smbcacls - 云端在线

程序：

您的姓名

smbcacls - 在 NT 文件或目录名称上设置或获取 ACL

概要

smbcacls {//服务器/共享} {/文件名} [-D|--删除acl] [-M|--修改acl] [-a|--添加acl]
[-S|--设置 acl] [-C|--chown 名称] [-G|--chgrp 名称] [-I 允许|删除|复制] [--数字]
[-t] [-U 用户名] [-d] [-e] [-m|--max-protocol LEVEL] [--query-security-info FLAGS]
[--set-security-info FLAGS] [--sddl] [--domain-sid SID]

商品描述

该工具是 桑巴(7) 套房。

smbcacls 程序操作 SMB 文件共享上的 NT 访问控制列表 (ACL)。 ACL
由零个或多个访问控制条目 (ACE) 组成，用于定义访问限制
对于特定用户或组。

配置

smbcacls 程序可以使用以下选项。 ACL 的格式为
在 ACL 格式部分中描述

-a|--添加 acl
将指定的条目添加到 ACL。 现有的访问控制条目不变。

-M|--修改acl
修改命令行上指定的 ACE 的掩码值（权限）。 一个
将为每个指定的 ACE 打印错误，这些 ACE 尚未存在于
对象的 ACL。

-D|--删除ACL
删除在命令行上指定的任何 ACE。 每个 ACE 都会打印一个错误
指定的对象的 ACL 中尚不存在。

-S|--设置acl
此命令仅使用命令中指定的内容在对象上设置 ACL
线。 任何现有的 ACL 都将被删除。 请注意，指定的 ACL 必须至少包含一个
调用成功的修订、类型、所有者和组。

-C|--chown 名称
文件或目录的所有者可以更改为使用给定的名称 -C 选项。
该名称可以是 S-1-xyz 形式的 sid 或针对服务器解析的名称
在第一个参数中指定。

此命令是 -M OWNER:name 的快捷方式。

-G|--chgrp 名称
文件或目录的组所有者可以更改为使用给定的名称 -G
选项。 该名称可以是 S-1-xyz 形式的 sid 或针对
服务器指定 n 第一个参数。

此命令是 -M GROUP:name 的快捷方式。

-I|--继承允许|删除|复制
使用 -I
选项。 设置复选框通过允许。 要取消设置复选框，请通过删除或
复制。 Remove 将删除所有继承的 acl。 Copy 将复制所有继承的 acl。

- 数字
此选项以数字格式显示所有 ACL 信息。 默认是转换
名称和 ACE 类型的 SID 和可读字符串格式的掩码。

-m|--最大协议 PROTOCOL_NAME
这允许用户选择 smbcacls 将使用的最高 SMB 协议级别
连接到服务器。 默认情况下，它设置为 NT1，这是最高的
可用的 SMB1 协议。 要使用 SMB2 或 SMB3 协议进行连接，请使用字符串 SMB2
或 SMB3。 请注意，使用加密连接到 Windows 2012 服务器
传输选择最大协议的 SMB3 是必需的。

-t|--测试参数
实际上什么都不做，只验证参数的正确性。

--query-security-info 标志
查询的安全信息标志。

--set-security-info 标志
查询的安全信息标志。

--sddl
以 sddl 格式输出和输入 acl。

--domain-sid SID
用于 sddl 处理的 SID。

-d|--debuglevel=级别
水平 是一个从 0 到 10 的整数。如果未指定此参数，则为默认值
是0。

此值越高，将在日志文件中记录更多关于
服务器的活动。 在 0 级，只有严重错误和严重警告才会出现
被记录。 级别 1 是日常运行的合理级别 - 它会产生少量
有关已执行操作的信息量。

高于 1 的级别将生成大量日志数据，仅应使用
在调查问题时。 高于 3 的级别仅供开发人员使用
并生成大量的日志数据，其中大部分非常神秘。

请注意，在此处指定此参数将覆盖 日志 水平 中的参数
smb.conf 文件。

-V|--版本
打印程序版本号。

-s|--configfile=
指定的文件包含服务器所需的配置详细信息。 这
此文件中的信息包括特定于服务器的信息，例如什么 printcap
要使用的文件，以及服务器要使用的所有服务的描述
提供。 有关更多信息，请参阅 smb.conf。 默认的配置文件名是
在编译时确定。

-l|--log-basename=日志目录
日志/调试文件的基本目录名称。 扩展名 “.progname” 将被附加
（例如 log.smbclient、log.smbd 等...）。 客户端永远不会删除日志文件。

--选项= =
设置 配置文件(5) 选项" “重视” " 来自命令行。这个
覆盖从配置文件中读取的编译默认值和选项。

-N|--不通过
如果指定，此参数将禁止来自客户端的正常密码提示
用户。 这在访问不需要密码的服务时很有用。

除非在命令行中指定了密码或指定了此参数，否则
客户将要求输入密码。

如果在命令行上指定了密码并且此选项也被定义
命令行上的密码将被静默忽略，并且不会使用任何密码。

-k|--kerberos
尝试使用 kerberos 进行身份验证。 仅在 Active Directory 环境中有用。

-C|--使用-ccache
尝试使用 winbind 缓存的凭据。

-A|--authentication-file=文件名
此选项允许您指定从中读取用户名和密码的文件
连接中使用。 文件的格式是

用户名 =
密码 =
域 =

确保文件的权限限制了不需要的用户的访问。

-U|--user=用户名[%密码]
设置 SMB 用户名或用户名和密码。

如果未指定 %password，将提示用户。 客户首先会检查
这些因素包括原料奶的可用性以及达到必要粉末质量水平所需的工艺。 USER 环境变量，然后 日志名称 变量，如果存在，则
字符串是大写的。 如果没有找到这些环境变量，用户名
GUEST 用来。

