinateur suivi du nom unique. Ce paramètre doit être placé entre guillemets. Par exemple :

"CN=Jeff Akers,CN=Users,DC=domain,DC=test,DC=contoso,DC=com" 

ou

"\\Server01\CN=Jeff Akers,CN=Users,DC=domain,DC=test,DC=contoso,DC=com"

/A

Ajoute le propriétaire et les informations d'audit pour les résultats.

/D

Refuse les autorisations que vous spécifiez à l'utilisateur ou groupe.

Vous pouvez refuser des autorisations à plusieurs utilisateurs dans chaque commande /D , par exemple :

/D Domain1\User1:CCDC Domain1\User2:DC;computer

Pour plus d'informations, consultez PermissionStatement[PermissionStatement] [PermissionStatement]

/ G

Accorde les autorisations que vous spécifiez à l'utilisateur ou groupe.

Vous pouvez accorder des autorisations à plusieurs utilisateurs dans chaque commande/g , par exemple :

/G Domain1\User1:CCDC Domain1\User2:DC;computer

Pour plus d'informations, consultez PermissionStatement[PermissionStatement] [PermissionStatement]

/ I: {T | S | P}

Spécifie les objets auxquels vous appliquez les autorisations. Ce paramètre détermine si les autorisations sont héritées. T est la valeur par défaut.

  • T: l'objet et ses objets enfants

  • S: uniquement des objets de l'enfant

  • P: l'objet et les objets enfants à un niveau uniquement (propager les autorisations pouvant être héritées à un niveau seulement)

/N

Assure que l'ACE spécifié remplace l'ACE en cours dans la liste ACL. Par défaut, dsacls ajoute l'ACE à l'ACL.

/ P: {Y | N}

Détermine si l'objet peut hériter des autorisations à partir de ses objets parents. Si vous omettez ce paramètre, les propriétés d'héritage de l'objet restent inchangées.

  • Y: l'objet est protégé et ne peut pas hériter des autorisations.

  • N: l'objet n'est pas protégé et peut hériter des autorisations.

Cc771151.note(fr-fr,WS.10).gif Remarque
Ce paramètre modifie une propriété de l'objet, pas d'une entrée ACE. Pour spécifier si une ACE pouvant être héritée, utilisez le paramètre /I .

{<User> /R| <Group>} [{<User>| <Group>}].

Supprime toutes les ACE pour les utilisateurs ou groupes que vous spécifiez. Vous pouvez spécifier des utilisateurs sous la forme utilisateur@domaine ou domaine\utilisateur. Vous pouvez spécifier le groupe en tant que groupe@domaine ou domaine\groupe.

Vous pouvez supprimer des ACE pour plusieurs utilisateurs et groupes dans un seul paramètre/r , par exemple :

/R Domain1\User1 Domain1\User2

/S

Restaure la sécurité de l'objet à la valeur par défaut pour cette classe d'objet tel que défini dans le schéma Active Directory.

/T

Restaure la sécurité dans l'arborescence d'objets à la valeur par défaut pour chaque classe d'objet. Ce paramètre est valide uniquement avec le paramètre /S .

/?

Affiche l'aide à l'invite de commande.

Syntaxe de PermissionStatement



{<User>| <Group>}: <Permissions> [; {<ObjectType>| <Property>}] [; <InheritedObjectType>]

Paramètres

Paramètre Description

{<User>| <Group>}

Spécifie l'utilisateur ou le groupe auquel ils s'appliquent. Vous pouvez spécifier l'utilisateur comme utilisateur@domaine ou domaine\utilisateur. Vous pouvez spécifier le groupe comme groupe@domaine ou domaine\groupe.

<Permissions>

Spécifie le type d'autorisations que vous appliquez. Vous pouvez spécifier une ou plusieurs des valeurs suivantes (sans espaces).

Autorisations génériques

  • GR: lecture générique

  • GE: exécution générique

  • GW: écriture générique

  • GA: générique pour tout

Autorisations spécifiques

  • SD: supprimer un objet.

  • DT: supprimer un objet et tous ses objets enfants.

  • RC: lire les informations de sécurité.

  • WD: modifier les informations de sécurité.

  • WO: modifier des informations sur le propriétaire.

  • LC: Lister les objets enfants de l'objet.

  • CC: créer un objet enfant.

