นี่คือคำสั่ง smbcacls ที่สามารถเรียกใช้ในผู้ให้บริการโฮสต์ฟรีของ OnWorks โดยใช้หนึ่งในเวิร์กสเตชันออนไลน์ฟรีของเรา เช่น Ubuntu Online, Fedora Online, โปรแกรมจำลองออนไลน์ของ Windows หรือโปรแกรมจำลองออนไลน์ของ MAC OS
โครงการ:
ชื่อ
smbcacls - ตั้งค่าหรือรับ ACL ในไฟล์ NT หรือชื่อไดเร็กทอรี
เรื่องย่อ
smbcacls {//เซิร์ฟเวอร์/share} {/filename} [-D|--delete acl] [-M|--modify acl] [-a|--add acl]
[-S|--set acl] [-C|--ชื่อ chown] [-G|--ชื่อ chgrp] [-ฉันอนุญาต|ลบ|คัดลอก] [--ตัวเลข]
[-t] [-U ชื่อผู้ใช้] [-d] [-e] [-m|--max-protocol LEVEL] [--query-security-info FLAGS]
[--set-security-info FLAGS] [--sddl] [--domain-sid SID]
DESCRIPTION
เครื่องมือนี้เป็นส่วนหนึ่งของ แซมบ้า(7) ห้องชุด
โปรแกรม smbcacls จัดการ NT Access Control Lists (ACLs) ในการแชร์ไฟล์ SMB ACL
ประกอบด้วยรายการควบคุมการเข้าใช้ (ACE) ศูนย์หรือมากกว่า ซึ่งกำหนดข้อจำกัดการเข้าถึง
สำหรับผู้ใช้หรือกลุ่มเฉพาะ
OPTIONS
ตัวเลือกต่อไปนี้ใช้ได้กับโปรแกรม smbcacls รูปแบบของ ACL คือ
อธิบายไว้ในส่วน ACL FORMAT
-a|--เพิ่ม acl
เพิ่มรายการที่ระบุใน ACL รายการควบคุมการเข้าถึงที่มีอยู่จะไม่เปลี่ยนแปลง
-M|--ปรับเปลี่ยน acl
แก้ไขค่ามาสก์ (สิทธิ์) สำหรับ ACE ที่ระบุในบรรทัดคำสั่ง หนึ่ง
ข้อผิดพลาดจะถูกพิมพ์สำหรับแต่ละ ACE ที่ระบุที่ไม่มีอยู่ใน
ACL ของออบเจ็กต์
-D|--ลบ acl
ลบ ACE ใด ๆ ที่ระบุในบรรทัดคำสั่ง จะมีการพิมพ์ข้อผิดพลาดสำหรับแต่ละ ACE
ระบุว่ายังไม่มีอยู่ใน ACL ของวัตถุ
-S|--ชุด acl
คำสั่งนี้ตั้งค่า ACL บนวัตถุด้วยเฉพาะสิ่งที่ระบุไว้ในคำสั่ง
ไลน์. ACL ที่มีอยู่จะถูกลบออก โปรดทราบว่า ACL ที่ระบุต้องมีอย่างน้อย a
แก้ไขประเภทเจ้าของและกลุ่มเพื่อให้การโทรสำเร็จ
-C|--ชื่อเล่น
เจ้าของไฟล์หรือไดเร็กทอรีสามารถเปลี่ยนเป็นชื่อที่กำหนดโดยใช้ -C ตัวเลือก
ชื่อสามารถเป็น sid ในรูปแบบ S-1-xyz หรือชื่อที่แก้ไขกับเซิร์ฟเวอร์
ระบุไว้ในอาร์กิวเมนต์แรก
คำสั่งนี้เป็นคำสั่งลัดสำหรับ -M OWNER:name
-G|--ชื่อ chgrp
เจ้าของกลุ่มของไฟล์หรือไดเร็กทอรีสามารถเปลี่ยนเป็นชื่อที่กำหนดโดยใช้ -G
ตัวเลือก. ชื่อสามารถเป็นซิดในรูปแบบ S-1-xyz หรือชื่อที่แก้ไขกับ
เซิร์ฟเวอร์ที่ระบุ n อาร์กิวเมนต์แรก
