Win2kの「秘密兵器」の許可診断

ACLはAccess Control Listsの略で、 "access control list"として理解することができ、ACLはwindows 2000およびNTシステムのActive Directoryオブジェクトセキュリティ記述子の一部です、それぞれの活動ディレクトリオブジェクトのセキュリティ記述子は、オブジェクトの作成者、オブジェクトが属するグループ、空きアクセス制御、およびシステムアクセス制御の4つの部分で構成されています。フリーアクセス制御は実際にはACLに起因しており、ACLは主にActive Directoryオブジェクトのアクセス許可を決定するためのものです。システムアクセス制御は、主にActive Directoryオブジェクトの権限を監査することです。一般的に言えば、それは社会におけるライセンス管理のようなものです。ライセンスを発行する責任を負う部門と、ライセンス（許可）を検討する責任を負う部門があります。 Acldiagはいくつかのメカニズムの問題の後に診断し、修復する方法のためのツールです。

これはまだコマンドラインツールです。機能は、Active Directoryオブジェクトのアクセス許可を診断することです。 「アクセス制御リスト」からセキュリティ属性情報を読み取り、わかりやすい形式でテキストファイルに書き込む、いわゆるセキュリティ属性情報は、詳細な権限の説明、ユーザーおよびグループなど、このテキストです。ファイルはアップロードされたレポートとしても使用できます。

Acldiagで実行できる作業は次のとおりです。

1.デフォルト計画で、ACLディレクトリサービスオブジェクトで定義されている権限を比較します。

2.テンプレートを確認または管理し、テンプレートを使用して、標準の承認を行います。

3.特定のユーザーまたはグループ、あるいはすべてのユーザーとすべてのグループについて、その有効な権限を取得してACLに表示します。

AclDiagツールを使用して、オブジェクトの権限とユーザー権限のみを表示します。グループポリシーなどのその他の情報は、主にグループポリシーが仮想オブジェクトであるために表示できず、仮想オブジェクトの名前をこのツールで使用することはできません。

次に、AclDiagの構文を示します。

acldiag" ObjectDN" [/chkdeleg] [/fixdeleg] [/geteffective：{User |]  

パラメーターと説明：

ObjectDN

コマンド内の指定されたActive Directoryオブジェクトの正しい名前このパラメータを1行で使用する場合は、Active Directoryのオブジェクト名に引用符を使用する必要があります。

/chkdeleg

デリゲートのセキュリティとオブジェクトに対する権限の確認

/fixdeleg

コントロールウィザードで使用されるすべてのコマンドをデリゲート、検出、または管理します。オブジェクトの許可

/geteffective：{ユーザー|  指定したユーザーまたは指定した（作業）グループのアクセス許可に関する情報を読みやすい形式で出力します。

/schema

デフォルトプランのオブジェクトが安全かどうかを確認します。

/skip

セキュリティ記述子を表示（スキップ）しません。

/tdo

関連データを保存する必要がある場合は、システムで指定された形式またはその他の「読み取り可能な」形式でファイルに情報を書き込みます。 Windows 2000またはWindows NTでは、標準を統一し、処理を容易にするために、スタイルを埋めるためのさまざまな情報資料のセット、いわゆる「スプレッド」を指定しています（通常、Exceとは異なります）。

他のツールを検証するのと同じように、実際にはコマンドラインウィンドウでacldiag /を実行しましたか。プログラムプロンプトのヘルプ情報を取得します。2つの比較で、ヘルプドキュメントドキュメントの内容とプロンプト情報の内容が一致していることがわかりました。各プロジェクトの結果については、時間と条件に限定され、これ以上詳細な調査は行われていません。実際の診断の例は、ヘルプドキュメントに記載されています：この例では、microsoft.comドメイン内のすべてのデフォルトプランのアクセス許可を診断します。コマンドとパラメータは次のとおりです。

C：> acldiag" DC = microsoft、DC = com" /schema

III。診断出力情報の解釈

システムの問題を判断するには、診断だけでなく診断ツールが出力する情報も理解することができます。意味このツールでは、診断情報の主要部分は次のとおりです。

上記の診断をテンプレートとして使用します。最初に実行します。

acldiag "DC = microsoft、DC = com"

実行後の画面出力は英語だけでなく非常に長いので、ここに添付するのは便利ではありません。よく読んでみると、メインプロジェクトには次のような側面があると思います。

1.どのシステムが診断されているかをリストします。これは、医者がカルテに記入した患者の名前と同じです。

2.オブジェクトの説明：所有者：{User | User} 権限：拒否、許可、ユーザー、グループ（グループ）、それらのうちの1つだけがあります。

4.権限の継承：オブジェクト権限は、その親からの継承を許可するか、または現在のオブジェクトの権限がその子オブジェクトの継承も許可し、継承された権限も上記の4つの範囲内にあります。

5.権限の確認：これは上記の部分です。ライセンスの承認の結果は2つしかありません。成功と失敗です。権限の確認には、継承された部分も含まれています。

6.デフォルト計画：上記の診断を引き続きテンプレートとして使用する場合、デフォルト計画診断コマンドは次のようになります。acldiag" DC = microsoft、DC = com" /schema

3種類：存在する部分、存在しない部分、ローカルな部分

7.承認テンプレート：コマンドの形式は次のとおりです。acldiag" DC = microsoft、DC = com" /chkdeleg< p>出力は以下のとおりです。  NOT PRESENT /MISCONFIGURED}

オブジェクトが使用されているかどうか。  継承するかどうか：{YES | NO}

 垂直線の両側にある状態を1つだけ選択できます。

8.有効な権限：コマンドラインは次のとおりです。

acldiag" DC = microsoft、DC = com" /geteffective：{ユーザー|}  出力は次のようになります。

{User | Group}

 グループ1：読み取り可能{すべて|  PropertyList}プロパティ（グループメンバーシップ経由で）書くことができます  （グループメンバーシップ経由で）PropertyList}プロパティ。  （リストグループのメンバーシップ）削除できます{All |  （グループメンバーシップを介して）このオブジェクトを削除できます（グループメンバーシップを介して）サブツリー全体を削除（グループメンバーシップを介して）サブオブジェクトの一覧表示（グループメンバーシップを介して）読み取り権限（グループメンバーシップを介して）許可変更を許可（グループメンバーシップ経由で）所有権の取得/変更が可能（グループメンバーシップ経由）

これらは有効な権限情報で、括弧内はオプションで、縦線の両側にある州のうちの1つだけです。パーミッションの属性は次のとおりです。読み取り可能、書き込み可能、​​構成可能、削除可能、指定されたオブジェクトの削除、オブジェクト全体の削除、子オブジェクトの削除、子オブジェクトの一覧表示、権限の読み取り、ライセンスの変更許可、アクセス権、所有権の変更下の括弧内の情報は、次のものを参照しています。合格グループメンバーシップ（監査）。