deve essere specificato in uno dei formati seguenti: gruppo@dominio o dominio\gruppo utente@dominio o dominio\utente FQDN ...

 deve essere specificato in uno dei formati seguenti:                 gruppo@dominio o dominio\gruppo                 utente@dominio o dominio\utente                 FQDN dell'utente o del gruppo                 Una stringa SID      deve essere specificata nel formato seguente:          [Bit autorizzazioni];[Oggetto/Proprietà];[Tipo oggetto ereditato]          I bit di autorizzazione possono avere i valori seguenti concatenati         tra loro:          Autorizzazioni generiche             GR      Lettura (generica)             GE      Esecuzione (generica)             GW      Scrittura (generica)             GA      Tutto (generica)         Autorizzazioni specifiche             SD      Eliminazione             DT      Eliminazione di un oggetto e di tutti i suoi figli             RC      Lettura delle informazioni di protezione             WD      Modifica delle informazioni di protezione             WO      Modifica delle informazioni sul proprietario             LC      Elenco dei figli di un oggetto              CC      Creazione di un oggetto figlio             DC     Eliminazione di un oggetto figlio                     Se non è stato specificato [Oggetto/Proprietà] per                      definire un tipo di oggetto specifico,                     queste due autorizzazioni,                     vengono applicate a tutti i tipi di oggetto figlio,                     altrimenti vengono applicate al tipo specifico di oggetto                     figlio.              WS      Scrittura per sé (denominata anche Scrittura convalidata).                     Vi sono tre tipi di scrittura convalidata:                        Appartenenza per se stessi (bf9679c0-0de6-11d0-a285-                        00aa003049e2) applicata all'oggetto gruppo.                        Consente di aggiornare l'appartenenza di un gruppo in                        termini di aggiunta/rimozione del proprio account.                      Esempio: (WS; bf9679c0-0de6-11d0-a285-00aa003049e2; AU)                     applicata al gruppo X consente a un utente autenticato di                      aggiungere/rimuovere dal gruppo X se stesso, ma non altri.                        Nome host DNS convalidato (72e39547-7b18-11d1-adef-                        00c04fd8d5cd) applicata all'oggetto computer.                        Consente di aggiornare l'attributo nome host DNS                        conforme a nome computer e nome dominio.                        SPN convalidata (f3a64788-5306-11d1-a9c5-0000f80367c1)                        applicata all'oggetto computer. Consente di aggiornare                        l'attributo SPN conforme al nome host DNS del                        computer.             WP      Scrittura proprietà             RP      Lettura proprietà                     Se non è stato specificato [Oggetto/Proprietà] per                      definire una proprietà                     specifica, queste due autorizzazioni vengono applicate a                     tutte le proprietà dell'oggetto, altrimenti vengono                     applicate a tale proprietà specifica dell'oggetto.              CA      Controllo dell'accesso                     Se non è stato specificato [Oggetto/Proprietà] per                      definire il "diritto esteso" specifico per il controllo                     dell'accesso, questa autorizzazione viene applicata a                      tutti gli accessi significativi nell'oggetto, altrimenti                     viene applicata solo allo specifico diritto esteso                     per tale oggetto.              LO      Elenco degli oggetti. Può essere utilizzata per consentire                     di elencare un oggetto specifico se                     LC (Elenco figli) non è concesso al padre                     così come negato per oggetti specifici per nascondere tali                     oggetti se l'utente/gruppo ha l'autorizzazione LC per                     l'oggetto padre.                     NOTA: Servizi di dominio Active Directory NON applica                      questa autorizzazione per impostazione predefinita ed è                     necessario configurare esplicitamente il controllo della                     presenza di questa autorizzazione.          [Oggetto/Proprietà]         deve essere il nome visualizzato del tipo di oggetto o della          proprietà.         Ad esempio, "utente" è il nome visualizzato per gli oggetti utente          "numero telefono" è il nome visualizzato per la proprietà numero di         telefono.          [Tipo oggetto ereditato]         deve essere il nome visualizzato del tipo di oggetto che si prevede         erediterà le autorizzazioni. Le autorizzazioni DEVONO essere di tipo         Solo eredità.          NOTA: deve essere utilizzata solo quando si definiscono autorizzazioni         specifiche dell'oggetto che prevalgono sulle autorizzazioni          predefinite specificate nello schema di Servizi di dominio Active         Directory per tale tipo di oggetto. PROCEDERE CON CAUTELA e SOLO SE          SI CONOSCONO le autorizzazioni specifiche degli oggetti.           Esempi di  valide sono:          SDRCWDWO;;utente         significa:         autorizzazioni Eliminazione, Lettura informazioni di protezione,         Modifica informazioni di protezione e         Modifica proprietà per gli oggetti di tipo"utente".           CCDC;gruppo;         significa:         autorizzazioni Creazione figlio ed Eliminazione figlio per         creare/eliminare oggetti di tipo gruppo.          RPWP;numerotelefono;         significa:         autorizzazioni di lettura proprietà e scrittura proprietà per la         proprietà numero telefono  È possibile specificare più di un utente in un comando.