คำสั่งนี้เป็นคำสั่งลัดสำหรับ -M GROUP:name
-I|--สืบทอดอนุญาต|ลบ|คัดลอก
ตั้งค่าหรือยกเลิกการตั้งค่ากล่องกาเครื่องหมาย "อนุญาตการอนุญาตที่สืบทอดได้" ของหน้าต่างโดยใช้ -I
ตัวเลือก. การตั้งค่าช่องกาเครื่องหมายอนุญาต หากต้องการยกเลิกการตั้งค่ากล่องกาเครื่องหมายให้ผ่านลบหรือ
สำเนา. Remove จะลบ acls ที่สืบทอดมาทั้งหมด Copy จะคัดลอก acls ที่สืบทอดมาทั้งหมด
--ตัวเลข
ตัวเลือกนี้แสดงข้อมูล ACL ทั้งหมดในรูปแบบตัวเลข ค่าเริ่มต้นคือการแปลง
SID เป็นชื่อและประเภท ACE และมาสก์เป็นรูปแบบสตริงที่อ่านได้
-m|--max-โปรโตคอล PROTOCOL_NAME
สิ่งนี้ทำให้ผู้ใช้สามารถเลือกระดับโปรโตคอล SMB สูงสุดที่ smbcacls จะใช้
เพื่อเชื่อมต่อกับเซิร์ฟเวอร์ โดยค่าเริ่มต้น ค่านี้จะถูกตั้งค่าเป็น NT1 ซึ่งเป็นค่าสูงสุด
โปรโตคอล SMB1 ที่พร้อมใช้งาน ในการเชื่อมต่อโดยใช้โปรโตคอล SMB2 หรือ SMB3 ให้ใช้สตริง SMB2
หรือ SMB3 ตามลำดับ โปรดทราบว่าการเชื่อมต่อกับเซิร์ฟเวอร์ Windows 2012 ด้วยการเข้ารหัส
ต้องมีการขนส่งโดยเลือกโปรโตคอลสูงสุดของ SMB3
-t|--ทดสอบ args
อย่าทำอะไรเลย ให้ตรวจสอบความถูกต้องของข้อโต้แย้งเท่านั้น
--query-ความปลอดภัย-ข้อมูล FLAGS
แฟล็กข้อมูลความปลอดภัยสำหรับการสืบค้น
--set-ความปลอดภัย-ข้อมูล FLAGS
แฟล็กข้อมูลความปลอดภัยสำหรับการสืบค้น
--sddl
เอาต์พุตและอินพุต acls ในรูปแบบ sddl
--domain-sid
SID ใช้สำหรับการประมวลผล sddl
-d|--debuglevel=ระดับ
ระดับ เป็นจำนวนเต็มตั้งแต่ 0 ถึง 10 ค่าเริ่มต้นหากไม่ได้ระบุพารามิเตอร์นี้
คือ 0
ยิ่งค่านี้สูง รายละเอียดเพิ่มเติมจะถูกบันทึกลงในล็อกไฟล์เกี่ยวกับ
กิจกรรมของเซิร์ฟเวอร์ ที่ระดับ 0 เฉพาะข้อผิดพลาดร้ายแรงและคำเตือนที่ร้ายแรงเท่านั้นที่จะ
เข้าสู่ระบบ ระดับ 1 เป็นระดับที่สมเหตุสมผลสำหรับการวิ่งแบบวันต่อวัน - มันสร้างขนาดเล็ก
จำนวนข้อมูลเกี่ยวกับการดำเนินงานที่ดำเนินการ
ระดับที่สูงกว่า 1 จะสร้างข้อมูลบันทึกจำนวนมาก และควรใช้เท่านั้น
เมื่อตรวจสอบปัญหา ระดับที่สูงกว่า 3 ได้รับการออกแบบมาเพื่อใช้งานโดยนักพัฒนาเท่านั้น
และสร้างข้อมูลบันทึกจำนวนมาก ซึ่งส่วนใหญ่เป็นความลับอย่างยิ่ง
โปรดทราบว่าการระบุพารามิเตอร์นี้ที่นี่จะแทนที่ เข้าสู่ระบบ ระดับ พารามิเตอร์ใน
ไฟล์ smb.conf
-V|--รุ่น
พิมพ์หมายเลขเวอร์ชันของโปรแกรม
