none
Dsaclsで特定のセキュリティグループに対する権限を設定したい RRS feed

  • 質問

  • どなたか教えてください。

    ある特定のセキュリティグループに対し、特定ユーザーにメンバーの読み取り/書き込み権限、

    及びそのセキュリティグループの送信者権限を付与する作業がたびたび発生するのですが、

    通常はADで

        各セキュリティグループのプロパティの[セキュリティ]タブの[詳細設定]を選択し、

        セキュリティの詳細設定ウインドウで、特定ユーザーを指定し、

    アクセス許可エントリで必要な権限を許可する・・・といった手順でおこなっています。

     

    しかしながら、この方法は非常に時間と手間がかかり、なんとか簡易化したいと考えています。

    DSACLSでどうにかできそうですがMSのホームページでは理解できません。
    たとえば、セキュリティグループ「Group123」に対して、

    aaaaaドメインのyamadaさんが、OutlookのGALでグループメンバーの変更を行う機能を付与するにはそうすればいいでしょうか?
    見よう見まねで考えてみましたが、こんな感じですか??
    dsacls "CN=Group123,OU=Distribution Groups,OU=HQ,OU=JP,DC=aaaaa,DC=com" /g {aaaaa\yamada | aaaaa\Group123}:permissions  /g aaaaa\Group123: ?????

     

    どなたかご教授ください。

    よろしくお願いいたします。

     

    2010年8月5日 9:31

すべての返信

  • mygn1022 さん、こんにちは。
    フォーラムオペレーターの三沢健二です。

    下記のような構文になると思います。
    (<> で囲まれている部分を書き換えてください)

    dsacls "<対象の DN>" /G "<アクセス権を付与したいユーザー名もしくはグループ名>":<付与したいアクセス許可>;<オブジェクトの種類もしくはプロパティの表示名>;<アクセス許可が継承されるべきオブジェクトの種類の表示名>

    - 例
    ----------
    ドメイン名 "testDomain.local"
    対象のグループ名 "testGroup"
    (このグループは "testOU" に所属している)
    アクセス権を付与したいユーザー名 "testUser"

    ・"testGroup" に対してフルのアクセス権を付与する場合

    dsacls "CN=testGroup,OU=testOU,DC=testDomain,DC=local" /G "testDomain\testUser":GA;;

    ・"testGroup" の "memberOf" プロパティの読み込みと書き込み許可を与える場合

    dsacls "CN=testGroup,OU=testOU,DC=testDomain,DC=local" /G "testDomain\testUser":RPWP;"memberOf";
    ----------

    指定するパラメーターの詳細などは下記の情報を参考にしてください。
    (大文字と小文字が区別されますので注意してください)

    - 参考情報
    Windows Server 2003 および Windows 2000 で Dsacls.exe を使用する方法
    http://support.microsoft.com/kb/281146/ja


    それでは、こちらの情報が少しでもお役にたてれば幸いです。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    • 回答としてマーク 服部清次 2010年8月19日 4:35
    • 回答としてマークされていない mygn1022 2010年8月25日 11:36
    2010年8月12日 5:37
    モデレータ
  • mygn1022 さん、

    こんにちは。
    フォーラム オペレーターの服部 清次です。

    mygn1022 さんがこちらの質問を投稿されてから少し経ちましたが、その後の状況はいかがでしょうか?
    弊社の三沢健二の回答はご確認いただけましたでしょうか?

    今回、弊社の三沢の回答が参考になるのではないかと思いましたので、
    勝手ながら、ひとまず私の方で [回答としてマーク] させていただきました。
    もし mygn1022 さんの方でまだ疑問が残っているようでしたら、
    遠慮なく [回答としてマークの解除] をクリックして質問を続けてください。

    今後とも、TechNet フォーラムをよろしくお願いします。
    それでは、また。


    __________________________________________________
    マイクロソフト株式会社 フォーラム オペレーター 服部 清次

    2010年8月19日 4:36
  • 三沢さん、

    ご連絡ありがとうございます。
    夏休みに入ってしまい、返信が遅くなりまして大変申し訳ありませんでした。

    おしえていただいた通り実行してみたとこと、無事に設定することができました。
    どうもありがとうございました。

    実行後、Successfullyのあと、
    Allow ドメイン名\xxxxxxx  ・・・・・・・・・・・
    とか、
    Deny ドメイン名\xxxxxxx・・・・・・・・・・

    などとたくさん表示されますが、これは仕様ですか?
    最後に >nulをつけると出てきませんが、successfullyまで消えてしまうので、
    なんとか不要なものが表示されず、Successしたことだけが把握できればありがたいです。

    もし、アドバイスありましたらよろしくお願いいたします。

    2010年8月25日 12:03