Đây là lệnh smbcacls có thể chạy trong nhà cung cấp dịch vụ lưu trữ miễn phí OnWorks bằng cách sử dụng một trong nhiều máy trạm trực tuyến miễn phí của chúng tôi như Ubuntu Online, Fedora Online, trình giả lập trực tuyến Windows hoặc trình mô phỏng trực tuyến MAC OS
CHƯƠNG TRÌNH:
TÊN
smbcacls - Đặt hoặc lấy ACL trên một tệp NT hoặc tên thư mục
SYNOPSIS
smbcacls {// server / share} {/ filename} [-D | --delete acl] [-M | --modify acl] [-a | --add acl]
[-S | --set acl] [-C | --chính tên] [-G | --chgrp tên] [-Tôi cho phép | xóa | sao chép] [--numeric]
[-t] [-U username] [-d] [-e] [-m | --max-protocol LEVEL] [--query-security-info FLAGS]
[--set-security-info FLAGS] [--sddl] [--domain-sid SID]
MÔ TẢ
Công cụ này là một phần của samba(7) bộ.
Chương trình smbcacls thao tác danh sách điều khiển truy cập NT (ACL) trên chia sẻ tệp SMB. ACL
bao gồm không hoặc nhiều Mục nhập kiểm soát truy cập (ACE), xác định các hạn chế truy cập
cho một người dùng hoặc một nhóm cụ thể.
LỰA CHỌN
Các tùy chọn sau đây có sẵn cho chương trình smbcacls. Định dạng của ACL là
được mô tả trong phần ACL ĐỊNH DẠNG
-a | --add acl
Thêm các mục được chỉ định vào ACL. Các mục kiểm soát truy cập hiện tại không thay đổi.
-M | - sửa đổi acl
Sửa đổi giá trị mặt nạ (quyền) cho các ACE được chỉ định trên dòng lệnh. Một
lỗi sẽ được in cho mỗi ACE được chỉ định mà chưa có trong
ACL của đối tượng.
-D | --xóa acl
Xóa bất kỳ ACE nào được chỉ định trên dòng lệnh. Mỗi ACE sẽ in một lỗi
được chỉ định chưa có trong ACL của đối tượng.
-S | - bộ acl
Lệnh này đặt ACL trên đối tượng chỉ với những gì được chỉ định trên lệnh
hàng. Mọi ACL hiện có sẽ bị xóa. Lưu ý rằng ACL được chỉ định phải chứa ít nhất một
sửa đổi, loại, chủ sở hữu và nhóm để cuộc gọi thành công.
-C | - tên riêng
Chủ sở hữu của một tệp hoặc thư mục có thể được thay đổi thành tên được cung cấp bằng cách sử dụng -C tùy chọn.
Tên có thể là một sid ở dạng S-1-xyz hoặc một tên được phân giải dựa trên máy chủ
được chỉ định trong đối số đầu tiên.
Lệnh này là một phím tắt cho -M OWNER: name.
-G | --chgrp tên
Chủ sở hữu nhóm của một tệp hoặc thư mục có thể được thay đổi thành tên được cung cấp bằng cách sử dụng -G
Lựa chọn. Tên có thể là một sid ở dạng S-1-xyz hoặc một tên được phân giải dựa trên
máy chủ chỉ định n đối số đầu tiên.
Lệnh này là một phím tắt cho -M GROUP: name.
-I | --inherit allow | remove | copy
Đặt hoặc bỏ đặt hộp kiểm "Cho phép các quyền có thể kế thừa" của cửa sổ bằng cách sử dụng -I
Lựa chọn. Để đặt hộp kiểm cho phép vượt qua. Để bỏ đặt hộp kiểm, hãy vượt qua loại bỏ hoặc
sao chép. Loại bỏ sẽ loại bỏ tất cả các acls kế thừa. Copy sẽ sao chép tất cả các acls được kế thừa.
- số
Tùy chọn này hiển thị tất cả thông tin ACL ở định dạng số. Mặc định là chuyển đổi
SID cho tên và các loại ACE và mặt nạ ở định dạng chuỗi có thể đọc được.
