To jest polecenie smbcacls, które można uruchomić w bezpłatnym dostawcy hostingu OnWorks przy użyciu jednej z naszych wielu bezpłatnych stacji roboczych online, takich jak Ubuntu Online, Fedora Online, emulator online systemu Windows lub emulator online systemu MAC OS
PROGRAM:
IMIĘ
smbcacls - Ustawia lub pobiera listy ACL dla nazw plików lub katalogów w systemie NT
STRESZCZENIE
smbcacls {//serwer/udział} {/nazwa pliku} [-D|--delete acl] [-M|--modify acl] [-a|--add acl]
[-S|--ustaw acl] [-C|--nazwa chown] [-G|--nazwa chgrp] [-Zezwalam|usuń|kopiuj] [--numeryczne]
[-t] [-U nazwa użytkownika] [-d] [-e] [-m|--max-POZIOM-protokołu] [--query-security-info FLAGI]
[--set-security-info FLAGI] [--sddl] [--domain-sid SID]
OPIS
To narzędzie jest częścią samba(7) apartament.
Program smbcacls manipuluje listami kontroli dostępu NT (ACL) w udziałach plikowych SMB. ACL
składa się z zera lub większej liczby wpisów kontroli dostępu (ACE), które definiują ograniczenia dostępu
dla określonego użytkownika lub grupy.
OPCJE
W programie smbcacls dostępne są następujące opcje. Format list ACL to
opisane w sekcji FORMAT ACL
-a|--dodaj acl
Dodaj określone wpisy do listy ACL. Istniejące wpisy kontroli dostępu pozostają niezmienione.
-M|--zmodyfikuj acl
Zmodyfikuj wartość maski (uprawnienia) dla wpisów ACE określonych w wierszu poleceń. Jakiś
błąd zostanie wydrukowany dla każdego określonego wpisu ACE, który nie był jeszcze obecny w pliku
lista ACL obiektu.
-D|--usuń akl
Usuń wszystkie wpisy ACE określone w wierszu poleceń. Dla każdego wpisu ACE zostanie wydrukowany błąd
określony, który nie był już obecny na liście ACL obiektu.
-S|--ustaw acl
To polecenie ustawia listę ACL dla obiektu tylko na podstawie określonej w poleceniu
linia. Wszelkie istniejące listy ACL zostaną usunięte. Należy pamiętać, że określona lista ACL musi zawierać co najmniej a
wersja, typ, właściciel i grupa, aby połączenie zakończyło się sukcesem.
-C|--chowna nazwa
Właściciela pliku lub katalogu można zmienić na nazwę podaną za pomocą przycisku -C opcja.
Nazwa może mieć postać sid w postaci S-1-xyz lub nazwę rozwiązaną na serwerze
określony w pierwszym argumencie.
To polecenie jest skrótem dla -M WŁAŚCICIEL:nazwa.
-G|--chgrp nazwa
Właściciela grupy pliku lub katalogu można zmienić na nazwę podaną za pomocą opcji -G
opcja. Nazwa może mieć postać sid w postaci S-1-xyz lub nazwę rozwiązaną względem
serwer określony w pierwszym argumencie.
To polecenie jest skrótem dla -M GRUPA:nazwa.
-I|--dziedziczę, zezwalam|usuwam|kopiuję
Ustaw lub usuń zaznaczenie pola wyboru „Zezwól na dziedziczenie uprawnień” systemu Windows za pomocą opcji -I
opcja. Aby ustawić pole wyboru Pass Zezwól. Aby usunąć zaznaczenie pola wyboru, usuń je lub
Kopiuj. Usuń spowoduje usunięcie wszystkich odziedziczonych list ACL. Kopiuj skopiuje wszystkie odziedziczone listy ACL.
--numeryczne
Ta opcja wyświetla wszystkie informacje ACL w formacie numerycznym. Domyślnie jest to konwersja
Identyfikatory SID do nazw oraz typów ACE i masek do czytelnego formatu ciągu.
