Это команда smbcacls, которую можно запустить в бесплатном хостинг-провайдере OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
smbcacls - устанавливает или получает списки управления доступом для файлов NT или имен каталогов.
СИНТАКСИС
smbcacls {// сервер / общий ресурс} {/ filename} [-D | --delete acl] [-M | --modify acl] [-a | --add acl]
[-S | --set acl] [-C | --chown name] [-G | --chgrp name] [-I allow | remove | copy] [--numeric]
[-t] [-U имя пользователя] [-d] [-e] [-m | --max-protocol LEVEL] [--query-security-info FLAGS]
[--set-security-info ФЛАГИ] [--sddl] [--domain-sid SID]
ОПИСАНИЕ
Этот инструмент является частью самба(7) сюита.
Программа smbcacls управляет списками контроля доступа NT (ACL) в общих файловых ресурсах SMB. ACL
состоит из нуля или более записей управления доступом (ACE), которые определяют ограничения доступа
для конкретного пользователя или группы.
ДОПОЛНИТЕЛЬНЫЕ ОПЦИИ
В программе smbcacls доступны следующие параметры. Формат ACL следующий:
описано в разделе ФОРМАТ ACL
-a | --add acl
Добавьте записи, указанные в ACL. Существующие записи управления доступом не изменяются.
-M | --modify acl
Измените значение маски (разрешения) для ACE, указанных в командной строке. An
ошибка будет напечатана для каждого указанного ACE, которого еще не было в
ACL объекта.
-D | - удалить acl
Удалите все ACE, указанные в командной строке. Ошибка будет напечатана для каждого ACE.
указано, что еще не было в ACL объекта.
-S | --set acl
Эта команда устанавливает ACL для объекта только с тем, что указано в команде
линия. Все существующие ACL удаляются. Обратите внимание, что указанный ACL должен содержать как минимум
версия, тип, владелец и группа для успешного вызова.
-C | --chown name
Владелец файла или каталога может быть изменен на имя, указанное с помощью -C опцию.
Имя может быть sid в форме S-1-xyz или именем, сопоставленным с сервером.
указанный в первом аргументе.
Эта команда является сокращением для -M OWNER: name.
-G | --chgrp имя
Владелец группы файла или каталога может быть изменен на имя, указанное с помощью -G
вариант. Имя может быть sid в форме S-1-xyz или именем, сопоставленным с
сервер указал первый аргумент.
Эта команда является сокращением для -M GROUP: name.
-I | --inherit allow | remove | copy
Установите или снимите флажок окна «Разрешить наследуемые разрешения» с помощью -I
вариант. Чтобы установить флажок, пройдите разрешить. Чтобы снять этот флажок, пройдите или удалите, или
копировать. Remove удалит все унаследованные ACL. Копировать скопирует все унаследованные ACL.
--числовой
Эта опция отображает всю информацию ACL в числовом формате. По умолчанию конвертировать
Идентификаторы безопасности для имен и типы ACE и маски в читаемый строковый формат.
-m | --max-protocol ИМЯ ПРОТОКОЛА
Это позволяет пользователю выбрать самый высокий уровень протокола SMB, который будет использовать smbcacls.
для подключения к серверу. По умолчанию это значение NT1, которое является самым высоким.
доступный протокол SMB1. Для подключения по протоколу SMB2 или SMB3 используйте строки SMB2
или SMB3 соответственно. Обратите внимание, что для подключения к серверу Windows 2012 с зашифрованным
транспорт требует выбора max-протокола SMB3.
-t | --test-args
На самом деле ничего не делайте, только проверяйте правильность аргументов.
--query-security-info ФЛАГИ
Флаги информации о безопасности для запросов.
--set-security-info ФЛАГИ
Флаги информации о безопасности для запросов.
--sddl
Вывод и ввод ACL в формате SDDL.
--domain-sid SID
SID, используемый для обработки sddl.
-d | --debuglevel = уровень
уровень является целым числом от 0 до 10. Значение по умолчанию, если этот параметр не указан.
это 0.
Чем выше это значение, тем больше подробностей будет записано в файлы журнала о
деятельность сервера. На уровне 0 будут отображаться только критические ошибки и серьезные предупреждения.
