Dient zum Anzeigen oder ndern der Berechtigungen (Zugriffssteuerungslisten)
eines Active Directory-Domnendienste (AD DS)-Objekts.

DSACLS-Objekt [/I:TSP] [/N] [/P:YN] [/G <Gruppe/Benutzer>:<Berechtigungen>
              [...]] [/R <Gruppe/Benutzer> [...]]
              [/D <Gruppe/Benutzer>:<Berechtigungen> [...]]
              [/S] [/T] [/A] [/resetDefaultDACL] [/resetDefaultSACL]
              [/takeOwnership] [/user:<Benutzername>] [/passwd:<Kennwort> | *]
              [/simple]

   Objekt           Der Pfad zu dem AD DS-Objekt, fr das die Zugriffs-
                    steuerungslisten angezeigt oder gendert werden sollen.

   Der Pfad entspricht dem RFC 1779-Format des Namens. Beispiel:

       CN=Jens Mander,OU=Software,OU=Engineering,DC=Widget,DC=com

   Ein bestimmter AD DS kann angegeben werden, indem \\server[:Port]\
   vor dem Objekt platziert wird. Beispiel:

        \\ADSERVER\CN=Jens Mander,OU=Software,OU=Engineering,DC=Widget,DC=US

   Keine Optionen   Zeigt die Sicherheit fr das Objekt an.

   /I               Vererbungsflags:
                        T: Dieses Objekt und untergeordnete Objekte
                        S: Nur untergeordnete Objekte
                        P: Vererbbare Berechtigungen nur um eine Ebene
                           propagieren

   /N               Ersetzt den aktuellen Zugriff auf das Objekt
                    (anstelle einer Bearbeitung).

   /P               Objekt als geschtzt kennzeichnen:
                       Y: Ja
                       N: Nein
                    Ist die Option "/P" nicht vorhanden, wird das aktuelle
                    Schutzflag beibehalten.

   /G  <Gruppe/Benutzer>:<Berechtigungen>
                    Gewhrt der ausgewhlten Gruppe (oder dem ausgewhlten
                    Benutzer) die angegebenen Berechtigungen. Informationen
                    zum Format fr <Gruppe/Benutzer> und <Berechtigungen>
                    finden Sie weiter unten.

   /D  <Gruppe/Benutzer>:<Berechtigungen>
                    Verweigert der ausgewhlten Gruppe (oder dem ausgewhlten
                    Benutzer) die angegebenen Berechtigungen.
                    Informationen zum Format fr <Gruppe/Benutzer> und
                    <Berechtigungen> finden Sie weiter unten.

   /R  <Gruppe/Benutzer> Entfernt alle angegebenen Berechtigungen fr die
                    angegebene Gruppe (oder den angegebenen Benutzer).
                    Informationen zum Format fr <Gruppe/Benutzer> und
                    <Berechtigungen> finden Sie weiter unten.

   /S               Stellt fr das Objekt die Standardsicherheit wieder her,
                    die fr diese Objektklasse im Schema der AD DS definiert
                    ist. Diese Option kann verwendet werden,
                    wenn "dsacls" an NTDS gebunden ist. Verwenden Sie zum
                    Wiederherstellen der standardmigen Zugriffssteuerungs-
                    liste eines Objekts in AD LDS die Optionen
                    "/resetDefaultDACL" und "/resetDefaultSACL".

   /T               Stellt fr die Objektstruktur die Standardsicherheit
                    wieder her, die fr diese Objektklasse definiert ist.
                    Dieser Schalter kann ausschlielich mit der Option "/S"
                    verwendet werden.

   /A               Zeigt beim Anzeigen der Sicherheit fr ein AD DS-Objekt
                    die berwachungsinformationen sowie die Berechtigungs- und
                    Besitzerinformationen an.

  /resetDefaultDACL Stellt fr das Objekt die standardmige DACL wieder her,
                    die fr die Objektklasse im Schema der AD DS definiert
                    ist.

  /resetDefaultSACL Stellt fr das Objekt die standardmige SACL wieder her,
                    die fr diese Objektklasse im Schema der AD DS definiert
                    ist.

  /takeOwnership    Dient zum bernehmen der Besitzrechte fr das Objekt.

  /domain:<Domnenname> Stellt ber dieses Domnenkonto des Benutzers
                       eine Verbindung mit dem LDAP-Server her.

  /user:<Benutzername>  Stellt unter Verwendung dieses Benutzernamens eine
                    Verbindung mit dem LDAP-Server her. Wird diese
                    Option nicht verwendet, wird "dsacls" als aktuell
                    angemeldeter Benutzer unter Verwendung von SSPI gebunden.

  /passwd:<Kennwort> | * Das Kennwort fr das Benutzerkonto.

  /simple           Stellt mithilfe der einfachen LDAP-Bindung eine Bindung
                    mit dem Server her. Hinweis: Das Klartextkennwort wird
                    ber das Netzwerk gesendet.

