debe estar en uno de estos formatos: grupo@dominio o dominio\grupo usuario@dominio o dominio\usuario FQDN del usuario o grupo ...

 debe estar en uno de estos formatos:
                    grupo@dominio o dominio\grupo
                    usuario@dominio o dominio\usuario
                    FQDN del usuario o grupo
                    SID de cadena

    debe estar en uno de estos formatos:

        [Bits de permiso];[Objeto/Propiedad];[Tipo de objeto heredado]

        Los bits de permiso pueden tener los siguientes valores concatenados:

        Permisos genéricos
            GR      Lectura genérica
            GE      Ejecución genérica
            GW      Escritura genérica
            GA      Todo genérico

        Permisos específicos
            SD      Eliminar
            DT      Eliminar un objeto y todos sus objetos secundarios
            RC      Leer información de seguridad
            WD      Cambiar información de seguridad
            WO      Cambiar información de propietario
            LC      Enumerar los objetos secundarios de un objeto

            CC      Crear objeto secundario
            DC      Eliminar un objeto secundario
                    Para estos dos permisos, si no se especifica 
                    [Objeto/Propiedad] para definir un tipo de objeto 
                    secundario específico, se aplican a todos los tipos de 
                    objetos secundarios; de lo contrario, se aplican a ese tipo
                    de objeto secundario específico.

            WS      Escribir en el propio objeto (que también se denomina 
                    Escritura validada).
                    Existen 3 tipos de escrituras validadas:
                    Propia pertenencia (bf9679c0-0de6-11d0-a285-00aa003049e2)
                    aplicada a un objeto de grupo. Permite actualizar la 
                    pertenencia de un grupo en términos de agregar o quitar 
                    en su propia cuenta. 
                    Ejemplo: (WS; bf9679c0-0de6-11d0-a285-00aa003049e2; AU)
                    aplicada al grupo X, permite que un usuario autenticado 
                    se agregue o se quite a sí mismo en el grupo X, pero no a 
                    nadie más.
                    Nombre de host DNS validado(72e39547-7b18-11d1-adef-
                    00c04fd8d5cd)
                    aplicada a un objeto de equipo. Permite actualizar el 
                    atributo de nombre de host DNS compatible con el nombre
                    de equipo y el nombre de dominio.
                    SPN validado (f3a64788-5306-11d1-a9c5-0000f80367c1)
                    aplicada a un objeto de equipo. Permite actualizar el 
                    atributo SPN compatible con el nombre de host DNS del 
                    equipo.
            WP      Propiedad de escritura
            RP      Propiedad de lectura
                    Para estos dos permisos, si no se especifica 
                    [Objeto/Propiedad] para definir una propiedad específica,
                    se aplican a todas las propiedades del objeto; de lo
                    contrario, se aplican a esa propiedad específica del 
                    objeto.

            CA      Control de derecho de acceso
                    Para este permiso, si no se especifica [Objeto/Propiedad]
                    para definir el "derecho extendido" específico para el 
                    control de acceso, se aplica a todos los controles de 
                    acceso significativos en el objeto; de lo contrario, se
                    aplica al derecho extendido específico para dicho objeto.

            LO      Mostrar el acceso del objeto. Puede usarse para conceder 
                    acceso de lista a un objeto específico si no se conceden 
                    objetos secundarios de lista (LC) al objeto primario, y 
                    puede denegarse en objetos específicos para ocultar esos 
                    objetos si el usuario/grupo tiene un LC en el objeto 
                    primario.
                    NOTA:  AD DS no aplica este permiso de forma 
                    predeterminada;debe configurarse para iniciar la 
                    comprobación de este permiso.

        [Objeto/Propiedad]
        debe ser el nombre para mostrar del tipo de objeto o de la propiedad.
        Por ejemplo, "usuario" es el nombre para mostrar de objetos de usuario 
        y "número de teléfono" el de la propiedad de número de teléfono.

        [Tipo de objeto heredado]
        debe ser el nombre para mostrar del tipo de objeto al que deben 
        heredarse los permisos. Los permisos deben ser de tipo Solo heredar.

        NOTA: Solo puede usarse al definir permisos específicos de objetos que
        reemplacen a los permisos predeterminados definidos en el esquema de 
        AD DS para ese tipo de objeto. Tenga precaución a la hora de usar los 
        permisos específicos de objetos y úselos únicamente si los entiende.


        A continuación, se muestran ejemplos de un  válido:

        SDRCWDWO;;usuario
        significa:
        permisos Eliminar, Leer información de seguridad, Cambiar información 
        de seguridad y Cambiar información de propietario en objetos de tipo 
        "usuario".


        CCDC;grupo;
        significa:
        permisos Crear objeto secundario y Eliminar objeto secundario para 
        crear o eliminar objetos de grupo de tipo.

        RPWP;número de teléfono;
        significa:
        permisos Propiedad de lectura y Propiedad de escritura en la propiedad
        de número de teléfono.