-m | - giao thức tối đa PROTOCOL_NAME
Điều này cho phép người dùng chọn mức giao thức SMB cao nhất mà smbcacls sẽ sử dụng
để kết nối với máy chủ. Theo mặc định, điều này được đặt thành NT1, là mức cao nhất
giao thức SMB1 có sẵn. Để kết nối bằng giao thức SMB2 hoặc SMB3, hãy sử dụng chuỗi SMB2
hoặc SMB3 tương ứng. Lưu ý rằng để kết nối với máy chủ Windows 2012 có mã hóa
vận chuyển lựa chọn giao thức tối đa của SMB3 là bắt buộc.
-t | --test-args
Không thực sự làm bất cứ điều gì, chỉ xác nhận tính đúng đắn của các đối số.
- truy vấn-bảo mật-thông tin CỜ
Các cờ thông tin bảo mật cho các truy vấn.
--set-security-info CỜ
Các cờ thông tin bảo mật cho các truy vấn.
--sddl
Đầu ra và đầu vào acls ở định dạng sddl.
--SID tên miền
SID được sử dụng để xử lý sddl.
-d | --debuglevel = level
cấp là một số nguyên từ 0 đến 10. Giá trị mặc định nếu tham số này không được chỉ định
là 0.
Giá trị này càng cao, càng nhiều chi tiết sẽ được ghi vào các tệp nhật ký về
các hoạt động của máy chủ. Ở cấp độ 0, chỉ các lỗi nghiêm trọng và cảnh báo nghiêm trọng sẽ
được đăng nhập. Mức 1 là mức hợp lý để chạy hàng ngày - nó tạo ra một
lượng thông tin về các hoạt động đã thực hiện.
Các cấp trên 1 sẽ tạo ra lượng dữ liệu nhật ký đáng kể và chỉ nên được sử dụng
khi điều tra một vấn đề. Các cấp độ trên 3 chỉ được thiết kế để các nhà phát triển sử dụng
và tạo ra một lượng LỚN dữ liệu nhật ký, hầu hết trong số đó là cực kỳ khó hiểu.
Lưu ý rằng việc chỉ định tham số này ở đây sẽ ghi đè lên đăng nhập cấp tham số trong
tệp smb.conf.
-V | - phiên bản
In số phiên bản chương trình.
-s | --configfile =
Tệp được chỉ định chứa các chi tiết cấu hình do máy chủ yêu cầu. Các
thông tin trong tệp này bao gồm thông tin dành riêng cho máy chủ, chẳng hạn như những gì printcap
tệp để sử dụng, cũng như mô tả về tất cả các dịch vụ mà máy chủ sử dụng
cung cấp. Xem smb.conf để biết thêm thông tin. Tên tệp cấu hình mặc định là
được xác định tại thời điểm biên dịch.
-l | --log-basename = logdirectory
Tên thư mục cơ sở cho các tệp nhật ký / gỡ lỗi. Phần mở rộng ".progname" sẽ được thêm vào
(ví dụ: log.smbclient, log.smbd, v.v.). Tệp nhật ký không bao giờ bị xóa bởi khách hàng.
--option = =
Đặt smb.conf(5) tùy chọn " " giá trị " "từ dòng lệnh. Điều này
ghi đè các tùy chọn và mặc định đã biên dịch được đọc từ tệp cấu hình.
-N | - không vượt qua
Nếu được chỉ định, tham số này sẽ tắt lời nhắc mật khẩu thông thường từ máy khách tới
người dùng. Điều này rất hữu ích khi truy cập một dịch vụ không yêu cầu mật khẩu.
Trừ khi mật khẩu được chỉ định trên dòng lệnh hoặc tham số này được chỉ định,
khách hàng sẽ yêu cầu một mật khẩu.
Nếu mật khẩu được chỉ định trên dòng lệnh và tùy chọn này cũng được xác định,
mật khẩu trên dòng lệnh sẽ được nhập âm thầm và không có mật khẩu nào được sử dụng.
-k | --kerberos
Cố gắng xác thực bằng kerberos. Chỉ hữu ích trong môi trường Active Directory.
-C | --use-ccache
Cố gắng sử dụng thông tin đăng nhập được lưu trong bộ nhớ cache của winbind.
