A Dsacls megjeleníti és változtatja a jogosultságokat, a hozzáférési bejegyzéseket az ADAM objektumok hozzáférési listájában.
Az ACE-knek (Access Control Entry – hozzáférés vezérlő bejegyzés), amelyeket a dsacls segítségével veszünk fel, objektum-specifikus jogosultságúnak kell lenniük, amelyek felülbírálják az alapértelmezett partíció jogosultságait, amelyek az ADAM sémában vannak definiálva. Ne vegyünk fel ACE-t, mielőtt nem informálódtunk kellőképpen az ADAM objektumok biztonságáról.
Ha egy objektumot újabb paraméterek nélkül adunk meg, a dsacls megjeleníti az ACL (Access Control List – hozzáférés vezérlő lista) ACE bejegyzéseit.
Szintaxis
dsacls "[\\Computer\]ObjectDN" [/A]
[/D PermissionStatement [PermissionStatement]]
[/G PermissionStatement [PermissionStatement]]
[/I:{T | S | P}] [/N] [/P:{Y | N}] [/R {User | Group}
[{User | Group}]...] [/S [/T]] [/resetDefaultACL]
[/resetDefaultSACL] [/takeOwnership] [/simple]
[/domain: domain] [/user: username]
[/passwd: {password | * }] [/?]
Paraméterek
- "[\\Gép\]Objektumleírónév"
Azonosítja az Active Directory objektumot vizsgálatra. Adjuk meg az objektum megkülönböztető nevét. Ha távoli gépen található objektumot akarunk azonosítani, akkor adjuk meg elé a gépnevet.
Például:
"CN=Bob,CN=Users,DC=domain,DC=test,DC=microsoft,DC=com"
Vagy:
"\\Server01\CN=Bob,CN=Users,DC=domain,DC=test,DC=microsoft,DC=com"
Tulajdonosi és felülvizsgálati információkat mutat a képernyőn.
- /D Jogosultságutasítás [Jogosultságutasítás]...
Letiltja a megadott jogosultságot egy felhasználó vagy egy csoport számára.
Több felhasználónak is letilthatjuk a jogosultságát egy /D paranccsal.
Például:
/D Domain1\User1:CCDC Domain1\User2:DC;computer
- /G Jogosultságutasítás [Jogosultságutasítás]...
Jogosultsággal lát el egy megadott felhasználót vagy csoportot.
Jogosultságot egyszerre több felhasználónak is adhatunk egy /G paranccsal.
Például:
/G Domain1\User1:CCDC Domain1\User2:DC;computer
Megadja, hogy mely objektumokra legyen érvényes a jogosultság. Ez az objektum határozza meg, hogy a jogosultság öröklődhet-e. A T az alapértelmezett.
| Érték |
Leírás |
| T |
Ez az objektum és az alatta lévő objektumok |
| S |
Csak az alatta lévő objektumok |
| P |
Csak egy szintre terjed ki a jogosultság öröklődése |
Biztosítja, hogy a megadott ACE lecseréli az ACE-ket az ACL listában. Alapértelmezésben az ACE csak hozzáadódik a listához.
Meghatározza, hogy vajon egy objektum védett-e és ezáltal nem örökölhet jogosultságot a szülő objektumtól. Ha elhagyjuk ezt a paramétert, akkor az öröklődési tulajdonság nem változik. Az Y érték védettséget jelent, az N érték az ellenkezőjét.
Ez a paraméter egy tulajdonságot változtat az objektumon, nem egy ACE-t. Ahhoz, hogy eldöntsük, hogy egy ACE öröklődhet-e, használjuk a /I paramétert.
- /R {User | Group} [{User | Group}]...
Töröl minden ACE-t a megadott felhasználóhoz vagy csoporthoz.
A felhasználó megadható User@Domain vagy Domain\User formában; csoport pedig Group@Domain vagy Domain\Group formában.
Törölhetjük az ACE-ket több felhasználóhoz vagy csoporthoz is egy /R paraméter segítségével.
Például:
/R Domain1\User1 Domain1\User2
Visszaállítja a biztonságot az objektumon az osztály szerinti alapértelmezettre, az AD sémában definiált módon.
Visszaállítja a biztonságot az objektumfán az alapértelmezettre minden objektumosztályhoz. Ez a paraméter csak a /S paraméterrel valós.
Az objektumosztály sémadefiníciója alapján visszaállítja az DACL-t az objektumon az alapértelmezett beállításra.
Az objektumosztály sémadefiníciója alapján visszaállítja az SACL-t az objektumon az alapértelmezett beállításra.
Átveszi az objektum tulajdonjogát az azonosító, amelynek nevében a Dsacls fut.
