deve estar nas seguintes formas: grupo@domínio ou domínio\grupo usuário@domínio ou domínio\usuário FQDN do usuário ou grupo ...

 deve estar nas seguintes formas:                 grupo@domínio ou domínio\grupo                 usuário@domínio ou domínio\usuário                 FQDN do usuário ou grupo                 Um cadeia SID      deve estar na seguinte forma:          [Bits de permissão];[Objeto/Propriedade];[Tipo de Objeto Herdado]          Os bits de permissão podem ter os seguintes valores concatenados:          Permissões Genéricas             GR      Leitura Genérica             GE      Execução Genérica             GW      Gravação Genérica             GA      Tudo Genérico         Permissões Específicas             SD      Excluir             DT      Excluir um objeto e todos os seus filhos             RC      Ler informações de segurança             WD      Alterar informações de segurança             WO      Alterar informações do proprietário             LC      Listar os filhos de um objeto              CC      Criar objeto filho             DC      Excluir um objeto filho                     Para essas duas permissões, se [Objeto/Propriedade] não                     for especificado para definir um tipo de objeto filho específico,                     elas aplicam todos os tipos de objetos filho. Caso contrário,                     aplicam esse tipo de objeto filho específico.              WS      Gravação Automática (também conhecida como Gravação Validada). Há                     3 tipos de gravações validadas:                        Associação Automática (bf9679c0-0de6-11d0-a285-00aa003049e2)                        aplicada ao objeto Grupo. Ela permite atualizar a associação                        de um grupo em termos de adicionar/remover sua própria conta.                      Exemplo: (WS; bf9679c0-0de6-11d0-a285-00aa003049e2; AU)                     aplicado ao grupo X, permite que um Usuário Autenticado                     adicione/remova alguém ao/do grupo X, mas não outras pessoas.                        Nome de Host DNS Validado (72e39547-7b18-11d1-adef-00c04fd8d5cd)                        aplicado ao objeto do computador. Ele permite a atualização do                         atributo de nome de host DNS que é compatível com o                        nome do computador e nome do domínio.                        SPN Validado (f3a64788-5306-11d1-a9c5-0000f80367c1)                        aplicado ao objeto de computador: Ele permite a atualização do atributo SPN                        que é compatível com o nome de host DNS do                        computador.             WP      Propriedade de gravação             RP      Propriedade de leitura                     Para essas duas permissões, se [Objeto/Propriedade] não for                     especificado para definir uma propriedade específica, elas são aplicadas a                     todas as propriedades do objeto. Caso contrário, são aplicadas a essa                     propriedade específica do objeto.              CA      Direito de controle de acesso                     Para essa permissão, se [Objeto/Propriedade] não for especificado                     para definir o "direito estendido" específico de controle de acesso,                     ela se aplica a todos os controles de acesso significativos no                     objeto. Caso contrário, se aplica ao direito estendido específico                     desse objeto.              LO      Lista o acesso a objeto.  Pode ser usado para conceder                     acesso à lista a um objeto específico. Se                     Listar Filhos (LC) não for concedido ao pai, também                     pode ser negado em objetos específicos para ocultar aqueles objetos                     se o usuário/grupo tiver LC no pai.                     OBSERVAÇÃO:  O AD DS NÃO impõe essa permissão                     por padrão, ele deve estar configurado para iniciar a verificação dessa                     permissão.          [Objeto/Propriedade]         deve ser o nome para exibição do tipo de objeto ou a propriedade.         Por exemplo, "usuário" é o nome para exibição de objetos do usuário e         "telefone" é o nome para exibição da propriedade de número de telefone.          [Tipo de Objeto Herdado]         deve ser o nome para exibição do tipo de objeto dos quais as permissões         devem ser herdadas. As permissões DEVEM herdar apenas.          OBSERVAÇÃO: Isso somente deve ser usado ao definir permissões específicas do objeto         que substituem as permissões padrão definidas no esquema AD DS desse          tipo de objeto.  USE ISSO COM CUIDADO e SOMENTE SE ENTENDER as permissões         específicas do objeto.           Exemplos de uma  válida:          SDRCWDWO;;usuário         significa:         Excluir, Ler informações de segurança, Alterar informações de segurança e         Alterar permissões de propriedade em objetos do tipo "usuário".           CCDC;grupo;         significa:         Criar filho e Excluir permissões de filho para criar/excluir objetos         do tipo grupo.          RPWP;telefone;         significa:         permissões de propriedade de leitura e gravação na propriedade de         telefone  Você pode especificar mais de um usuário em um comando.