Exportar (0) Imprimir
Expandir Tudo
Arp
At
Cd
Cls
Cmd
Del
Dir
Fc
For
Ftp
If
Ldp
Lpq
Lpr
Md
Mmc
Msg
Nlb
Rcp
Rd
Reg
Rem
Ren
Rsh
Rsm
Rss
Sc
Set
Sfc
Ver
Vol
Expandir Minimizar
Este artigo foi traduzido por máquina. Coloque o ponteiro do mouse sobre as frases do artigo para ver o texto original. Mais informações.
Tradução
Original

DSACLS

Exibe e altera as permissões (entradas de controle de acesso) no acesso controlem lista (ACL) dos objetos nos serviços de domínio Active Directory (AD DS).

Dsacls é uma ferramenta de linha de comando incluída no Windows Server 2008. Está disponível se você tiver a função de servidor AD DS instalada. Para usar dsacls, você deve executar o comando dsacls em um prompt de comando elevado. Para abrir um prompt de comando elevado, clique em Iniciar, clique com o botão direito Prompt de comandoe clique em Executar como administrador.

Para obter exemplos de como usar esse comando, consulte exemplos.

Dsacls é o equivalente de linha de comando da guia segurança na caixa de diálogo deformato p para um objeto do Active Directory em ferramentas como o Active Directory Users and Computers. Você pode usar qualquer ferramenta para exibir e alterar as permissões de objeto do Active Directory.

Cc771151.note(pt-br,WS.10).gif Observação
As entradas de controle de acesso (ACEs) que você adiciona utilizando dsacls devem ser permissões específicas de objeto que substituem as permissões padrão que são definidas no esquema do Active Directory para esse tipo de objeto. Não adicione ACEs são bem informadas sobre segurança para objetos do Active Directory.

Para exibir uma ACL, o usuário deve ter leitura permissões em objetos do Active Directory. Para alterar uma ACL, o usuário deve ter permissões de gravação no objeto do Active Directory.

Sintaxe



DSACLS "[\ \ <Computer> \] <ObjectDN>" [/a] [/D <PermissionStatement>[<PermissionStatement>]...] [/G <PermissionStatement>[<PermissionStatement>]...] [/ I: {T | S | P}] [/N] [/ P: {Y | N}] [/R {<User>| <Group>} [{<User>| <Group>}]...] [/S [/T]] [/?]

Parâmetros

Se você especificar um objeto sem parâmetros adicionais, Dsacls exibirá as ACEs na ACL.

Parâmetro Descrição

"[\ \ <Computer> \] <ObjectDN>"

Identifica o objeto do Active Directory para investigar. Digite o nome distinto do objeto. Para especificar um objeto em um computador remoto, digite o nome desse computador seguido pelo nome distinto. Este parâmetro deve ser colocado entre aspas. Por exemplo:

"CN=Jeff Akers,CN=Users,DC=domain,DC=test,DC=contoso,DC=com" 

ou

"\\Server01\CN=Jeff Akers,CN=Users,DC=domain,DC=test,DC=contoso,DC=com"

/A

Adiciona informações de auditoria e propriedade para os resultados.

/D

Nega permissões que você especificar para o usuário ou grupo.

Você pode negar permissões para vários usuários em cada comando /D , por exemplo:

/D Domain1\User1:CCDC Domain1\User2:DC;computer

Para obter mais informações, consulte PermissionStatement[PermissionStatement] [PermissionStatement]

/G

Concede as permissões que você especificar para o usuário ou grupo.

Você pode conceder permissões para vários usuários em cada comando /G , por exemplo:

/G Domain1\User1:CCDC Domain1\User2:DC;computer

Para obter mais informações, consulte PermissionStatement[PermissionStatement] [PermissionStatement]

/ I: {T | S | P}

Especifica os objetos aos quais você estiver aplicando as permissões. Esse parâmetro determina se as permissões são herdadas. T é o padrão.

  • T: O objeto e seus objetos filho

  • S: somente os objetos filho

  • P: O objeto e os objetos filho a um só nível (propagar permissões herdáveis para apenas um nível)

/N

Fornece a ACE especificada substitui o atuais ACEs na ACL. Por padrão, o dsacls adiciona ACE à ACL.

/ P: {Y | N}

Determina se o objeto pode herdar permissões de seus objetos pai. Se você omitir esse parâmetro, não alteram as propriedades de herança do objeto.

  • Y: O objeto está protegido e não pode herdar permissões.

  • N: O objeto não está protegido e pode herdar permissões.

Cc771151.note(pt-br,WS.10).gif Observação
Este parâmetro altera uma propriedade do objeto, e não de uma ACE. Para especificar se uma ACE é herdável, use o parâmetro /I .

/R {<User>| <Group>} [{<User>| <Group>}].

Exclui todas as ACEs para usuários ou grupos que você especificar. Você pode especificar o usuário como usuário @ domínio ou domínio \ usuário. Você pode especificar o grupo como Group@Domain ou domínio \ grupo.

Você pode excluir as ACEs para vários usuários e grupos em um único parâmetro /R , por exemplo:

/R Domain1\User1 Domain1\User2

/S

Restaura a segurança no objeto padrão para essa classe de objeto, conforme definido no esquema do Active Directory.

