Active Directory: утилита ACLDIAG


Утилита acldiag позволяет проверить записи списка управления доступом, которые относятся к объекту Active Directory. Кроме этого, утилита позволяет обнаружить и исправить проблемы, которые возникают из-за внесения несогласованных изменений в записи списков управления доступом.

Например, предположим, что с помощью мастера делегирования управления определенному пользователю в подразделении предоставлено право создавать других пользователей в подразделении и сбрасывать пароли пользователей. Если другой администратор внесет изменения в дополнительные разрешения подразделения или в разрешения родительского подразделения, параметры шаблона делегирования, предоставленные мастером делегирования управления, могут не совпадать.

При этом пользователи, которые могли создавать других пользователей, больше не могут этого делать. К счастью, компания Microsoft предоставляет утилиту acldiag для быстрого исправления таких проблем.

Команда acldiag имеет следующий синтаксис:

acldiag <DN> [/schema] [/chkdeleg] [/geteffective:<user|group|*>] [/fixdeleg] [/skip] [/tdo]

Параметры команды рассматриваются в следующей таблице.

Параметры команды acldiag

Параметр

Использование

DN

Составное имя (Distinguished Name — DN) является обязательным параметром и идентифицирует объект, являющийся целью применения команды. Вот пример составного имени: cn=mpupkin,ou=support,dc=prod,dc=mc,dc=com

/shema

Этот параметр заставляет утилиту проверять схему на вхождение принятых по умолчанию в схеме записей списков управления доступом в список управления доступом объекта. Результат проверки отображается в выводе команды

/chkdeleg

Этот параметр используется для выполнения диагностики делегирования. Проверяется вхождение записей управления доступом в шаблон делегирования (который создается мастером делегирования управления). Если команда возвращает состояние Misconfigured, то как минимум одно разрешение из списка управления доступом не совпадает с указанными разрешениями в шаблоне делегирования

/geteffective:<user|group|*>

Отображает эффективные разрешения для целевого объекта, принадлежащие определенному пользователи или группе. Если использовать символ шаблона *, отображаются эффективные разрешения для всех пользователей и групп

/fixdeleg

Заставляет утилиту acldiag повторно применить шаблон делегирования к списку управления доступом объекта. Это приводит к удалению специальных разрешений, назначенных объекту, и восстанавливает неполные делегирования. Вместо автоматического исправления некорректно настроенного делегирования, команда предлагает исправление каждой обнаруженной проблемы

/skip

Заставляет команду не отображать записи управления доступом, которые содержаться в списке управления доступом объекта

/tdo

Приводит к отображению вывода в формате с разделением символами табуляции. Этот параметр оказывается полезен для экспорта вывода в базу данных или в электронную таблицу

Читать также  Драйвера без цифровой подписи в Windows 7

Легко заметить, что утилита acldiag оказывается очень полезной при диагностике проблем доступа пользователей при делегировании управления с помощью мастера делегирования управления.

+ There are no comments

Add yours