Puede especificar más de un usuario en un comando.
 debe estar en uno de estos formatos:
                    grupo@dominio o dominio\grupo
                    usuario@dominio o dominio\usuario
                    FQDN del usuario o grupo
                    SID de cadena

    debe estar en uno de estos formatos:

        [Bits de permiso];[Objeto/Propiedad];[Tipo de objeto heredado]

        Los bits de permiso pueden tener los siguientes valores concatenados:

        Permisos genéricos
            GR      Lectura genérica
            GE      Ejecución genérica
            GW      Escritura genérica
            GA      Todo genérico

        Permisos específicos
            SD      Eliminar
            DT      Eliminar un objeto y todos sus objetos secundarios
            RC      Leer información de seguridad
            WD      Cambiar información de seguridad
            WO      Cambiar información de propietario
            LC      Enumerar los objetos secundarios de un objeto

            CC      Crear objeto secundario
            DC      Eliminar un objeto secundario
                    Para estos dos permisos, si no se especifica 
                    [Objeto/Propiedad] para definir un tipo de objeto 
                    secundario específico, se aplican a todos los tipos de 
                    objetos secundarios; de lo contrario, se aplican a ese tipo
                    de objeto secundario específico.

            WS      Escribir en el propio objeto (que también se denomina 
                    Escritura validada).
                    Existen 3 tipos de escrituras validadas:
                    Propia pertenencia (bf9679c0-0de6-11d0-a285-00aa003049e2)
                    aplicada a un objeto de grupo. Permite actualizar la 
                    pertenencia de un grupo en términos de agregar o quitar 
                    en su propia cuenta. 
                    Ejemplo: (WS; bf9679c0-0de6-11d0-a285-00aa003049e2; AU)
                    aplicada al grupo X, permite que un usuario autenticado 
                    se agregue o se quite a sí mismo en el grupo X, pero no a 
                    nadie más.
                    Nombre de host DNS validado(72e39547-7b18-11d1-adef-
                    00c04fd8d5cd)
                    aplicada a un objeto de equipo. Permite actualizar el 
                    atributo de nombre de host DNS compatible con el nombre
                    de equipo y el nombre de dominio.
                    SPN validado (f3a64788-5306-11d1-a9c5-0000f80367c1)
                    aplicada a un objeto de equipo. Permite actualizar el 
                    atributo SPN compatible con el nombre de host DNS del 
                    equipo.
            WP      Propiedad de escritura
            RP      Propiedad de lectura
                    Para estos dos permisos, si no se especifica 
                    [Objeto/Propiedad] para definir una propiedad específica,
                    se aplican a todas las propiedades del objeto; de lo
                    contrario, se aplican a esa propiedad específica del 
                    objeto.

            CA      Control de derecho de acceso
                    Para este permiso, si no se especifica [Objeto/Propiedad]
                    para definir el "derecho extendido" específico para el 
                    control de acceso, se aplica a todos los controles de 
                    acceso significativos en el objeto; de lo contrario, se
                    aplica al derecho extendido específico para dicho objeto.

            LO      Mostrar el acceso del objeto. Puede usarse para conceder 
                    acceso de lista a un objeto específico si no se conceden 
                    objetos secundarios de lista (LC) al objeto primario, y 
                    puede denegarse en objetos específicos para ocultar esos 
                    objetos si el usuario/grupo tiene un LC en el objeto 
                    primario.
                    NOTA:  AD DS no aplica este permiso de forma 
                    predeterminada;debe configurarse para iniciar la 
                    comprobación de este permiso.

        [Objeto/Propiedad]
        debe ser el nombre para mostrar del tipo de objeto o de la propiedad.
        Por ejemplo, "usuario" es el nombre para mostrar de objetos de usuario 
        y "número de teléfono" el de la propiedad de número de teléfono.

        [Tipo de objeto heredado]
        debe ser el nombre para mostrar del tipo de objeto al que deben 
        heredarse los permisos. Los permisos deben ser de tipo Sólo heredar.

        NOTA: Sólo puede usarse al definir permisos específicos de objetos que
        reemplacen a los permisos predeterminados definidos en el esquema de 
        AD DS para ese tipo de objeto. Tenga precaución a la hora de usar los 
        permisos específicos de objetos y úselos únicamente si los entiende.


        A continuación, se muestran ejemplos de un  válido:

        SDRCWDWO;;usuario
        significa:
        permisos Eliminar, Leer información de seguridad, Cambiar información 
        de seguridad y Cambiar información de propietario en objetos de tipo 
        "usuario".


        CCDC;grupo;
        significa:
        permisos Crear objeto secundario y Eliminar objeto secundario para 
        crear o eliminar objetos de grupo de tipo.

        RPWP;número de teléfono;
        significa:
        permisos Propiedad de lectura y Propiedad de escritura en la propiedad
        de número de teléfono.

Puede especificar más de un usuario en un comando.