-s|--configfile=
ไฟล์ที่ระบุมีรายละเอียดการกำหนดค่าที่เซิร์ฟเวอร์ต้องการ NS
ข้อมูลในไฟล์นี้รวมถึงข้อมูลเฉพาะเซิร์ฟเวอร์เช่นสิ่งที่ printcap
ไฟล์ที่จะใช้ตลอดจนคำอธิบายของบริการทั้งหมดที่เซิร์ฟเวอร์ต้องการ
จัดเตรียม. ดู smb.conf สำหรับข้อมูลเพิ่มเติม ชื่อไฟล์การกำหนดค่าเริ่มต้นคือ
กำหนดในเวลารวบรวม
-l|--log-basename=logdirectory
ชื่อไดเร็กทอรีฐานสำหรับไฟล์บันทึก/ดีบัก ส่วนขยาย ".progname" จะต่อท้าย
(เช่น log.smbclient, log.smbd เป็นต้น...) ไฟล์บันทึกจะไม่ถูกลบโดยไคลเอ็นต์
--option= =
ตั้ง smb.conf(5) ตัวเลือก " " มูลค่า " " จากบรรทัดคำสั่ง นี้
แทนที่ค่าเริ่มต้นที่คอมไพล์แล้วและตัวเลือกที่อ่านจากไฟล์การกำหนดค่า
-N|--ไม่ผ่าน
หากระบุไว้ พารามิเตอร์นี้จะระงับพรอมต์รหัสผ่านปกติจากไคลเอนต์ถึง
ผู้ใช้งาน. สิ่งนี้มีประโยชน์เมื่อเข้าถึงบริการที่ไม่ต้องใช้รหัสผ่าน
เว้นแต่จะระบุรหัสผ่านในบรรทัดคำสั่งหรือระบุพารามิเตอร์นี้
ลูกค้าจะขอรหัสผ่าน
หากระบุรหัสผ่านในบรรทัดคำสั่งและตัวเลือกนี้ถูกกำหนดด้วย
รหัสผ่านบนบรรทัดคำสั่งจะถูกละเว้นและจะไม่มีการใช้รหัสผ่าน
-k|--เคอร์เบอรอส
ลองตรวจสอบกับ kerberos มีประโยชน์เฉพาะในสภาพแวดล้อม Active Directory
-C|--ใช้-ccache
ลองใช้ข้อมูลประจำตัวที่แคชโดย winbind
-A|--authentication-file=ชื่อไฟล์
ตัวเลือกนี้ช่วยให้คุณระบุไฟล์ที่จะอ่านชื่อผู้ใช้และรหัสผ่าน
ใช้ในการเชื่อมต่อ รูปแบบของไฟล์คือ
ชื่อผู้ใช้ =
รหัสผ่าน =
โดเมน =
ตรวจสอบให้แน่ใจว่าการอนุญาตบนไฟล์จำกัดการเข้าถึงจากผู้ใช้ที่ไม่ต้องการ
-U|--ผู้ใช้=ชื่อผู้ใช้[%รหัสผ่าน]
ตั้งค่าชื่อผู้ใช้ SMB หรือชื่อผู้ใช้และรหัสผ่าน
หากไม่ได้ระบุ %password ผู้ใช้จะได้รับแจ้ง ลูกค้าจะตรวจสอบก่อน
USER ตัวแปรสภาพแวดล้อม แล้ว ชื่อล็อก ตัวแปร และหากมีอย่างใดอย่างหนึ่ง ให้
สตริงเป็นตัวพิมพ์ใหญ่ หากไม่พบตัวแปรสภาพแวดล้อมเหล่านี้ ชื่อผู้ใช้
เกสต์ ถูกนำมาใช้.
ตัวเลือกที่สามคือการใช้ไฟล์ข้อมูลรับรองที่มีข้อความธรรมดาของ
ชื่อผู้ใช้และรหัสผ่าน ตัวเลือกนี้มีไว้สำหรับสคริปต์ที่ผู้ดูแลระบบทำเป็นหลัก
ไม่ต้องการส่งข้อมูลประจำตัวบนบรรทัดคำสั่งหรือผ่านตัวแปรสภาพแวดล้อม ถ้า
วิธีนี้ใช้ตรวจสอบให้แน่ใจว่าการอนุญาตในไฟล์นั้น จำกัด การเข้าถึง
จากผู้ใช้ที่ไม่ต้องการ ดู -A .