-A | --authentication-file = filename
Tùy chọn này cho phép bạn chỉ định một tệp để đọc tên người dùng và mật khẩu
được sử dụng trong kết nối. Định dạng của tệp là
tên người dùng =
mật khẩu =
miền =
Đảm bảo rằng các quyền trên tệp hạn chế quyền truy cập từ những người dùng không mong muốn.
-U | --user = tên người dùng [% password]
Đặt tên người dùng hoặc tên người dùng và mật khẩu SMB.
Nếu% mật khẩu không được chỉ định, người dùng sẽ được nhắc. Đầu tiên khách hàng sẽ kiểm tra
các USER biến môi trường, sau đó TÊN ĐĂNG NHẬP và nếu tồn tại,
chuỗi được viết hoa. Nếu không tìm thấy các biến môi trường này, tên người dùng
KHÁCH MỜI Được sử dụng.
Tùy chọn thứ ba là sử dụng tệp thông tin xác thực có chứa bản rõ của
tên người dùng và mật khẩu. Tùy chọn này chủ yếu được cung cấp cho các tập lệnh trong đó quản trị viên
không muốn chuyển thông tin đăng nhập trên dòng lệnh hoặc thông qua các biến môi trường. Nếu như
phương pháp này được sử dụng, hãy đảm bảo rằng các quyền trên tệp hạn chế quyền truy cập
từ những người dùng không mong muốn. Xem -A để biết thêm chi tiết.
Hãy thận trọng về việc bao gồm mật khẩu trong các tập lệnh. Ngoài ra, trên nhiều hệ thống, lệnh
dòng của một tiến trình đang chạy có thể được nhìn thấy thông qua lệnh ps. Để được an toàn, hãy luôn cho phép
rpcclient để nhắc nhập mật khẩu và nhập trực tiếp.
-S | --đăng nhập | tắt | bắt buộc
Đặt trạng thái ký khách hàng.
-P | --machine-pass
Sử dụng mật khẩu tài khoản máy đã lưu trữ.
-e | --encrypt
Tham số dòng lệnh này yêu cầu máy chủ từ xa hỗ trợ các phần mở rộng UNIX hoặc
rằng giao thức SMB3 đã được chọn. Yêu cầu kết nối được mã hóa.
Đàm phán mã hóa SMB bằng cách sử dụng phần mở rộng SMB3 hoặc POSIX qua GSSAPI. Sử dụng
đã cung cấp thông tin xác thực cho thương lượng mã hóa (kerberos hoặc NTLMv1 / v2 nếu
tên miền / tên người dùng / mật khẩu đã cho gấp ba lần. Không kết nối được nếu không thể mã hóa
thương lượng.
--pw-nt-băm
Mật khẩu được cung cấp là mã băm NT.
-n | --netbiosname
Tùy chọn này cho phép bạn ghi đè tên NetBIOS mà Samba sử dụng cho chính nó. Cái này
giống hệt với việc thiết lập netbio tên trong tệp smb.conf. Tuy nhiên, một
cài đặt dòng lệnh sẽ được ưu tiên hơn cài đặt trong smb.conf.
-i | - kính
Điều này chỉ định phạm vi NetBIOS mà nmblookup sẽ sử dụng để giao tiếp khi
tạo tên NetBIOS. Để biết chi tiết về việc sử dụng phạm vi NetBIOS, hãy xem rfc1001.txt
và rfc1002.txt. Phạm vi NetBIOS là rất hiếm khi được sử dụng, chỉ đặt tham số này nếu bạn
là quản trị viên hệ thống phụ trách tất cả các hệ thống NetBIOS mà bạn giao tiếp
với.
-W | --workgroup = domain
Đặt miền SMB của tên người dùng. Điều này ghi đè tên miền mặc định là
miền được xác định trong smb.conf. Nếu miền được chỉ định giống với máy chủ NetBIOS
tên, nó khiến máy khách đăng nhập bằng cách sử dụng SAM cục bộ của máy chủ (trái ngược với
Tên miền SAM).
-O | - tùy chọn ổ cắm tùy chọn ổ cắm
Tùy chọn ổ cắm TCP để đặt trên ổ cắm máy khách. Xem thông số tùy chọn ổ cắm trong
trang hướng dẫn smb.conf để biết danh sách các tùy chọn hợp lệ.
