Este es el comando smbcacls que se puede ejecutar en el proveedor de alojamiento gratuito de OnWorks utilizando una de nuestras múltiples estaciones de trabajo en línea gratuitas, como Ubuntu Online, Fedora Online, emulador en línea de Windows o emulador en línea de MAC OS.
PROGRAMA:
NOMBRE
smbcacls: establece u obtiene ACL en un archivo NT o nombres de directorio
SINOPSIS
smbcacls {// servidor / recurso compartido} {/ nombre de archivo} [-D | --delete acl] [-M | --modify acl] [-a | --add acl]
[-S | --set acl] [-C | --chown name] [-G | --chgrp name] [-I allow | remove | copy] [--numeric]
[-t] [-U nombre de usuario] [-d] [-e] [-m | --max-protocol LEVEL] [--query-security-info FLAGS]
[--set-security-info BANDERAS] [--sddl] [--domain-sid SID]
DESCRIPCIÓN
Esta herramienta es parte del samba(7) conjunto.
El programa smbcacls manipula las listas de control de acceso (ACL) de NT en recursos compartidos de archivos SMB. Una LCA
se compone de cero o más entradas de control de acceso (ACE), que definen las restricciones de acceso
para un usuario o grupo específico.
OPCIONES
Las siguientes opciones están disponibles para el programa smbcacls. El formato de las ACL es
descrito en la sección FORMATO ACL
-a | --add acl
Agregue las entradas especificadas a la ACL. Las entradas de control de acceso existentes no se modifican.
-M | --modificar acl
Modifique el valor de la máscara (permisos) para las ACE especificadas en la línea de comando. Un
Se imprimirá el error para cada ACE especificado que no estaba ya presente en el
ACL del objeto.
-D | --delete acl
Elimine cualquier ACE especificado en la línea de comando. Se imprimirá un error para cada ACE
especificado que no estaba ya presente en la ACL del objeto.
-S | --set acl
Este comando establece la ACL en el objeto con solo lo que se especifica en el comando
línea. Se borra cualquier ACL existente. Tenga en cuenta que la ACL especificada debe contener al menos un
revisión, tipo, propietario y grupo para que la llamada tenga éxito.
-C | --nombre del descendiente
El propietario de un archivo o directorio se puede cambiar al nombre dado usando el -C .
El nombre puede ser un sid con el formato S-1-xyz o un nombre resuelto en el servidor.
especificado en el primer argumento.
Este comando es un atajo para -M PROPIETARIO: nombre.
-G | --chgrp nombre
El propietario del grupo de un archivo o directorio se puede cambiar al nombre dado usando el -G
opción. El nombre puede ser un sid en la forma S-1-xyz o un nombre resuelto contra el
servidor especificado en el primer argumento.
Este comando es un atajo para -M GROUP: name.
-I | - heredar permitir | eliminar | copiar
Active o desactive la casilla de verificación "Permitir permisos heredables" de Windows mediante la -I
opción. Para establecer la casilla de verificación pasar permitir. Para desarmar la casilla de verificación, pase eliminar o
Copiar. Eliminar eliminará todas las ACL heredadas. Copiar copiará todas las ACL heredadas.
--numérico
Esta opción muestra toda la información de ACL en formato numérico. El valor predeterminado es convertir
SID a nombres y tipos de ACE y máscaras a un formato de cadena legible.
-m | --max-protocol NOMBRE DEL PROTOCOLO
Esto permite al usuario seleccionar el nivel de protocolo SMB más alto que utilizará smbcacls
para conectarse al servidor. De forma predeterminada, se establece en NT1, que es el más alto
protocolo SMB1 disponible. Para conectarse usando el protocolo SMB2 o SMB3, use las cadenas SMB2
o SMB3 respectivamente. Tenga en cuenta que para conectarse a un servidor de Windows 2012 con cifrado
Se requiere transporte seleccionando un protocolo máximo de SMB3.
-t | --test-args
En realidad, no hagas nada, solo valida la exactitud de los argumentos.
--query-security-info BANDERAS
Los indicadores de información de seguridad para consultas.
--set-security-info BANDERAS
Los indicadores de información de seguridad para consultas.
--sddl
Acls de entrada y salida en formato sddl.
--dominio-sid SID
SID utilizado para el procesamiento sddl.
-d | --debuglevel = nivel
nivel es un número entero de 0 a 10. El valor predeterminado si no se especifica este parámetro
es 0.