โปรดใช้ความระมัดระวังในการใส่รหัสผ่านลงในสคริปต์ นอกจากนี้ในหลายระบบคำสั่ง
บรรทัดของกระบวนการที่ทำงานอยู่อาจเห็นได้โดยใช้คำสั่ง ps ให้ปลอดภัยอยู่เสมอ
rpcclient เพื่อขอรหัสผ่านและพิมพ์โดยตรง
-S|--ลงชื่อเข้าใช้|ปิด|จำเป็น
ตั้งค่าสถานะการลงนามของไคลเอ็นต์
-P|--เครื่อง-pass
ใช้รหัสผ่านบัญชีเครื่องที่เก็บไว้
-e|--เข้ารหัส
พารามิเตอร์บรรทัดคำสั่งนี้ต้องการรีโมตเซิร์ฟเวอร์ที่สนับสนุนส่วนขยาย UNIX หรือ
ว่าได้เลือกโปรโตคอล SMB3 แล้ว ขอให้เข้ารหัสการเชื่อมต่อ
เจรจาการเข้ารหัส SMB โดยใช้ส่วนขยาย SMB3 หรือ POSIX ผ่าน GSSAPI ใช้
ให้ข้อมูลประจำตัวสำหรับการเจรจาการเข้ารหัส (ทั้ง kerberos หรือ NTLMv1/v2 if
ให้โดเมน/ชื่อผู้ใช้/รหัสผ่านสามเท่า การเชื่อมต่อล้มเหลวหากไม่สามารถเข้ารหัสได้
เจรจา
--pw-nt-แฮช
รหัสผ่านที่ให้มาคือแฮช NT
-n|--netbiosname
ตัวเลือกนี้ช่วยให้คุณสามารถแทนที่ชื่อ NetBIOS ที่ Samba ใช้สำหรับตัวเองได้ นี้
เหมือนกับการตั้งค่า เน็ตไบโอ พร้อมชื่อ พารามิเตอร์ในไฟล์ smb.conf อย่างไรก็ตาม a
การตั้งค่าบรรทัดคำสั่งจะมีความสำคัญเหนือการตั้งค่าใน smb.conf
-i|--ขอบเขต
สิ่งนี้ระบุขอบเขต NetBIOS ที่ nmblookup จะใช้เพื่อสื่อสารกับเมื่อ
การสร้างชื่อ NetBIOS สำหรับรายละเอียดเกี่ยวกับการใช้ขอบเขต NetBIOS โปรดดู rfc1001.txt
และ rfc1002.txt ขอบเขต NetBIOS คือ มาก ไม่ค่อยได้ใช้ ให้ตั้งค่าพารามิเตอร์นี้เฉพาะถ้าคุณ
เป็นผู้ดูแลระบบที่ดูแลระบบ NetBIOS ทั้งหมดที่คุณสื่อสาร
กับ
-W|--เวิร์กกรุ๊ป=โดเมน
ตั้งค่าโดเมน SMB ของชื่อผู้ใช้ สิ่งนี้จะแทนที่โดเมนเริ่มต้นซึ่งก็คือ
โดเมนที่กำหนดไว้ใน smb.conf หากโดเมนที่ระบุเหมือนกับเซิร์ฟเวอร์ NetBIOS
ชื่อ มันทำให้ไคลเอนต์เข้าสู่ระบบโดยใช้เซิร์ฟเวอร์ SAM ในพื้นที่ (ตรงข้ามกับ
โดเมน SAM)
-O|--socket-options ตัวเลือกซ็อกเก็ต
ตัวเลือกซ็อกเก็ต TCP เพื่อตั้งค่าบนซ็อกเก็ตไคลเอนต์ ดูพารามิเตอร์ตัวเลือกซ็อกเก็ตใน
หน้าคู่มือ smb.conf สำหรับรายการตัวเลือกที่ถูกต้อง
-?|--ช่วยด้วย
พิมพ์สรุปตัวเลือกบรรทัดคำสั่ง
--การใช้งาน
แสดงข้อความการใช้งานสั้นๆ
ACL FORMAT
รูปแบบของ ACL คือหนึ่งหรือหลายรายการที่คั่นด้วยเครื่องหมายจุลภาคหรือขึ้นบรรทัดใหม่ ACL
รายการเป็นหนึ่งในรายการต่อไปนี้:
การแก้ไข:
เจ้าของ:
กลุ่ม:
เอซีแอล: : / /
การแก้ไข ACL ระบุการแก้ไข Windows NT ACL ภายในสำหรับการรักษาความปลอดภัย
คำอธิบาย หากไม่ระบุ ค่าเริ่มต้นคือ 1 การใช้ค่าอื่นที่ไม่ใช่ 1 อาจก่อให้เกิดความแปลกได้
พฤติกรรม.