   <Benutzer/Gruppe> muss in einem der folgenden Formate angegeben werden:
                "Gruppe@Domne" oder "Domne\Gruppe"
                "Benutzer@Domne" oder "Domne\Benutzer"
                Vollqualifizierter Domnenname des Benutzers oder der Gruppe
                Zeichenfolgen-SID

   <Berechtigungen> muss im folgenden Format angegeben werden:

        [Berechtigungskrzel];[Objekt/Eigenschaft];[Vererbter Objekttyp]

        Die Berechtigungskrzel knnen sich aus den folgenden Werten
        zusammensetzen:

        Allgemeine Berechtigungen
            GR      Lesen, allgemein
            GE      Ausfhren, allgemein
            GW      Schreiben, allgemein
            GA      Alles, allgemein

       Spezifische Berechtigungen
            SD      Lschen
            DT      Objekt und dessen untergeordnete Elemente lschen
            RC      Sicherheitsinformationen lesen
            WD      Sicherheitsinformationen ndern
            WO      Besitzerinformationen ndern
            LC      Untergeordneten Elemente eines Objekts auflisten

            CC      Untergeordnetes Element erstellen
            DC      Untergeordnetes Element lschen
                    Fr diese beiden Berechtigungen gilt: Ist mithilfe von
                    [Objekt/Eigenschaft] kein bestimmter Typ fr unter-
                    Geordnete Objekte angegeben, werden die Berechtigungen auf
                    alle Typen untergeordneter Objekte angewendet.
                    Andernfalls gelten sie lediglich fr den angegebenen Typ.

            WS      Selbst schreiben (auch: Besttigter Schreibvorgang).
                    Besttigte Schreibvorgnge sind in drei Arten unterteilt:
                       Self-Membership (bf9679c0-0de6-11d0-a285-00aa003049e2)
                       Wird auf ein Gruppenobjekt angewendet und ermglicht
                       das Aktualisieren der Mitgliedschaft einer Gruppe
                       (Hinzufgen oder Entfernen aus dem eigenen Konto).
                    Beispiel: (WS; bf9679c0-0de6-11d0-a285-00aa003049e2; AU)
                    Wird auf die Gruppe X angewendet und ermglicht einem
                    authentifizierten Benutzer, sich selbst (aber keine
                    anderen Benutzer) der Gruppe X hinzuzufgen oder daraus zu
                    entfernen.

                      Validated-DNS-Host-Name
                       (72e39547-7b18-11d1-adef-00c04fd8d5cd)
                       Wird auf ein Computerobjekt angewendet. Ermglicht das
                       Aktualisieren des DNS-Hostnamenattributs, das mit dem
                       Computer- und Domnennamen konform ist.
                       Validated-SPN (f3a64788-5306-11d1-a9c5-0000f80367c1)
                      Wird auf ein Computerobjekt angewendet. Ermglicht das
                       Aktualisieren des SPN-Attributs, das mit dem DNS-
                       Hostnamen des Computers konform ist.
            WP      Eigenschaft schreiben
            RP      Eigenschaft lesen
                    Fr diese beiden Berechtigungen gilt: Ist mithilfe von
                    [Objekt/Eigenschaft] keine bestimmte Eigenschaft
                    angegeben, werden die Berechtigungen auf alle Eigen-
                    schaften des Objekts angewendet. Andernfalls gelten sie
                    lediglich fr die spezifische Eigenschaft des Objekts.

            CA      Zugriffssteuerungsrecht
                    Fr diese Berechtigung gilt: Ist mithilfe von
                    [Objekt/Eigenschaft] kein bestimmtes erweitertes Recht fr
                    die Zugriffssteuerung angegeben, wird die Berechtigung auf
                    alle zutreffenden Zugriffssteuerungen des Objekts
                    angewendet. Andernfalls wird die Berechtigung lediglich
                    auf das fr das Objekt angegebene erweiterte Recht
                    angewendet.

            LO      Objektzugriff auflisten. Kann verwendet werden, um
                    Listenzugriff auf ein bestimmtes Objekt zu gewhren,
                    wenn dem bergeordneten Element die Berechtigung zum
                    Auffhren untergeordneter Elemente (List Children, LC)
                    nicht gewhrt wurde. Kann auch fr bestimmte Objekte
                    verweigert werden, um diese Objekte auszublenden, wenn der
                    Benutzer/die Gruppe nicht ber eine LC-Berechtigung fr
                    das bergeordnete Element verfgt.
                    HINWEIS: Diese Berechtigung wird NICHT standardmig von

                   AD DS erzwungen, sondern muss konfiguriert werden, damit
                    eine berprfung der Berechtigung vorgenommen wird.

        Bei [Objekt/Eigenschaft] muss es sich um den Anzeigenamen des
        Objekttyps oder der Eigenschaft handeln.
        Beispiel: "user" ist der Anzeigename fr Benutzerobjekte,
        "telephonenumber" ist der Anzeigename fr die entsprechende
        Eigenschaft.

        Bei [Vererbter Objekttyp] muss es sich um den Anzeigenamen des Objekt-
        typs handeln, auf den die Berechtigungen bertragen werden sollen.
        Die Berechtigungen mssen mit "Nur Vererbung" versehen sein.

        HINWEIS: Darf nur beim Definieren objektspezifischer Berechtigungen
        verwendet werden, von denen die im Schema der AD DS definierten
        Standardberechtigungen fr den Objekttyp auer Kraft gesetzt werden.
        VERWENDEN SIE DIESE OPTIONEN MIT BEDACHT und NUR DANN, wenn Sie mit
        dem Konzept objektspezifischer Berechtigungen vertraut sind.


        Beispiele fr gltige <Berechtigungen>:

        SDRCWDWO;;user
        bedeutet:
        Lschen, Sicherheitsinformationen lesen, Sicherheitsinformationen
        ndern und Besitzrechte fr Objekte vom Typ "user" ndern.


        CCDC;group;
        bedeutet:
        Untergeordnetes Element erstellen und untergeordnete Berechtigungen
        lschen, um Objekte vom Typ "group" zu erstellen oder zu lschen.

        RPWP;telephonenumber;
        bedeutet:
        Berechtigungen "Eigenschaft lesen" und "Eigenschaft schreiben" fr die
        telephonenumber-Eigenschaft.

Ein Befehl kann mehrere Benutzer enthalten.
Der Befehl wurde erfolgreich ausgefhrt.