    Si vous ne spécifiez pas {ObjectType | Propriété} Pour définir un type d'objet enfant spécifique, cette autorisation s'applique à tous les types d'objets enfants ;Sinon, elle s'applique uniquement au type d'objet enfant que vous spécifiez.

  • DC: supprimer un objet enfant.

    Si vous ne spécifiez pas {ObjectType | Propriété} Pour définir un type d'objet enfant spécifique, cette autorisation s'applique à tous les types d'objets enfants ;Sinon, elle s'applique uniquement au type d'objet enfant que vous spécifiez.

  • WS: écrire dans un objet self.

    Ceci a une signification uniquement sur les objets groupe et quand {ObjectType | Propriété} est un « membre ».

  • RP: lire une propriété.

    Si vous ne spécifiez pas {ObjectType | Propriété} Pour définir une propriété spécifique, cette autorisation s'applique à toutes les propriétés de l'objet ;Sinon, elle s'applique uniquement à la propriété de l'objet que vous spécifiez.

  • WP: écrire dans une propriété.

    Si vous ne spécifiez pas {ObjectType | Propriété} Pour définir une propriété spécifique, cette autorisation s'applique à toutes les propriétés de l'objet ;Sinon, elle s'applique uniquement à la propriété de l'objet que vous spécifiez.

  • Autorité de certification: contrôler l'accès.

    Si vous ne spécifiez pas {ObjectType | Propriété} Pour définir l'étendue vers la droite pour contrôler l'accès en question, cette autorisation s'applique à tous les accès de contrôle significatif sur l'objet ;dans le cas contraire, elle s'applique uniquement à l'étendue vers la droite de cet objet en question.

  • LO: l'accès aux objets de la liste.

    Vous pouvez utiliser cette autorisation pour accorder l'accès à un objet spécifique à la liste si la liste des enfants (LC) n'est pas aussi accordé à l'objet parent. Vous pouvez également utiliser cette autorisation à refuser l'accès à un objet pour masquer un objet si l'utilisateur ou le groupe a l'autorisation de LC sur l'objet parent de la liste.

    Cc771151.note(fr-fr,WS.10).gif Remarque
    Les services AD DS n'applique pas cette autorisation par défaut. Vous devez configurer les services AD DS pour vérifier cette autorisation.

{<ObjectType>| <Property>}

Limite l'autorisation à la propriété ou le type d'objet spécifié. Entrez le nom complet de la propriété ou le type d'objet. Si vous ne spécifiez pas un type d'objet ou une propriété, l'autorisation s'applique à tous les types d'objets et propriétés.

Par exemple, la commande suivante autorise l'utilisateur à créer tous les types d'objets enfants :

/G Domain\User:CC

En revanche, la commande suivante permet à l'utilisateur de créer uniquement des objets ordinateur enfant :

/G Domain\User:CC;computer

<InheritedObjectType>

Héritage des limites de l'autorisation pour le type d'objet spécifié. Entrez le nom complet du type d'objet. Si vous ne spécifiez pas un type d'objet, tous les types d'objets peuvent hériter les autorisations. Vous pouvez utiliser ce paramètre uniquement lorsque les autorisations sont héritées.

Par exemple, la commande suivante autorise tous les types d'objets héritent de l'autorisation :

/G Domain\User:CC

En revanche, la commande suivante autorise uniquement les objets utilisateur héritent de l'autorisation :

/G Domain\User:CC;;user

Exemples

Pour accorder l'autorisation à supprimer, lire les informations de sécurité, modifier les informations de sécurité et modifier les autorisations de propriétaire sur un objet utilisateur, type :



SDRCWDWO ;utilisateur

Pour accorder l'autorisation de créer des objets enfants et supprimer des objets enfants d'un objet de groupe, tapez :



CCDC ; groupe ;

Pour accorder des autorisations à la propriété de lire et écrire des valeurs de propriété sur une propriété Telephonenumber, tapez :



RPWP ; telephonenumber ;

Références supplémentaires

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Microsoft réalise une enquête en ligne pour recueillir votre opinion sur le site Web de MSDN. Si vous choisissez d’y participer, cette enquête en ligne vous sera présentée lorsque vous quitterez le site Web de MSDN.

Si vous souhaitez y participer,
Afficher:
© 2014 Microsoft