| C:\>dsrevoke /report OU=Test,DC=domain,DC=de domain\Personalabteilung |
| ACE #1 |
| Object: OU=Test,DC=domain,DC=de |
| Security Principal: domain\Personalabteilung |
| Permissions: |
| READ PROPERTY |
| WRITE PROPERTY |
| ACE Type: ALLOW |
| ACE inherited by all child objects |
| ACE #2 |
| Object: OU=Test,DC=domain,DC=de |
| Security Principal: domain\Personalabteilung |
| Permissions: |
| READ PROPERTY |
| WRITE PROPERTY |
| ACE Type: ALLOW |
| ACE inherited by all child objects |
| # of ACEs for domain\Personalabteilung = 2 |
Viel interessanter ist allerdings die Möglichkeit alle vergebenen
Berechtigungen für eine bestimmte Gruppe auf einmal zu entfernen.
Mit Hilfe des Delegationswizards kann man zwar alle Berechtigungen auf einmal
vergeben, allerdings muss man diese einzeln wieder entfernen.
Abbildung 1: Liste der vergebenen Berechtigungen
Hier kommt dann dsrevoke.exe ins Spiel. Mit Hilfe des Schalters /remove lassen
sich alle Berechtigungen auf einmal entfernen.
| C:\>dsrevoke /remove OU=Test,DC=domain,DC=de domain\Personalabteilung |
Natürlich gibt es eine Sicherheitsabfrage damit ein Tippfehler nicht gleich riesigen Aufwand bedeutet.
|
Do you want to remove the above listed ACEs (y/n):
y All ACEs successfully removed |
DSREVOKE kann bei Microsoft heruntergeladen werden.
http://www.microsoft.com/downloads/details.aspx?FamilyID=77744807-c403-4bda-b0e4-c2093b8d6383&DisplayLang=en
Im beiliegenden Readme sind noch einige Tipps enthalten.
(c) 2003 - heute, Mark Heitbrink,
weitere Informationen unter WebSite-Info\Copyright