-m|--max-protokół NAZWA_PROTOKOŁU
Pozwala to użytkownikowi wybrać najwyższy poziom protokołu SMB, którego będzie używał smbcacls
aby połączyć się z serwerem. Domyślnie jest ustawiony na NT1, który jest najwyższy
dostępny protokół SMB1. Aby połączyć się za pomocą protokołu SMB2 lub SMB3, użyj ciągów SMB2
lub SMB3. Pamiętaj, że aby połączyć się z serwerem Windows 2012 za pomocą szyfrowania
wymagany jest wybór maksymalnego protokołu SMB3.
-t|--argumenty-testowe
Właściwie nic nie rób, tylko sprawdź poprawność argumentów.
--query-security-info FLAGI
Flagi informacji o zabezpieczeniach dla zapytań.
--set-security-info FLAGI
Flagi informacji o zabezpieczeniach dla zapytań.
--sddl
Wyjściowe i wejściowe listy ACL w formacie sddl.
--domena-sid SID
SID używany do przetwarzania sddl.
-d|--poziomdebug=poziom
poziom jest liczbą całkowitą od 0 do 10. Wartość domyślna, jeśli ten parametr nie jest określony
to 0.
Im wyższa ta wartość, tym więcej szczegółów zostanie zapisanych w plikach dziennika na temat
działania serwera. Na poziomie 0 będą tylko krytyczne błędy i poważne ostrzeżenia
być zalogowanym. Poziom 1 to rozsądny poziom do codziennego biegania – generuje niewielką
ilość informacji o przeprowadzonych operacjach.
Poziomy powyżej 1 będą generować znaczne ilości danych dziennika i powinny być używane tylko
podczas badania problemu. Poziomy powyżej 3 są przeznaczone wyłącznie do użytku przez programistów
i generować OGROMNE ilości danych dziennika, z których większość jest niezwykle tajemnicza.
Zwróć uwagę, że określenie tego parametru w tym miejscu zastąpi log poziom parametr w
plik smb.conf.
-V|--wersja
Drukuje numer wersji programu.
-s|--configfile=
Określony plik zawiera szczegóły konfiguracji wymagane przez serwer. ten
informacje w tym pliku zawierają informacje specyficzne dla serwera, takie jak printcap
plik do wykorzystania, a także opisy wszystkich usług, z których ma korzystać serwer
dostarczać. Zobacz smb.conf, aby uzyskać więcej informacji. Domyślna nazwa pliku konfiguracyjnego to
określone w czasie kompilacji.
-l|--log-basename=katalog dziennika
Podstawowa nazwa katalogu dla plików dziennika/debugowania. Rozszerzenie ".program" zostanie dołączony
(np. log.smbclient, log.smbd, itp...). Plik dziennika nigdy nie jest usuwany przez klienta.
--opcja= =
Ustaw smb.konf(5) opcja " " cenić " " z wiersza poleceń. To
nadpisuje wkompilowane wartości domyślne i opcje odczytane z pliku konfiguracyjnego.
-N|--bez przejścia
Jeśli jest określony, ten parametr blokuje zwykłe monitowanie klienta o hasło do:
użytkownik. Jest to przydatne podczas uzyskiwania dostępu do usługi, która nie wymaga hasła.
O ile w wierszu poleceń nie podano hasła lub nie określono tego parametru,
klient poprosi o hasło.
Jeśli hasło jest podane w wierszu poleceń i ta opcja jest również zdefiniowana,
hasło w wierszu poleceń będzie po cichu ignorowane i żadne hasło nie będzie używane.
-k|--kerberos
Spróbuj uwierzytelnić się za pomocą protokołu Kerberos. Przydatne tylko w środowisku Active Directory.
-C|--use-cache
Spróbuj użyć poświadczeń buforowanych przez winbind.