เจ้าของและกลุ่มระบุเจ้าของและกลุ่มซิดสำหรับวัตถุ หาก SID ใน
มีการระบุรูปแบบ S-1-xyz นี้ มิฉะนั้น ชื่อที่ระบุจะได้รับการแก้ไขโดยใช้
เซิร์ฟเวอร์ที่มีไฟล์หรือไดเร็กทอรีอยู่
ACE ถูกระบุด้วยคำนำหน้า "ACL:" และกำหนดสิทธิ์ที่มอบให้กับ SID NS
SID อีกครั้งสามารถระบุในรูปแบบ S-1-xyz หรือเป็นชื่อในกรณีที่ได้รับการแก้ไข
เทียบกับเซิร์ฟเวอร์ที่มีไฟล์หรือไดเร็กทอรีอยู่ ประเภท แฟล็ก และค่ามาสก์
กำหนดประเภทการเข้าถึงที่มอบให้กับ SID
ประเภทสามารถเป็น ALLOWED หรือ DENIED เพื่ออนุญาต/ปฏิเสธการเข้าถึง SID ค่าสถานะ
โดยทั่วไปจะเป็นศูนย์สำหรับไฟล์ ACE และ 9 หรือ 2 สำหรับไดเร็กทอรี ACE ธงทั่วไปบางส่วน
คือ:
· #กำหนด ก.ล.ต._ACE_FLAG_OBJECT_INHERIT 0x1
· #กำหนด SEC_ACE_FLAG_CONTAINER_INHERIT 0x2
· #กำหนด SEC_ACE_FLAG_NO_PROPAGATE_INHERIT 0x4
· #กำหนด ก.ล.ต._ACE_FLAG_INHERIT_ONLY 0x8
ในปัจจุบัน สามารถระบุแฟล็กเป็นค่าทศนิยมหรือเลขฐานสิบหกเท่านั้น
มาสก์เป็นค่าที่แสดงสิทธิ์การเข้าถึงที่มอบให้กับ SID ให้ได้
เป็นค่าทศนิยมหรือเลขฐานสิบหก หรือโดยใช้สตริงข้อความต่อไปนี้ซึ่ง map
การอนุญาตไฟล์ NT ที่มีชื่อเดียวกัน
· R - อนุญาตให้เข้าถึงการอ่าน
· W - อนุญาตให้เขียนการเข้าถึง
· X - ดำเนินการอนุญาตบนวัตถุ
· D - ลบวัตถุ
· P - เปลี่ยนการอนุญาต
· O - เป็นเจ้าของ
สามารถระบุสิทธิ์แบบรวมต่อไปนี้ได้:
· อ่าน - เทียบเท่ากับการอนุญาต 'RX'
· เปลี่ยน - เทียบเท่ากับการอนุญาต 'RXWD'
· เต็ม - เทียบเท่ากับการอนุญาต 'RWXDPO'
EXIT สถานภาพ
โปรแกรม smbcacls กำหนดสถานะการออกขึ้นอยู่กับความสำเร็จหรืออย่างอื่นของ
ดำเนินการแล้ว สถานะการออกอาจเป็นค่าใดค่าหนึ่งต่อไปนี้
หากการดำเนินการสำเร็จ smbcacls จะส่งคืนและสถานะออกเป็น 0 หาก smbcacls ไม่สามารถทำได้
เชื่อมต่อกับเซิร์ฟเวอร์ที่ระบุ หรือมีข้อผิดพลาดในการรับหรือตั้งค่า ACL และ
สถานะการออก 1 จะถูกส่งคืน หากมีข้อผิดพลาดในการแยกวิเคราะห์อาร์กิวเมนต์บรรทัดคำสั่งใด ๆ an
สถานะการออกของ 2 จะถูกส่งคืน
VERSION
หน้าคู่มือนี้ถูกต้องสำหรับชุด Samba เวอร์ชัน 4
ใช้ smbcacls ออนไลน์โดยใช้บริการ onworks.net
