dsacls ist das Kommandozeilenprogramm, mit dem man in Active Directory Zugriffsberechtigungen definieren kann. Neben seiner etwas kruden Syntax hat es einen erheblichen Nachteil: Bei jeder Ausführung gibt es die komplette Zugriffsliste des bearbeiteten Objekts auf der Kommandozeile aus. Das macht die Automatisierung schwierig, denn leitet man diese Daten in eine Datei um, so erhält man sehr umfangreiche Logdateien, aus denen man mühsam auslesen muss, ob der Vorgang erfolgreich war. Mit folgender Methode geht das für viele Skript-Situationen viel effizienter.
Wenn dsacls ohne Fehler arbeitet, gibt es am Ende seiner Ausgabe zurück: “Der Befehl wurde erfolgreich ausgeführt.” Stößt es hingegen auf einen Fehler, so spart es sich die umfangreiche Ausgabe und meldet: “Der Befehl wurde nicht erfolgreich ausgeführt.”
In einer Skript-Situation gibt es manchmal nicht besonders viele mögliche Fehlerquellen, sodass man oft auf die zusätzliche Information zu dem Fehler verzichten kann. Hier geht es dann meist nur darum herauszufinden, ob das Kommando überhaupt erfolgreich war. Nähere Tests kann man dann ggf. hinterher manuell ausführen.
In solchen Momenten hilft es, an das dsacls-Kommando eine kleine Prüfung anzuhängen (das Folgende ist eine zusammenhängende Zeile):
dsacls "CN=Objekt,OU=MeineOU,DC=faq-o-matic,DC=net" | find /I "nicht erfolgreich" || echo dsacls war erfolgreich
Durch diesen Trick schluckt das “find”-Kommando sämtliche dsacls-Ausgaben und untersucht sie, ob es den Text “nicht erfolgreich” findet. Falls ja, gibt es diesen aus. Falls nicht, meldet es “dsacls war erfolgreich”. Das sorgt für schlanke Logdateien beim Scripting.
http://faq-o-matic.net/?p=2363