Megadja, hogy szimpla LDAP bekötéssel éri el a címtár-szervert.
A címtár eléréséhez szükséges azonosító tartománya.
A címtár eléréséhez szükséges azonosító megadása.
Jelszót adhatunk meg, amellyel a címtár-szervert el tudjuk érni. A paraméter hiánya esetén a felhasználó címsorban kell, hogy megadja a jelszót.
Help-et jelenít meg.
A Jogosultságutasítás szintaxisa
A jogosultságutasítás értékek a következő formátumot használják:
{User | Group}:Permissions[;{ObjectType | Property}][;InheritedObjectType]
Paraméterek
Megadja a felhasználót, vagy a csoportot, akire a jog vonatkozik. Felhasználó megadható megkülönböztető név segítségével, User@Domain vagy Domain\User módon. Csoport megadható szintén DN, Group@Domain vagy Domain\Group szintaxissal.
Adjunk meg egy vagy több értéket az alábbi táblából (szóközök nélkül).
Gyűjtő jogosultságok
| Érték |
Leírás |
| GR |
Gyűjtő olvasás |
| GE |
Gyűjtő futtatás |
| GW |
Gyűjtő írás |
| GA |
Gyűjtő minden |
Speciális jogosultságok
| Érték |
Leírás |
| SD |
Törlés |
| DT |
Töröl egy objektumot és minden gyermekét |
| RC |
Biztonsági információt olvas |
| WD |
Biztonsági információt változtat |
| WO |
Tulajdonjogi információt változtat |
| LC |
Listázza egy objektum gyermekeit |
| CC |
Létrehoz egy gyermekobjektumot. Ha az {ObjectType | Property} nem megadott, hogy definiáljon egy meghatározott gyermekobjektum típust, ez valamennyi típusú gyermekobjektumra vonatkozik; ellenben ez a megadott gyermekobjektum típusra vonatkozik. |
| DC |
Töröl egy gyermekobjektumot. Ha az {ObjectType | Property} nem megadott, lásd egyel feljebb. |
| WS |
Saját objektumba íródik. Ez csak csoportobjektumoknál hatásos és amikor {ObjectType | Property} egy tag. |
| RP |
Tulajdonság olvasás. Ha az {ObjectType | Property} nem megadott, lásd fentebb. |
| WP |
Tulajdonság írás. Ha az {ObjectType | Property} nem megadott, lásd fentebb. |
| CA |
Hozzáférési jog vezérlése. Ha az {ObjectType | Property} nem megadott, hogy definiáljon egy meghatározott kiterjesztett jogot a vezérlési hozzáféréshez, akkor ez valamennyi hatásos objektumra vonatkozik; ellenben ez a megadott kiterjesztett jogra vonatkozik az objektumon. |
| LO |
Listázza az objektum-hozzáférést. Arra használható, hogy listázási hozzáférést adjon egy speciális objektumhoz, ha az LC (gyermeklista) nem engedélyezett a szülőnek. Szintén tiltott lehet speciális objektumokon, hogy elrejtse ezeket az objektumokat, ha a felhasználónak vagy csoportnak LC jogosultsága van a szülőn. Az AD alapesetben nem érvényesíti ezt a jogot. Úgy kell beállítani az Active Directory-t, hogy ezt megtegye. |
Korlátozza a jogosultságot a megadott objektumtípusra vagy -tulajdonságra. Írjuk be az objektumtípus vagy a -tulajdonság megjelenítési nevét. Ha egy objektumtípus vagy -tulajdonság nem megadott, a jogosultság minden objektumtípusra és -tulajdonságra vonatkozik.
Például, a következő parancs engedélyezi a felhasználónak, hogy létrehozzon valamennyi típusú gyermekobjektumokat:
Habár a következő parancs engedélyezi a felhasználónak, hogy csak gyermek gép-objektumokat hozzon létre:
/G Domain\User:CC;computer
Korlátozza a jogosultság öröklődését egy objektum speciális típusához. Adjuk meg az objektumtípus megjelenítési nevét. Ha egy objektumtípus nem megadott, a jogosultság öröklődhet valamennyi objektumtípus által. Ez a paraméter csak akkor használható, amikor a jogosultság örökíthető.
Például az alábbi parancs lehetővé teszi valamennyi típusú objektumnak, hogy örökölje a jogosultságot:
Habár a következő parancs csak a felhasználói objektumoknak engedélyezi a jogosultság öröklődését:
Példák
Törlés és biztonsági információ olvasás.
Change security information and change ownership permissions on objects of the type "user."
Gyermek létrehozása és törlése jogok, hogy létrehozzunk, vagy töröljük csoport típusú objektumot.
Olvasás tulajdonság és írás tulajdonság jogok a telefonszám tulajdonságon.