deve estar nas seguintes formas: grupo@domínio ou domínio\grupo usuário@domínio ou domínio\usuário FQDN do usuário ou grupo ...

 deve estar nas seguintes formas:
                grupo@domínio ou domínio\grupo
                usuário@domínio ou domínio\usuário
                FQDN do usuário ou grupo
                Um cadeia SID

    deve estar na seguinte forma:

        [Bits de permissão];[Objeto/Propriedade];[Tipo de Objeto Herdado]

        Os bits de permissão podem ter os seguintes valores concatenados:

        Permissões Genéricas
            GR      Leitura Genérica
            GE      Execução Genérica
            GW      Gravação Genérica
            GA      Tudo Genérico

       Permissões Específicas
            SD      Excluir
            DT      Excluir um objeto e todos os seus filhos
            RC      Ler informações de segurança
            WD      Alterar informações de segurança
            WO      Alterar informações do proprietário
            LC      Listar os filhos de um objeto

            CC      Criar objeto filho
            DC      Excluir um objeto filho
                    Para essas duas permissões, se [Objeto/Propriedade] não
                    for especificado para definir um tipo de objeto filho específico,
                    elas aplicam todos os tipos de objetos filho. Caso contrário,
                    aplicam esse tipo de objeto filho específico.

            WS      Gravação Automática (também conhecida como Gravação Validada). Há
                    3 tipos de gravações validadas:
                       Associação Automática (bf9679c0-0de6-11d0-a285-00aa003049e2)
                       aplicada ao objeto Grupo. Ela permite atualizar a associação
                       de um grupo em termos de adicionar/remover sua própria conta. 
                    Exemplo: (WS; bf9679c0-0de6-11d0-a285-00aa003049e2; AU)
                    aplicado ao grupo X, permite que um Usuário Autenticado
                    adicione/remova alguém ao/do grupo X, mas não outras pessoas.
                       Nome de Host DNS Validado (72e39547-7b18-11d1-adef-00c04fd8d5cd)
                       aplicado ao objeto do computador. Ele permite a atualização do 
                       atributo de nome de host DNS que é compatível com o
                       nome do computador e nome do domínio.
                       SPN Validado (f3a64788-5306-11d1-a9c5-0000f80367c1)
                       aplicado ao objeto de computador: Ele permite a atualização do atributo SPN
                       que é compatível com o nome de host DNS do
                       computador.
            WP      Propriedade de gravação
            RP      Propriedade de leitura
                    Para essas duas permissões, se [Objeto/Propriedade] não for
                    especificado para definir uma propriedade específica, elas são aplicadas a
                    todas as propriedades do objeto. Caso contrário, são aplicadas a essa
                    propriedade específica do objeto.

            CA      Direito de controle de acesso
                    Para essa permissão, se [Objeto/Propriedade] não for especificado
                    para definir o "direito estendido" específico de controle de acesso,
                    ela se aplica a todos os controles de acesso significativos no
                    objeto. Caso contrário, se aplica ao direito estendido específico
                    desse objeto.

            LO      Lista o acesso a objeto.  Pode ser usado para conceder
                    acesso à lista a um objeto específico. Se
                    Listar Filhos (LC) não for concedido ao pai, também
                    pode ser negado em objetos específicos para ocultar aqueles objetos
                    se o usuário/grupo tiver LC no pai.
                    OBSERVAÇÃO:  O AD DS NÃO impõe essa permissão
                    por padrão, ele deve estar configurado para iniciar a verificação dessa
                    permissão.

        [Objeto/Propriedade]
        deve ser o nome para exibição do tipo de objeto ou a propriedade.
        Por exemplo, "usuário" é o nome para exibição de objetos do usuário e
        "telefone" é o nome para exibição da propriedade de número de telefone.

        [Tipo de Objeto Herdado]
        deve ser o nome para exibição do tipo de objeto dos quais as permissões
        devem ser herdadas. As permissões DEVEM herdar apenas.

        OBSERVAÇÃO: Isso somente deve ser usado ao definir permissões específicas do objeto
        que substituem as permissões padrão definidas no esquema AD DS desse 
        tipo de objeto.  USE ISSO COM CUIDADO e SOMENTE SE ENTENDER as permissões
        específicas do objeto.


        Exemplos de uma  válida:

        SDRCWDWO;;usuário
        significa:
        Excluir, Ler informações de segurança, Alterar informações de segurança e
        Alterar permissões de propriedade em objetos do tipo "usuário".


        CCDC;grupo;
        significa:
        Criar filho e Excluir permissões de filho para criar/excluir objetos
        do tipo grupo.

        RPWP;telefone;
        significa:
        permissões de propriedade de leitura e gravação na propriedade de
        telefone

Você pode especificar mais de um usuário em um comando.