Cuanto mayor sea este valor, más detalles se registrarán en los archivos de registro sobre el
actividades del servidor. En el nivel 0, solo los errores críticos y las advertencias graves
estar registrado. El nivel 1 es un nivel razonable para la ejecución diaria; genera una pequeña
cantidad de información sobre las operaciones realizadas.
Los niveles superiores a 1 generarán cantidades considerables de datos de registro y solo deben utilizarse
al investigar un problema. Los niveles superiores a 3 están diseñados para ser utilizados únicamente por desarrolladores.
y generar GRANDES cantidades de datos de registro, la mayoría de los cuales son extremadamente crípticos.
Tenga en cuenta que especificar este parámetro aquí anulará el log nivel parámetro en el
archivo smb.conf.
-V | --versión
Imprime el número de versión del programa.
-s | --configfile =
El archivo especificado contiene los detalles de configuración requeridos por el servidor. los
La información de este archivo incluye información específica del servidor, como qué printcap
archivo a utilizar, así como descripciones de todos los servicios que el servidor
proveer. Consulte smb.conf para obtener más información. El nombre del archivo de configuración predeterminado es
determinado en el momento de la compilación.
-l | --log-basename = logdirectory
Nombre del directorio base para los archivos de registro / depuración. La extensión ".progname" será añadido
(por ejemplo, log.smbclient, log.smbd, etc ...). El cliente nunca elimina el archivo de registro.
--opción = =
Seleccione las smb.conf(5) opción " " valorar " "desde la línea de comando. Este
anula los valores predeterminados compilados y las opciones leídas desde el archivo de configuración.
-N | --no pasar
Si se especifica, este parámetro suprime la solicitud de contraseña normal del cliente para
el usuario. Esto es útil cuando se accede a un servicio que no requiere contraseña.
A menos que se especifique una contraseña en la línea de comando o se especifique este parámetro, el
el cliente solicitará una contraseña.
Si se especifica una contraseña en la línea de comando y esta opción también se define,
La contraseña en la línea de comando se ignorará silenciosamente y no se utilizará ninguna contraseña.
-k | --kerberos
Intente autenticarse con kerberos. Solo es útil en un entorno de Active Directory.
-C | --use-ccache
Intente utilizar las credenciales almacenadas en caché por winbind.
-A | --authentication-file = nombre de archivo
Esta opción le permite especificar un archivo desde el cual leer el nombre de usuario y la contraseña.
utilizado en la conexión. El formato del archivo es
nombre de usuario =
contraseña =
dominio =
Asegúrese de que los permisos del archivo restrinjan el acceso de usuarios no deseados.
-U | --user = nombre de usuario [% contraseña]
Establece el nombre de usuario SMB o el nombre de usuario y la contraseña.
Si no se especifica% contraseña, se le preguntará al usuario. El cliente primero comprobará
los USUARIO variable de entorno, entonces la NOMBRE DE REGISTRO variable y si existe alguna, la
la cadena está en mayúscula. Si no se encuentran estas variables ambientales, el nombre de usuario
HUÉSPED se utiliza.
Una tercera opción es utilizar un archivo de credenciales que contenga el texto sin formato de la
nombre de usuario y contraseña. Esta opción se proporciona principalmente para scripts en los que el administrador lo hace
no desea pasar las credenciales en la línea de comando o mediante variables de entorno. Si
se utiliza este método, asegúrese de que los permisos en el archivo restrinjan el acceso
de usuarios no deseados. Ver el -A para obtener más información.
Tenga cuidado al incluir contraseñas en los scripts. Además, en muchos sistemas, el comando
La línea de un proceso en ejecución se puede ver a través del comando ps. Estar seguro siempre permite
rpcclient para solicitar una contraseña y escribirla directamente.
-S | --iniciando | desactivado | obligatorio
Establezca el estado de firma del cliente.
-P | --paso de máquina
Utilice la contraseña de la cuenta de la máquina almacenada.
-e | --encriptar
Este parámetro de línea de comando requiere que el servidor remoto admita las extensiones UNIX o
que se ha seleccionado el protocolo SMB3. Solicita que la conexión esté encriptada.
Negocia el cifrado SMB utilizando extensiones SMB3 o POSIX a través de GSSAPI. Usa el
dadas las credenciales para la negociación de cifrado (ya sea kerberos o NTLMv1 / v2 si
dado triple de dominio / nombre de usuario / contraseña. Falla la conexión si el cifrado no se puede
negociado.
--pw-nt-hash
La contraseña proporcionada es el hash NT.
