Win2000 Rights Diagnostics

ACLは、Windows 2000およびNTシステムのActive Directoryオブジェクトセキュリティ記述子の一部であり、各Active Directoryオブジェクトのセキュリティの説明です。シンボルは、オブジェクトの作成者、オブジェクトが属するグループ、フリーアクセス制御、およびシステムアクセス制御の4つの部分で構成されています。フリーアクセス制御は実際にはACLに起因しており、ACLは主にActive Directoryオブジェクトのアクセス許可を決定するためのものです。システムアクセス制御は、主にActive Directoryオブジェクトの権限を監査することです。一般的に言えば、それは社会におけるライセンス管理のようなものです。ライセンスを発行する責任を負う部門と、ライセンス（許可）を検討する責任を負う部門があります。 Acldiagはいくつかのメカニズムの問題の後に診断し、修復する方法のためのツールです。

これはまだコマンドラインツールです。機能はActive Directoryオブジェクトのアクセス許可を診断することです。 「アクセス制御リスト」からセキュリティ属性情報を読み取り、わかりやすい形式でテキストファイルに書き込む、いわゆるセキュリティ属性情報は、詳細な権限の説明、ユーザーおよびグループなど、このテキストです。ファイルはアップロードされたレポートとしても使用できます。
Acldiagを使用して実行できるタスクは次のとおりです。

1.デフォルト計画で、ACLディレクトリサービスオブジェクトによって定義されている権限を比較します。
2.テンプレートをチェックまたは保守し、使用し、標準認証を実行します。
3.指定されたユーザーまたはグループ、あるいはすべてのユーザーとすべてのグループについて、その（またはその）有効な権限を取得し、それをACLに表示します。

AclDiagツールを使用して、オブジェクトの権限とユーザー権限のみを表示します。グループポリシーなどのその他の情報は、主にグループポリシーが仮想オブジェクトであるために表示できず、仮想オブジェクトの名前をこのツールで使用することはできません。

2番目に、AclDiagの構文：

acldiag "ObjectDN" [/chkdeleg] [/fixdeleg] [/geteffective：{User |]  

パラメータと説明：
ObjectDN
このパラメータをコマンドラインで使用する場合は、指定されたActive Directoryオブジェクトの正しい名前です。 Active Directoryオブジェクト名には引用符を使用する必要があります。

/chkdeleg
委任のセキュリティとオブジェクトの承認を確認します。

/fixdeleg
制御ウィザードを使用して、使用するすべてのオブジェクトの承認を委任、検出、または管理します。

/geteffective：{ユーザー|  指定されたユーザーまたは指定された（作業）グループの権限に関する情報を読みやすい形式で出力します。

/schema
デフォルトプランのオブジェクトが安全かどうかを確認します。

/skip
セキュリティ記述子を表示（スキップ）しません。

/tdo
関連データを保存する必要がある場合は、システムで指定された形式または他の「読み取り可能な」形式でファイルに情報を書き込みます。 Windows 2000またはWindows NTでは、標準を統一し、処理を容易にするために、スタイルを埋めるためのさまざまな情報資料のセット、いわゆる「スプレッド」を指定しています（通常、Exceとは異なります）。

他のツールを検証するのと同じように、実際にコマンドラインウィンドウでacldiag /を実行しましたか。プログラムプロンプトのヘルプ情報を取得します。2つの比較で、ヘルプドキュメントドキュメントの内容とプロンプト情報の内容が一致していることがわかりました。各プロジェクトの結果については、時間と条件に限定され、これ以上詳細な調査は行われていません。実際の診断の例は、ヘルプドキュメントに記載されています：この例では、microsoft.comドメイン内のすべての既定のプランでアクセス許可を診断します。コマンドとパラメータは次のとおりです。 = microsoft、DC = com "/schema

III。診断出力情報の解釈
診断するだけでなく、診断ツールによって出力される情報の意味を理解するために、システムの問題点を判断します。このツールの場合、診断情報の重要な部分は次のとおりです。
テンプレートとして上記の診断を使用します。最初に実行します。

acldiag "DC = microsoft、DC = com"

実行後、画面出力は英語だけでなく非常に長いので、ここでは便利ではありません。よく読んでみると、主な項目には次のような側面があると思います。これは、医者がカルテに記入した患者の名前と同じです。

2.オブジェクトの説明：所有者：{User | User} アクセス許可：拒否、許可、ユーザー、グループ（グループ）のいずれか1つだけです。

4.アクセス許可の継承：オブジェクト権限は、その親からの継承を許可するか、または現在のオブジェクトの権限がその子オブジェクトの継承も許可し、継承された権限も上記の4つの範囲内にあります。

5.権限の確認：これは上記の部分です。ライセンスの承認の結果は2つしかありません。成功と失敗です。権限の確認には、継承された部分も含まれています。

6.デフォルト計画：上記の診断をテンプレートとして使用する場合、デフォルト計画診断コマンドは次のとおりです。acldiag "DC = microsoft、DC = com" /schema
結果は3つのタイプに分けられます。部品、部品なし、部品があります。

7.許可テンプレート：コマンドの形式は以下のとおりです。acldiag "DC = microsoft、DC = com" /chkdeleg
出力は以下のとおりです。  NOT PRESENT /MISCONFIGURED}
オブジェクトが使用されているかどうか。  継承するかどうか：{YES | NO}  垂直線の両側にある状態のうち1つのみを選択できます。

8.有効な権限：コマンドラインは
acldiag "DC = microsoft、DC = com" /geteffective：{ユーザー|}  出力は次のようになります。  グループ} 1：
読み取ることができます{All |  （グループメンバーシップ経由で）PropertyList}プロパティ。  （グループメンバーシップ経由で）PropertyList}プロパティ。  ObjectList}オブジェクト（グループメンバーシップ経由）  （グループメンバーシップ経由で）
このオブジェクトを削除できます（グループメンバーシップ経由で）
サブツリー全体を削除できます（グループメンバーシップ経由で）
サブオブジェクトの一覧表示（グループメンバーシップ経由で）
許可を読み取ることができます（グループメンバーシップを介して）
許可を変更することができます（グループメンバーシップを介して）
所有権を奪う/変更することができます（グループメンバーシップを介して）

これはオプションであり、垂直線の両側にある状態のうちの1つのみを選択できます。パーミッションの属性は次のとおりです。読み取り可能、書き込み可能、​​構成可能、削除可能、指定されたオブジェクトの削除、オブジェクト全体の削除、子オブジェクトの削除、子オブジェクトの一覧表示、権限の読み取り、ライセンスの変更許可、アクセス権、所有権の変更下の括弧内の情報は、次のものを参照しています。合格グループメンバーシップ（監査）。