-A|--authentication-file=nazwa pliku
Ta opcja pozwala określić plik, z którego odczytana zostanie nazwa użytkownika i hasło
używane w połączeniu. Format pliku to
nazwa użytkownika =
hasło =
domena =
Upewnij się, że uprawnienia do pliku ograniczają dostęp niepożądanym użytkownikom.
-U|--user=nazwa użytkownika[%hasło]
Ustawia nazwę użytkownika SMB lub nazwę użytkownika i hasło.
Jeśli %password nie zostanie określony, użytkownik zostanie zapytany. Klient najpierw sprawdzi
dotychczasowy USER zmienna środowiskowa, a następnie NAZWA LOGU zmienna i jeśli któraś istnieje,
ciąg jest pisany wielkimi literami. Jeśli te zmienne środowiskowe nie zostaną znalezione, nazwa użytkownika
GOŚĆ Jest używane.
Trzecią opcją jest użycie pliku poświadczeń, który zawiera zwykły tekst
Nazwa użytkownika i hasło. Ta opcja jest dostępna głównie dla skryptów, w których robi to administrator
nie chcesz przekazywać poświadczeń w wierszu poleceń ani za pośrednictwem zmiennych środowiskowych. Gdyby
ta metoda jest używana, upewnij się, że uprawnienia do pliku ograniczają dostęp
od niechcianych użytkowników. Zobacz -A by uzyskać więcej szczegółów.
Zachowaj ostrożność przy umieszczaniu haseł w skryptach. Ponadto w wielu systemach polecenie
wiersz uruchomionego procesu można zobaczyć za pomocą polecenia ps. Aby być bezpiecznym, zawsze pozwalaj
rpcclient, aby zapytać o hasło i wpisać je bezpośrednio.
-S|--podpisywanie się|wyłączone|wymagane
Ustaw stan podpisywania klienta.
-P|--przepustka-maszyny
Użyj zapisanego hasła do konta urządzenia.
-e|--szyfruj
Ten parametr wiersza poleceń wymaga, aby zdalny serwer obsługiwał rozszerzenia UNIX lub
że wybrano protokół SMB3. Żąda zaszyfrowania połączenia.
Negocjuje szyfrowanie SMB przy użyciu rozszerzeń SMB3 lub POSIX za pośrednictwem GSSAPI. Używa
podane dane uwierzytelniające do negocjacji szyfrowania (albo kerberos lub NTLMv1/v2, jeśli
podana domena/nazwa użytkownika/hasło potrójnie. Brak połączenia, jeśli szyfrowanie nie może być
negocjowane.
--pw-nt-hash
Dostarczone hasło to skrót NT.
-n|--netbiosname
Ta opcja pozwala ci nadpisać nazwę NetBIOS, której Samba używa dla siebie. Ten
jest identyczne z ustawieniem netbios Nazwa parametr w pliku smb.conf. Jednak
ustawienie wiersza poleceń będzie miało pierwszeństwo przed ustawieniami w smb.conf.
-i|--zakres
Określa zakres NetBIOS, którego nmblookup będzie używał do komunikacji, gdy
generowanie nazw NetBIOS. Aby uzyskać szczegółowe informacje na temat korzystania z zakresów NetBIOS, zobacz rfc1001.txt
i rfc1002.txt. Zakresy NetBIOS są początku. rzadko używane, ustaw ten parametr tylko wtedy, gdy
jesteś administratorem systemu odpowiedzialnym za wszystkie systemy NetBIOS, z którymi się komunikujesz
z.
-W|--grupa robocza=domena
Ustaw domenę SMB nazwy użytkownika. Zastępuje to domyślną domenę, którą jest
domena zdefiniowana w smb.conf. Jeśli określona domena jest taka sama jak serwery NetBIOS
nazwy, powoduje, że klient loguje się przy użyciu lokalnego serwera SAM (w przeciwieństwie do
Domena SAM).