第三种选择是使用包含明文的凭证文件
用户名和密码。 此选项主要提供给管理员执行的脚本
不希望在命令行或通过环境变量传递凭据。 如果
使用此方法，请确保文件的权限限制访问
来自不需要的用户。 见 -A ，了解更多详情。

在脚本中包含密码时要谨慎。 此外，在许多系统上，命令
可以通过 ps 命令查看正在运行的进程的行。 为了安全总是允许
rpcclient 提示输入密码并直接输入。

-S|--签名开启|关闭|必需
设置客户端签名状态。

-P|--机器通行证
使用存储的机器帐户密码。

-e|--加密
此命令行参数要求远程服务器支持 UNIX 扩展或
已选择 SMB3 协议。 请求加密连接。
通过 GSSAPI 使用 SMB3 或 POSIX 扩展协商 SMB 加密。 使用
给定的加密协商凭据（kerberos 或 NTLMv1/v2，如果
给定域/用户名/密码三元组。 如果无法加密，则连接失败
洽谈。

--pw-nt-哈希
提供的密码是 NT 哈希。

-n|--netbiosname
此选项允许您覆盖 Samba 为自己使用的 NetBIOS 名称。 这个
与设置相同 Netbios 姓名 smb.conf 文件中的参数。 然而，一个
命令行设置将优先于 smb.conf 中的设置。

-i|--范围
这指定了一个 NetBIOS 范围，当 nmblookup 将使用该范围进行通信时
生成 NetBIOS 名称。 有关 NetBIOS 范围使用的详细信息，请参阅 rfc1001.txt
和 rfc1002.txt。 NetBIOS 范围是 非常 很少使用，如果你只设置这个参数
是负责您通信的所有 NetBIOS 系统的系统管理员
用。

-W|--workgroup=域
设置用户名的SMB域。 这将覆盖默认域，即
smb.conf 中定义的域。 如果指定的域与服务器 NetBIOS 相同
名称，它会导致客户端使用服务器本地 SAM（而不是
域 SAM）。

-O|--socket-options 套接字选项
在客户端套接字上设置的 TCP 套接字选项。 请参阅中的套接字选项参数
有效选项列表的 smb.conf 手册页。

-?|--帮助
打印命令行选项的摘要。

- 用法
显示简短的使用信息。

ACL FORMAT

ACL 的格式是由逗号或换行符分隔的一个或多个条目。 ACL
条目是以下之一：

修订：
所有者：
团体：
访问控制列表： ： / /

ACL 的修订版指定了安全性的内部 Windows NT ACL 修订版
描述符。 如果未指定，则默认为 1。使用 1 以外的值可能会导致奇怪
行为。

所有者和组指定对象的所有者和组 sid。 如果一个 SID 在
指定格式 S-1-xyz 使用此选项，否则指定的名称使用解析
文件或目录所在的服务器。

ACE 使用“ACL:”前缀指定，并定义授予 SID 的权限。 这
SID 可以再次指定为 S-1-xyz 格式或作为名称在这种情况下被解析
针对文件或目录所在的服务器。 类型、标志和掩码值
确定授予 SID 的访问权限类型。

该类型可以是 ALLOWED 或 DENIED 以允许/拒绝对 SID 的访问。 标志值
对于文件 ACE 通常为零，对于目录 ACE 通常为 9 或 2。 一些常见的标志
是：

· ＃定义 SEC_ACE_FLAG_OBJECT_INHERIT 0x1

· ＃定义 SEC_ACE_FLAG_CONTAINER_INHERIT 0x2

· ＃定义 SEC_ACE_FLAG_NO_PROPAGATE_INHERIT 0x4

· ＃定义 SEC_ACE_FLAG_INHERIT_ONLY 0x8

目前，标志只能指定为十进制或十六进制值。

掩码是一个值，表示授予 SID 的访问权限。 可以给
作为十进制或十六进制值，或通过使用以下映射的文本字符串之一
到同名的 NT 文件权限。

· R - 允许读取访问

· W - 允许写访问

· X - 对象的执行权限

· D - 删除对象

· P - 更改权限

· O - 取得所有权

可以指定以下组合权限：

· 读 - 相当于“RX”权限

· 更改 - 相当于“RXWD”权限

· 全 - 相当于“RWXDPO”权限

退出 状态

smbcacls 程序根据是否成功设置退出状态
执行的操作。 退出状态可以是以下值之一。

如果操作成功，smbcacls 返回并退出状态 0。如果 smbcacls 不能
连接到指定的服务器，或者获取或设置 ACL 时出错，
返回 1 的退出状态。 如果解析任何命令行参数时出错，
返回 2 的退出状态。

VERSION

此手册页适用于 Samba 套件 4 版。

使用 onworks.net 服务在线使用 smbcacls