быть зарегистрированным. Уровень 1 - разумный уровень для повседневного бега - он дает небольшой
объем информации о проведенных операциях.
Уровни выше 1 будут генерировать значительные объемы данных журнала, и их следует использовать только
при исследовании проблемы. Уровни выше 3 предназначены для использования только разработчиками
и генерировать ОГРОМНЫЕ объемы данных журнала, большинство из которых чрезвычайно загадочны.
Обратите внимание, что указание этого параметра здесь переопределит журнал уровень Параметр в
файл smb.conf.
-V | --version
Печатает номер версии программы.
-s | --configfile =
Указанный файл содержит сведения о конфигурации, необходимые для сервера. В
информация в этом файле включает специфичную для сервера информацию, например, что printcap
файл для использования, а также описания всех служб, которые сервер должен
предоставлять. См. Smb.conf для получения дополнительной информации. Имя файла конфигурации по умолчанию:
определяется во время компиляции.
-l | --log-basename = каталог журналов
Базовое имя каталога для файлов журнала / отладки. Расширение ".progname" будет добавлено
(например, log.smbclient, log.smbd и т. д.). Клиент никогда не удаляет файл журнала.
--option = знак равно
Установить smb.conf(5) вариант " " ценить " "из командной строки. Это
отменяет встроенные значения по умолчанию и параметры, считанные из файла конфигурации.
-N | --no-pass
Если указан, этот параметр подавляет обычный запрос пароля от клиента к
Пользователь. Это полезно при доступе к службе, не требующей пароля.
Если пароль не указан в командной строке или не указан этот параметр,
клиент запросит пароль.
Если пароль указан в командной строке, и эта опция также определена,
пароль в командной строке будет автоматически пропущен, и пароль использоваться не будет.
-k | --kerberos
Попробуйте пройти аутентификацию с помощью кербероса. Полезно только в среде Active Directory.
-C | --use-ccache
Попробуйте использовать учетные данные, кэшированные winbind.
-A | --authentication-file = имя файла
Эта опция позволяет вам указать файл, из которого следует читать имя пользователя и пароль.
используется в связи. Формат файла
имя пользователя =
пароль =
домен =
Убедитесь, что права доступа к файлу ограничивают доступ нежелательных пользователей.
-U | --user = имя пользователя [% пароль]
Устанавливает имя пользователя SMB или имя пользователя и пароль.
Если% пароль не указан, пользователю будет предложено. Клиент сначала проверит
USER переменная среды, затем LOGNAME переменная, и если таковая существует,
строка в верхнем регистре. Если эти переменные среды не найдены, имя пользователя
ГОСТЬ используется.
Третий вариант - использовать файл учетных данных, содержащий открытый текст
имя пользователя и пароль. Эта опция в основном предусмотрена для скриптов, в которых администратор
не желает передавать учетные данные в командной строке или через переменные среды. Если
этот метод используется, убедитесь, что права доступа к файлу ограничивают доступ
от нежелательных пользователей. Увидеть -A Больше подробностей.
Будьте осторожны при включении паролей в сценарии. Кроме того, во многих системах команда
Строку запущенного процесса можно увидеть с помощью команды ps. Чтобы быть в безопасности, всегда позволяй
rpcclient, чтобы запросить пароль и ввести его напрямую.
-S | --signing on | off | обязательно
Установите состояние подписи клиента.
-P | --machine-pass
Используйте сохраненный пароль учетной записи компьютера.
-e | --encrypt
Этот параметр командной строки требует, чтобы удаленный сервер поддерживал расширения UNIX или
что выбран протокол SMB3. Запрашивает шифрование соединения.
Согласовывает шифрование SMB с использованием расширений SMB3 или POSIX через GSSAPI. Использует
данные учетные данные для согласования шифрования (Kerberos или NTLMv1 / v2, если
данный домен / имя пользователя / пароль тройной. Не удается установить соединение, если шифрование невозможно.
переговоры.
--pw-nt-хэш
Поставляемый пароль - это NT-хэш.
-n | --netbiosname
Эта опция позволяет вам переопределить имя NetBIOS, которое Samba использует для себя. Этот
идентично установке NetBIOS имя параметр в файле smb.conf. Однако
Параметры командной строки имеют приоритет над параметрами в smb.conf.