-? | - trợ giúp
In bản tóm tắt các tùy chọn dòng lệnh.
--sử dụng
Hiển thị thông báo sử dụng ngắn gọn.
ACL FORMAT
Định dạng của ACL là một hoặc nhiều mục nhập được phân tách bằng dấu phẩy hoặc dòng mới. ACL
mục nhập là một trong những mục sau:
ÔN TẬP:
CHỦ NHÂN:
TẬP ĐOÀN:
ACL: : / /
Bản sửa đổi ACL chỉ định bản sửa đổi Windows NT ACL nội bộ để bảo mật
bộ mô tả. Nếu không được chỉ định, nó mặc định là 1. Sử dụng các giá trị khác 1 có thể gây ra
hành vi.
Chủ sở hữu và nhóm chỉ định chủ sở hữu và sids nhóm cho đối tượng. Nếu một SID trong
định dạng S-1-xyz được chỉ định, điều này được sử dụng, nếu không, tên được chỉ định sẽ được giải quyết bằng cách sử dụng
máy chủ chứa tệp hoặc thư mục.
ACE được chỉ định bằng tiền tố "ACL:" và xác định quyền được cấp cho SID. Các
SID một lần nữa có thể được chỉ định ở định dạng S-1-xyz hoặc dưới dạng tên trong trường hợp đó nó được giải quyết
chống lại máy chủ chứa tệp hoặc thư mục. Loại, cờ và giá trị mặt nạ
xác định loại quyền truy cập được cấp cho SID.
Loại có thể ĐƯỢC CHO PHÉP hoặc TỪ CHỐI để cho phép / từ chối quyền truy cập vào SID. Các giá trị cờ
thường bằng 9 đối với ACE tệp và 2 hoặc XNUMX đối với ACE thư mục. Một số cờ phổ biến
là:
· #định nghĩa SEC_ACE_FLAG_OBJECT_INHERIT 0x1
· #định nghĩa SEC_ACE_FLAG_CONTAINER_INHERIT 0x2
· #định nghĩa SEC_ACE_FLAG_NO_PROPAGATE_INHERIT 0x4
· #định nghĩa CHỈ SEC_ACE_FLAG_INHERIT_ 0x8
Hiện tại, cờ chỉ có thể được chỉ định dưới dạng giá trị thập phân hoặc thập lục phân.
Mặt nạ là một giá trị thể hiện quyền truy cập được cấp cho SID. Nó có thể được đưa ra
dưới dạng giá trị thập phân hoặc thập lục phân hoặc bằng cách sử dụng một trong các chuỗi văn bản sau để ánh xạ
đối với các quyền đối với tệp NT cùng tên.
· R - Cho phép truy cập đọc
· W - Cho phép quyền ghi
· X - Thực thi quyền trên đối tượng
· D - Xóa đối tượng
· P - Thay đổi quyền
· O - Lấy quyền sở hữu
Các quyền kết hợp sau có thể được chỉ định:
· ĐỌC - Tương đương với quyền 'RX'
· THAY ĐỔI - Tương đương với quyền 'RXWD'
· ĐẦY ĐỦ - Tương đương với quyền 'RWXDPO'
EXIT TÌNH TRẠNG
Chương trình smbcacls đặt trạng thái thoát tùy thuộc vào sự thành công hoặc cách khác của
các hoạt động đã thực hiện. Trạng thái thoát có thể là một trong các giá trị sau.
Nếu thao tác thành công, smbcacls trả về và trạng thái thoát là 0. Nếu smbcacls không thể
kết nối với máy chủ được chỉ định hoặc đã xảy ra lỗi khi lấy hoặc thiết lập ACL, một
trạng thái thoát của 1 được trả lại. Nếu có lỗi khi phân tích cú pháp bất kỳ đối số dòng lệnh nào,
trạng thái thoát của 2 được trả lại.
PHIÊN BẢN
Trang người đàn ông này là chính xác cho phiên bản 4 của bộ Samba.
Sử dụng smbcacls trực tuyến bằng các dịch vụ onworks.net