-O|--socket-opcje opcje gniazd
Opcje gniazda TCP do ustawienia w gnieździe klienta. Zobacz parametr opcji gniazda w
strona podręcznika smb.conf z listą poprawnych opcji.
-?|--pomoc
Wydrukuj podsumowanie opcji wiersza poleceń.
--stosowanie
Wyświetl krótki komunikat o użytkowaniu.
ACL FORMAT
Format listy ACL to jeden lub więcej wpisów oddzielonych przecinkami lub znakami nowej linii. ACL
wpis jest jednym z następujących:
REWIZJA:
WŁAŚCICIEL:
GRUPA:
ACL: : / /
Wersja ACL określa wewnętrzną wersję ACL systemu Windows NT dla bezpieczeństwa
deskryptor. Jeśli nie jest określony, domyślnie przyjmuje wartość 1. Użycie wartości innych niż 1 może spowodować dziwne
zachowanie.
Właściciel i grupa określają identyfikator właściciela i grupy obiektu. Jeśli identyfikator SID w pliku
określono format S-1-xyz, jest on używany, w przeciwnym razie podana nazwa jest rozpoznawana przy użyciu
serwer, na którym znajduje się plik lub katalog.
Pozycje ACE są określone z przedrostkiem „ACL:” i definiują uprawnienia nadawane identyfikatorowi SID. The
SID ponownie można określić w formacie S-1-xyz lub jako nazwę, w którym to przypadku zostanie on rozwiązany
przeciwko serwerowi, na którym znajduje się plik lub katalog. Typ, flagi i wartości masek
określić rodzaj dostępu przyznanego identyfikatorowi SID.
Typ może być DOZWOLONY lub ZAMKNIĘTY, aby zezwolić/odmówić dostępu do identyfikatora SID. Wartości flag
zazwyczaj wynoszą zero dla wpisów ACE plików i 9 lub 2 dla wpisów ACE katalogów. Niektóre popularne flagi
należą:
· #definiować SEC_ACE_FLAG_OBJECT_INHERIT 0x1
· #definiować SEC_ACE_FLAG_CONTAINER_INHERIT 0x2
· #definiować SEC_ACE_FLAG_NO_PROPAGATE_INHERIT 0x4
· #definiować SEC_ACE_FLAG_INHERIT_ONLY 0x8
Obecnie flagi można podawać wyłącznie jako wartości dziesiętne lub szesnastkowe.
Maska jest wartością wyrażającą prawo dostępu nadane SID. Można to podać
jako wartość dziesiętną lub szesnastkową lub za pomocą jednego z następujących ciągów tekstowych, które mapują
do uprawnień do plików NT o tej samej nazwie.
· R - Zezwól na dostęp do odczytu
· W - Zezwól na dostęp do zapisu
· X - Wykonywanie uprawnień na obiekcie
· D - Usuń obiekt
· P - Zmień uprawnienia
· O - Przejąć na własność
Można określić następujące połączone uprawnienia:
· CZYTAĆ - Odpowiednik uprawnień „RX”
· ŚWIAT - Odpowiednik uprawnień „RXWD”
· PEŁNE - Odpowiednik uprawnień „RWXDPO”
EXIT STATUS
Program smbcacls ustawia status wyjścia w zależności od powodzenia lub braku
wykonane operacje. Status wyjścia może być jedną z następujących wartości.
Jeśli operacja się powiodła, smbcacls zwraca i kończy status 0. Jeśli smbcacls nie mógł
połączyć się z określonym serwerem lub wystąpił błąd podczas pobierania lub ustawiania list ACL, an
zwracany jest kod wyjścia równy 1. Jeśli wystąpił błąd podczas analizowania argumentów wiersza poleceń, an
zwracany jest kod wyjścia równy 2.
WERSJA
Ta strona podręcznika jest poprawna dla wersji 4 pakietu Samba.
Używaj smbcacls online, korzystając z usług onworks.net