-i | --scope
Это определяет область NetBIOS, которую nmblookup будет использовать для связи, когда
создание имен NetBIOS. Подробнее об использовании областей NetBIOS см. Rfc1001.txt.
и rfc1002.txt. Области действия NetBIOS: очень редко используется, установите этот параметр, только если вы
системный администратор, отвечающий за все системы NetBIOS, с которыми вы общаетесь
с.
-W | --workgroup = домен
Задайте домен SMB для имени пользователя. Это отменяет домен по умолчанию, который является
домен, определенный в smb.conf. Если указанный домен совпадает с сервером NetBIOS
имя, это заставляет клиента входить в систему, используя локальный сервер SAM (в отличие от
Домен SAM).
-O | --socket-options параметры сокета
Параметры сокета TCP, устанавливаемые на клиентском сокете. См. Параметр параметров сокета в
страницу справочника smb.conf со списком допустимых опций.
-? | --help
Распечатайте сводку параметров командной строки.
--использование
Отображение краткого сообщения об использовании.
ACL ФОРМАТ
Формат ACL - это одна или несколько записей, разделенных запятыми или символами новой строки. ACL
запись может быть одним из следующих:
ПЕРЕСМОТР:
ВЛАДЕЛЕЦ:
ГРУППА:
ACL: : / /
Версия ACL определяет внутреннюю версию ACL Windows NT для обеспечения безопасности.
дескриптор. Если не указано иное, по умолчанию используется 1. Использование значений, отличных от 1, может вызвать странные
поведение.
Владелец и группа указывают владельца и группы для объекта. Если SID в
указан формат S-1-xyz, это используется, в противном случае указанное имя разрешается с использованием
сервер, на котором находится файл или каталог.
ACE указываются с префиксом «ACL:» и определяют разрешения, предоставленные SID. В
SID снова может быть указан в формате S-1-xyz или как имя, и в этом случае он разрешается
против сервера, на котором находится файл или каталог. Тип, флаги и значения маски
определить тип доступа, предоставленного для SID.
Тип может быть РАЗРЕШЕН или ЗАПРЕЩЕНО, чтобы разрешить / запретить доступ к SID. Значения флагов
обычно равны нулю для файловых ACE и 9 или 2 для каталогов. Некоторые общие флаги
составляют:
· #define SEC_ACE_FLAG_OBJECT_INHERIT 0x1
· #define SEC_ACE_FLAG_CONTAINER_INHERIT 0x2
· #define SEC_ACE_FLAG_NO_PROPAGATE_INHERIT 0x4
· #define SEC_ACE_FLAG_INHERIT_ONLY 0x8
В настоящее время флаги можно указывать только как десятичные или шестнадцатеричные значения.
Маска - это значение, которое выражает право доступа, предоставленное SID. Это может быть дано
как десятичное или шестнадцатеричное значение или с помощью одной из следующих текстовых строк, которые сопоставляют
к одноименным разрешениям NT-файла.
· R - Разрешить доступ для чтения
· W - Разрешить доступ для записи
· X - Выполнить разрешение на объект
· D - Удалить объект
· P - Изменить разрешения
· O - Взять на себя ответственность
Можно указать следующие комбинированные разрешения:
· ЧИТАТЬ - Эквивалент разрешений RX
· ИЗМЕНЕНИЕ - Эквивалент разрешений RXWD
· ПОЛНЫЙ - Эквивалент разрешений RWXDPO
ВЫХОД статус
Программа smbcacls устанавливает статус выхода в зависимости от успеха или неудачи
выполненные операции. Статус выхода может быть одним из следующих значений.
Если операция прошла успешно, smbcacls возвращает и статус выхода 0. Если smbcacls не удалось
подключиться к указанному серверу, или произошла ошибка при получении или настройке списков ACL,
возвращается статус выхода 1. Если при синтаксическом анализе каких-либо аргументов командной строки произошла ошибка,
возвращается статус выхода 2.
Версия
Эта страница руководства подходит для версии 4 пакета Samba.
Используйте smbcacls онлайн с помощью сервисов onworks.net