/T

Restaura a segurança na árvore de objetos para o padrão para cada classe de objeto. Este parâmetro é válido somente com o parâmetro /S .

/?

Exibe a Ajuda no prompt de comando.

Sintaxe para PermissionStatement



{<User>| <Group>}: <Permissions> [; {<ObjectType>| <Property>}] [; <InheritedObjectType>]

Parâmetros

Parâmetro Descrição

{<User>| <Group>}

Especifica o usuário ou grupo ao qual os direitos se aplicam. Você pode especificar usuário@ domínio @ domínio ou domínio \ usuário. Você pode especificar o grupo como Group@Domain ou domínio \ grupo.

<Permissions>

Especifica o tipo de permissões que você está aplicando. Você pode especificar um ou mais dos seguintes valores (sem espaços).

Permissões genéricas

  • GR: leitura genérica

  • GE: executar genérico

  • GW: gravação genérica

  • GA: todos genéricos

Permissões específicas

  • SD: excluir um objeto.

  • DT: excluir um objeto e todos os seus objetos filho.

  • RC: ler informações de segurança.

  • WD: alterar informações de segurança.

  • WO: alterar informações de proprietário.

  • LC: lista os objetos filho do objeto.

  • CC: criar um objeto filho.

    Se você não especificar {ObjectType | Propriedade} Para definir um tipo de objeto filho específico, essa permissão se aplica a todos os tipos de objetos filho;Caso contrário, ele se aplica somente ao tipo de objeto filho que você especificar.

  • DC: excluir um objeto filho.

    Se você não especificar {ObjectType | Propriedade} Para definir um tipo de objeto filho específico, essa permissão se aplica a todos os tipos de objetos filho;Caso contrário, ele se aplica somente ao tipo de objeto filho que você especificar.

  • WS: gravar um objeto self.

    Isso é significativo apenas em objetos de grupo e quando {ObjectType | Propriedade} é um "membro".

  • RP: uma propriedade de leitura.

    Se você não especificar {ObjectType | Propriedade} Para definir uma propriedade específica, essa permissão se aplica a todas as propriedades do objeto;Caso contrário, ele se aplica somente à propriedade do objeto que você especificar.

  • WP: gravar uma propriedade.

    Se você não especificar {ObjectType | Propriedade} Para definir uma propriedade específica, essa permissão se aplica a todas as propriedades do objeto;Caso contrário, ele se aplica somente à propriedade do objeto que você especificar.

  • CA: controlar o acesso.

    Se você não especificar {ObjectType | Propriedade} Para definir específicas estendida para controle de acesso, essa permissão se aplica a todos os acessos de controle significativo sobre o objeto;Caso contrário, ele se aplica somente para o específico estendido à direita para o objeto.

  • LO: o acesso a objetos de lista.

    Você pode usar essa permissão para conceder acesso de lista para um objeto específico se lista filhos (LC) também não é concedido para o objeto pai. Você também pode usar essa permissão para negar acesso para listar um objeto para ocultar um objeto se o usuário ou grupo tiver LC permissão no objeto pai.

    Cc771151.note(pt-br,WS.10).gif Observação
    AD DS não impõe essa permissão por padrão. Você deve configurar o AD DS para verificar essa permissão.

{<ObjectType>| <Property>}

Limita a permissão para o tipo de objeto especificado ou a propriedade. Digite o nome da propriedade ou o tipo de objeto de exibição. Se você não especificar um tipo de objeto ou propriedade, a permissão se aplica a todos os tipos de objetos e propriedades.

Por exemplo, o seguinte comando permite ao usuário criar todos os tipos de objetos filho:

/G Domain\User:CC

Em contraste, o seguinte comando permite ao usuário criar apenas objetos de computador do filho:

/G Domain\User:CC;computer

<InheritedObjectType>

Limita a herança de permissão para o tipo de objeto especificado. Insira o nome de exibição do tipo de objeto. Se você não especificar um tipo de objeto, todos os tipos de objeto podem herdar a permissão. Você pode usar este parâmetro somente quando as permissões são herdadas.

Por exemplo, o seguinte comando permite que todos os tipos de objetos para herdar a permissão:

/G Domain\User:CC

Em contraste, o comando a seguir permite que apenas os objetos de usuário para herdar a permissão:

/G Domain\User:CC;;user

Exemplos

Para conceder a permissão para excluir, ler informações de segurança, alterar informações de segurança e alterar permissões em um objeto de usuário, tipo de propriedade:



SDRCWDWO;usuário

Para conceder permissão para criação de objetos filho e excluir objetos filho de um objeto de grupo, digite:



CCDC; grupo;

Para conceder permissões a propriedade de ler e gravar valores de propriedade em uma propriedade Telephonenumber, digite:



RPWP; telephonenumber;

Referências adicionais

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
A Microsoft está realizando uma pesquisa online para saber sua opinião sobre o site do MSDN. Se você optar por participar, a pesquisa online lhe será apresentada quando você sair do site do MSDN.

Deseja participar?
Mostrar:
© 2014 Microsoft