-n | --netbiosname
Esta opción le permite anular el nombre NetBIOS que Samba usa para sí mismo. Esta
es idéntico a configurar el Netbios nombre parámetro en el archivo smb.conf. Sin embargo, un
la configuración de la línea de comando tendrá prioridad sobre la configuración en smb.conf.
-i | - alcance
Esto especifica un alcance NetBIOS que nmblookup utilizará para comunicarse cuando
generando nombres NetBIOS. Para obtener detalles sobre el uso de ámbitos NetBIOS, consulte rfc1001.txt
y rfc1002.txt. Los ámbitos NetBIOS son muy se utiliza con poca frecuencia, solo establezca este parámetro si
es el administrador del sistema a cargo de todos los sistemas NetBIOS con los que se comunica
con.
-W | --workgroup = dominio
Configure el dominio SMB del nombre de usuario. Esto anula el dominio predeterminado que es el
dominio definido en smb.conf. Si el dominio especificado es el mismo que el de los servidores NetBIOS
nombre, hace que el cliente inicie sesión utilizando el SAM local del servidor (a diferencia del
Dominio SAM).
-O | --socket-options opciones de socket
Opciones de socket TCP para configurar en el socket del cliente. Vea el parámetro de opciones de socket en
la página de manual de smb.conf para la lista de opciones válidas.
-? | --ayuda
Imprima un resumen de las opciones de la línea de comandos.
--uso
Muestra un breve mensaje de uso.
ACL FORMATO
El formato de una ACL es una o más entradas separadas por comas o líneas nuevas. Una LCA
La entrada es una de las siguientes:
REVISIÓN:
DUEÑO:
GRUPO:
ACL: : / /
La revisión de la ACL especifica la revisión interna de la ACL de Windows NT para la seguridad.
descriptor. Si no se especifica, el valor predeterminado es 1. El uso de valores distintos de 1 puede causar extraños
comportamiento.
El propietario y el grupo especifican los sids del propietario y del grupo para el objeto. Si un SID en el
se especifica el formato S-1-xyz, se usa, de lo contrario, el nombre especificado se resuelve usando
el servidor en el que reside el archivo o directorio.
Las ACE se especifican con un prefijo "ACL:" y definen los permisos otorgados a un SID. los
SID nuevamente se puede especificar en formato S-1-xyz o como un nombre, en cuyo caso se resuelve
contra el servidor en el que reside el archivo o directorio. El tipo, banderas y valores de máscara.
determinar el tipo de acceso otorgado al SID.
El tipo puede ser PERMITIDO o DENEGADO para permitir / denegar el acceso al SID. Los valores de las banderas
son generalmente cero para las ACE de archivo y 9 o 2 para las ACE de directorio. Algunas banderas comunes
son:
· #definir SEC_ACE_FLAG_OBJECT_INHERIT 0x1
· #definir SEC_ACE_FLAG_CONTAINER_INHERIT 0x2
· #definir SEC_ACE_FLAG_NO_PROPAGATE_INHERIT 0x4
· #definir SEC_ACE_FLAG_INHERIT_ONLY 0x8
En la actualidad, las banderas solo se pueden especificar como valores decimales o hexadecimales.
La máscara es un valor que expresa el derecho de acceso otorgado al SID. Se puede dar
como un valor decimal o hexadecimal, o usando una de las siguientes cadenas de texto que mapean
a los permisos de archivo NT del mismo nombre.
· R - Permitir acceso de lectura
· W - Permitir acceso de escritura
· X - Ejecutar permiso sobre el objeto
· D - Eliminar el objeto
· P - Cambiar permisos
· O - Tomar posesión
Se pueden especificar los siguientes permisos combinados:
· LEER - Equivalente a los permisos 'RX'
· CAMBIO - Equivalente a los permisos 'RXWD'
· FULL - Equivalente a los permisos 'RWXDPO'
SALIR ESTADO
El programa smbcacls establece el estado de salida dependiendo del éxito o no de la
operaciones realizadas. El estado de salida puede ser uno de los siguientes valores.
Si la operación tuvo éxito, smbcacls regresa y sale del estado de 0. Si smbcacls no pudo
conectarse al servidor especificado, o hubo un error al obtener o configurar las ACL, un
Se devuelve el estado de salida de 1. Si hubo un error al analizar cualquier argumento de la línea de comando, un
Se devuelve el estado de salida de 2.
VERSION
Esta página de manual es correcta para la versión 4 de la suite Samba.
Utilice smbcacls en línea utilizando los servicios de onworks.net