Dsacls – Cambiare i Permessi sugli Oggetti Active Directory

Dsacls, incluso nei support tools di Windows, è uno strumento eseguibile da linea di comando che permette di visualizzare e modificare i permessi impostati su un oggetto Active Directory.

La sintassi del comando è la seguente
dsacls oggetto [/a] [/d {user | group}:permissions [..]] [/g {user | group}:permissions [..]] [/i:{p | s | t}] [/n] [/p:{y | n}] [/r {user | group} [..]] [/s [/t]]
oggetto – Specifica il distinguished name dell’oggetto di cui visualizzare i permessi.
/a – Visualizza le informazioni relative all’ownership e all’audit dell’oggetto,
/d {user | group}:permissions – Nega il permesso specificato all’utente o al gruppo indicato come parametro.
/g {user | group}:permissions – Assegna il permesso specificato all’utente o al gruppo indicato come parametro.
/i:{p | s | t} – Imposta l’inheritance sull’oggetto a seconda del parametro
p – I permessi vengono applicati solo all’oggetto
s – I permessi vengono applicati solo ai sotto oggetti
t – I permessi vengono applicati all’oggetto e ai sotto oggetti
/n – Sostituisce i permessi con quelli indicati invece che modificarli.
/p:{y | n} – Specifica se l’oggetto deve prendere i permessi degli oggetti superiori
/r {user | group} – Elimina tutti i permessi per l’utente o il gruppo specificati.
/s – Ripristina i permessi di default sull’oggetto.
/t – Questo parametro può essere utilizzato con /s per ripristinare i permessi su tutto l’albero degli oggetti.

I permessi che vengono modificati con i parametri /d e /g devono essere specificati con la seguente sintassi
[PermissionBits];[{Object|Property}];[InheritedObjectType]

PermissionBits può avere i seguenti valori che possono essere uniti tra di loro senza spazi
GR    Generic Read
GE    Generic Execute
GW    Generic Write
GA    Generic All
SD    Delete
DT    Delete an object and all its child objects.
RC    Read security information
WD    Change security information
WO    Change owner information
LC    List the child objects of an object
CC    Create child object.
DC    Delete child object.
WS    Write to self object.
RP    Read property.
WP    Write property.
CA    Control access right.
LO    List the object access.

{Object|Property}
Specifica il tipo di oggetto o la proprietà

InheritedObjectType
Specifica il tipo di oggetti che possono prendere i permessi specificati.

CCDC;group;
Questo esempio indica quindi il permesso creare e eliminare oggetti di tipo gruppo

RPWP;telephonenumber;
Questo esempio indica il permesso di leggere e scrivere la proprietà telephonenumber