debe estar en uno de estos formatos: grupo@dominio o dominio\grupo usuario@dominio o dominio\usuario FQDN del usuario o grupo ...

 debe estar en uno de estos formatos:                     grupo@dominio o dominio\grupo                     usuario@dominio o dominio\usuario                     FQDN del usuario o grupo                     SID de cadena      debe estar en uno de estos formatos:          [Bits de permiso];[Objeto/Propiedad];[Tipo de objeto heredado]          Los bits de permiso pueden tener los siguientes valores concatenados:          Permisos genéricos             GR      Lectura genérica             GE      Ejecución genérica             GW      Escritura genérica             GA      Todo genérico          Permisos específicos             SD      Eliminar             DT      Eliminar un objeto y todos sus objetos secundarios             RC      Leer información de seguridad             WD      Cambiar información de seguridad             WO      Cambiar información de propietario             LC      Enumerar los objetos secundarios de un objeto              CC      Crear objeto secundario             DC      Eliminar un objeto secundario                     Para estos dos permisos, si no se especifica                      [Objeto/Propiedad] para definir un tipo de objeto                      secundario específico, se aplican a todos los tipos de                      objetos secundarios; de lo contrario, se aplican a ese tipo                     de objeto secundario específico.              WS      Escribir en el propio objeto (que también se denomina                      Escritura validada).                     Existen 3 tipos de escrituras validadas:                     Propia pertenencia (bf9679c0-0de6-11d0-a285-00aa003049e2)                     aplicada a un objeto de grupo. Permite actualizar la                      pertenencia de un grupo en términos de agregar o quitar                      en su propia cuenta.                      Ejemplo: (WS; bf9679c0-0de6-11d0-a285-00aa003049e2; AU)                     aplicada al grupo X, permite que un usuario autenticado                      se agregue o se quite a sí mismo en el grupo X, pero no a                      nadie más.                     Nombre de host DNS validado(72e39547-7b18-11d1-adef-                     00c04fd8d5cd)                     aplicada a un objeto de equipo. Permite actualizar el                      atributo de nombre de host DNS compatible con el nombre                     de equipo y el nombre de dominio.                     SPN validado (f3a64788-5306-11d1-a9c5-0000f80367c1)                     aplicada a un objeto de equipo. Permite actualizar el                      atributo SPN compatible con el nombre de host DNS del                      equipo.             WP      Propiedad de escritura             RP      Propiedad de lectura                     Para estos dos permisos, si no se especifica                      [Objeto/Propiedad] para definir una propiedad específica,                     se aplican a todas las propiedades del objeto; de lo                     contrario, se aplican a esa propiedad específica del                      objeto.              CA      Control de derecho de acceso                     Para este permiso, si no se especifica [Objeto/Propiedad]                     para definir el "derecho extendido" específico para el                      control de acceso, se aplica a todos los controles de                      acceso significativos en el objeto; de lo contrario, se                     aplica al derecho extendido específico para dicho objeto.              LO      Mostrar el acceso del objeto. Puede usarse para conceder                      acceso de lista a un objeto específico si no se conceden                      objetos secundarios de lista (LC) al objeto primario, y                      puede denegarse en objetos específicos para ocultar esos                      objetos si el usuario/grupo tiene un LC en el objeto                      primario.                     NOTA:  AD DS no aplica este permiso de forma                      predeterminada;debe configurarse para iniciar la                      comprobación de este permiso.          [Objeto/Propiedad]         debe ser el nombre para mostrar del tipo de objeto o de la propiedad.         Por ejemplo, "usuario" es el nombre para mostrar de objetos de usuario          y "número de teléfono" el de la propiedad de número de teléfono.          [Tipo de objeto heredado]         debe ser el nombre para mostrar del tipo de objeto al que deben          heredarse los permisos. Los permisos deben ser de tipo Sólo heredar.          NOTA: Sólo puede usarse al definir permisos específicos de objetos que         reemplacen a los permisos predeterminados definidos en el esquema de          AD DS para ese tipo de objeto. Tenga precaución a la hora de usar los          permisos específicos de objetos y úselos únicamente si los entiende.           A continuación, se muestran ejemplos de un  válido:          SDRCWDWO;;usuario         significa:         permisos Eliminar, Leer información de seguridad, Cambiar información          de seguridad y Cambiar información de propietario en objetos de tipo          "usuario".           CCDC;grupo;         significa:         permisos Crear objeto secundario y Eliminar objeto secundario para          crear o eliminar objetos de grupo de tipo.          RPWP;número de teléfono;         significa:         permisos Propiedad de lectura y Propiedad de escritura en la propiedad         de número de teléfono.  Puede especificar más de un usuario en un comando.