deve essere specificato in uno dei formati seguenti: gruppo@dominio o dominio\gruppo utente@dominio o dominio\utente FQDN ...

 deve essere specificato in uno dei formati seguenti:
                gruppo@dominio o dominio\gruppo
                utente@dominio o dominio\utente
                FQDN dell'utente o del gruppo
                Una stringa SID

    deve essere specificata nel formato seguente:

        [Bit autorizzazioni];[Oggetto/Proprietà];[Tipo oggetto ereditato]

        I bit di autorizzazione possono avere i valori seguenti concatenati
        tra loro:

        Autorizzazioni generiche
            GR      Lettura (generica)
            GE      Esecuzione (generica)
            GW      Scrittura (generica)
            GA      Tutto (generica)

       Autorizzazioni specifiche
            SD      Eliminazione
            DT      Eliminazione di un oggetto e di tutti i suoi figli
            RC      Lettura delle informazioni di sicurezza
            WD      Modifica delle informazioni di sicurezza
            WO      Modifica delle informazioni sul proprietario
            LC      Elenco dei figli di un oggetto

            CC      Creazione di un oggetto figlio
            DC     Eliminazione di un oggetto figlio
                    Se non è stato specificato [Oggetto/Proprietà] per 
                    definire un tipo di oggetto specifico,
                    queste due autorizzazioni,
                    vengono applicate a tutti i tipi di oggetto figlio,
                    altrimenti vengono applicate al tipo specifico di oggetto
                    figlio.

            WS      Scrittura per sé (denominata anche Scrittura convalidata).
                    Vi sono tre tipi di scrittura convalidata:
                       Appartenenza per se stessi (bf9679c0-0de6-11d0-a285-
                       00aa003049e2) applicata all'oggetto gruppo.
                       Consente di aggiornare l'appartenenza di un gruppo in
                       termini di aggiunta/rimozione del proprio account. 
                    Esempio: (WS; bf9679c0-0de6-11d0-a285-00aa003049e2; AU)
                    applicata al gruppo X consente a un utente autenticato di 
                    aggiungere/rimuovere dal gruppo X se stesso, ma non altri.
                       Nome host DNS convalidato (72e39547-7b18-11d1-adef-
                       00c04fd8d5cd) applicata all'oggetto computer.
                       Consente di aggiornare l'attributo nome host DNS
                       conforme a nome computer e nome dominio.
                       SPN convalidata (f3a64788-5306-11d1-a9c5-0000f80367c1)
                       applicata all'oggetto computer. Consente di aggiornare
                       l'attributo SPN conforme al nome host DNS del
                       computer.
            WP      Scrittura proprietà
            RP      Lettura proprietà
                    Se non è stato specificato [Oggetto/Proprietà] per 
                    definire una proprietà
                    specifica, queste due autorizzazioni vengono applicate a
                    tutte le proprietà dell'oggetto, altrimenti vengono
                    applicate a tale proprietà specifica dell'oggetto.

            CA      Controllo dell'accesso
                    Se non è stato specificato [Oggetto/Proprietà] per 
                    definire il "diritto esteso" specifico per il controllo
                    dell'accesso, questa autorizzazione viene applicata a 
                    tutti gli accessi significativi nell'oggetto, altrimenti
                    viene applicata solo allo specifico diritto esteso
                    per tale oggetto.

            LO      Elenco degli oggetti. Può essere utilizzata per consentire
                    di elencare un oggetto specifico se
                    LC (Elenco figli) non è concesso al padre
                    così come negato per oggetti specifici per nascondere tali
                    oggetti se l'utente/gruppo ha l'autorizzazione LC per
                    l'oggetto padre.
                    NOTA: Servizi di dominio Active Directory NON applica 
                    questa autorizzazione per impostazione predefinita ed è
                    necessario configurare esplicitamente il controllo della
                    presenza di questa autorizzazione.

        [Oggetto/Proprietà]
        deve essere il nome visualizzato del tipo di oggetto o della 
        proprietà.
        Ad esempio, "utente" è il nome visualizzato per gli oggetti utente 
        "numero telefono" è il nome visualizzato per la proprietà numero di
        telefono.

        [Tipo oggetto ereditato]
        deve essere il nome visualizzato del tipo di oggetto che si prevede
        erediterà le autorizzazioni. Le autorizzazioni DEVONO essere di tipo
        Solo eredità.

        NOTA: deve essere utilizzata solo quando si definiscono autorizzazioni
        specifiche dell'oggetto che prevalgono sulle autorizzazioni 
        predefinite specificate nello schema di Servizi di dominio Active
        Directory per tale tipo di oggetto. PROCEDERE CON CAUTELA e SOLO SE 
        SI CONOSCONO le autorizzazioni specifiche degli oggetti.


        Esempi di  valide sono:

        SDRCWDWO;;utente
        significa:
        autorizzazioni Eliminazione, Lettura informazioni di sicurezza,
        Modifica informazioni di sicurezza e
        Modifica proprietà per gli oggetti di tipo"utente".


        CCDC;gruppo;
        significa:
        autorizzazioni Creazione figlio ed Eliminazione figlio per
        creare/eliminare oggetti di tipo gruppo.

        RPWP;numerotelefono;
        significa:
        autorizzazioni di lettura proprietà e scrittura proprietà per la
        proprietà numero telefono

È possibile specificare più di un utente in un comando.