doit être dans l'un des formats suivants : groupe@domaine ou domaine\groupe utilisateur@domaine ou domaine\utilisateur Nom ...

 doit être dans l'un des formats suivants :
                groupe@domaine ou domaine\groupe
                utilisateur@domaine ou domaine\utilisateur
                Nom de domaine complet de l'utilisateur ou du groupe 
                Un SID de chaîne 

    doit être dans le format suivant :

        [bits d'autorisation];[objet/propriété];[type d'objet hérité]

        Les bits d'autorisation peuvent avoir les valeurs suivantes 
        concaténées :

        Autorisations générales 
            GR      Lecture générale
            GE      Exécution générale 
            GW      Écriture générale 
            GA      Toutes les autorisations générales 

       Autorisations spécifiques 
            SD      Supprimer
            DT      Supprimer un objet et tous ses enfants 
            RC      Lire les informations de sécurité 
            WD      Modifier les informations de sécurité 
            WO      Modifier les informations de propriété 
            LC      Répertorier les enfants d'un objet 

            CC      Créer un objet enfant
            DC      Supprimer un objet enfant
                    Pour ces deux autorisations, si [objet/propriété] n'est pas
                    spécifié pour définir un type d'objet enfant, elles 
                    s'appliquent à tous les types d'objets enfants, sinon elles 
                    s'appliquent à ce type d'objet enfant spécifique.

            WS      Écrire sur soi (ou Écriture validée). Il existe
                    3 types d'écritures validées :
                       L'auto-appartenance 
                       (bf9679c0-0de6-11d0-a285-00aa003049e2) appliquée à un 
                       objet Groupe. Elle permet la mise à jour de 
                       l'appartenance d'un groupe en termes d'ajout et de 
                       suppression de son propre compte. 
                    Exemple : (WS; bf9679c0-0de6-11d0-a285-00aa003049e2; AU)
                    appliqué au groupe X permet à un utilisateur authentifié 
                    de s'ajouter au groupe X ou de s'en supprimer, mais 
                    personne d'autre.
                       Validated-DNS-Host-Name 
                       (72e39547-7b18-11d1-adef-00c04fd8d5cd) appliquée à 
                       l'objet ordinateur, permet de mettre à jour l'attribut 
                       de nom d'hôte DNS conforme au nom d'ordinateur et au nom
                       de domaine.
                       Validated-SPN (f3a64788-5306-11d1-a9c5-0000f80367c1)
                       appliquée à l'objet ordinateur, permet de mettre à jour
                       l'attribut SPN conforme au nom d'hôte DNS de 
                       l'ordinateur.
            WP      Propriété d'écriture 
            RP      Propriété de lecture 
                    Pour ces deux autorisations, si [objet/propriété] n'est pas
                    spécifié pour définir une propriété spécifique, elles 
                    s'appliquent à toutes les propriétés de l'objet, sinon 
                    elles s'appliquent à cette propriété spécifique de l'objet.

            CA      Droit de contrôle d'accès
                    Pour cette autorisation, si [objet/propriété] n'est pas 
                    spécifié pour définir le « droit étendu » spécifique pour 
                    le contrôle d'accès, elle s'applique à tous les contrôles 
                    d'accès significatifs sur l'objet, sinon elle s'applique au
                    droit étendu spécifique pour cet objet.

            LO      Répertorier les accès aux objets. Permet d'accorder 
                    l'accès aux listes à un objet spécifique si LC n'est pas 
                    accordé au parent. Peut également refuser à des objets 
                    spécifiques de masquer ces objets si l'utilisateur/groupe a
                    l'autorisation LC sur le parent.
                    REMARQUE : les services de domaine Active Directory 
                    n'appliquent PAS cette autorisation par défaut, elle doit 
                    être configurée pour rechercher cette autorisation.

        [objet/propriété]
        doit être le nom complet du type d'objet ou de la propriété.
        Par exemple « utilisateur » est le nom complet des objets utilisateur 
        et « numéro de téléphone » est le nom complet de la propriété de numéro 
        de téléphone.

        [type d'objet hérité]
        doit être le nom complet du type d'objet censé hérité des autorisations 
        Les autorisations DOIVENT être Hériter uniquement.

        REMARQUE : ce paramètre doit être utilisé uniquement pour définir des 
        autorisations spécifiques pour l'objet qui remplacent les autorisations
        par défaut définies dans le schéma des services de domaine Active 
        Directory pour ce type d'objet. À UTILISER AVEC PRÉCAUTION et 
        UNIQUEMENT SI VOUS COMPRENEZ les autorisations spécifiques à l'objet.


        Exemples d'un paramètre  valide :

        SDRCWDWO;;user
        signifie :
        autorisations Supprimer, Lire les informations de sécurité, Modifier 
        les informations de sécurité et Modifier les informations de propriété 
        sur les objets de type « user ».


        CCDC;group;
        signifie:
        autorisations Créer un enfant et Supprimer un enfant pour 
        créer/supprimer des objets de type « group ».

        RPWP;telephonenumber;
        signifie :
        autorisations Propriété de lecture et Propriété d'écriture sur la 
        propriété de numéro de téléphone
 

Vous pouvez spécifier plusieurs utilisateurs dans une commande.