Win2k＂秘密武器＂之权限诊断

核心提示：ACL是Access Control Lists 的缩写，可理解为＂存取控制表＂，Win2k＂秘密武器＂之权限诊断，ACL是windows2000&NT系统中，活动目录对象安全描述符的一部分，而对虚拟对象的名字，这个工具不能使用它们．二、AclDiag的语法： acldiag "ObjectDN"

ACL是Access Control Lists 的缩写，可理解为＂存取控制表＂，ACL是windows2000&NT系统中，活动目录对象安全描述符的一部分，每个活动目录对象的安全描述符都由4部分构成：对象的创建者、对象所属的组、自由存取控制和系统存取控制。其中自由存取控制实际是归在ACL中的，ACL主要是决定活动目录对象的许可权限．而系统存取控制则主要是审核活动目录对象的许可权限．通俗说，好比社会上的许可证管理：有负责发放许可证的部门，还有负责审核许可证（权限）的部门．Acldiag就是在些机制出了问题之后，如何进行诊断和维修的工具．

这仍是一个命令行的工具，功能就是诊断活动目录对象的许可权问题．它从＂存取控制表＂中读取安全属性信息，并以易于理解的格式写入一个文本文件中，这些所谓的安全属性信息有：详细的权限描述、使用者和组等等，这个文本文件也可以作为上传的报告．

使用Acldiag可以完成的任务有：

1.在默认规划中，比较ACL目录服务对象定义的许可权限．

2.进行检查或维护，使用模板，执行标准授权．

3.对某个指定的使用者或组，或是对所有使用者和所有的组，得到它(或它们)有效的许可权限，并在ACL中显示出来．

使用AclDiag工具仅仅能显示出对象的许可权和用户权限．却不能显示其它诸如组策略之类的相应的信息，这主要是因为组策略是虚拟对象，而对虚拟对象的名字，这个工具不能使用它们．

二、AclDiag的语法：

acldiag "ObjectDN" [/chkdeleg] [/fixdeleg] [/geteffective:{User | Group}] [/schema] [/skip] [/tdo]

参数及说明：

ObjectDN

所指定活动目录对象的正确的名字，在命令行中使用这个参数时，活动目录对象名字必须使用引号．