Active Directory для Windows Server 2003


Просмотр записей АСЕ с помощью инструмента Ldp.exe - часть 2


тификатора SID, то последняя часть каждой записи АСЕ содержит SID пользователя или группы. (Чтобы увидеть полный список всех возможных разрешений, которые могут быть назначены в записях АСЕ, просмотрите справочную информацию для команды DsAcls, сопровождающую инструменты Active Directory. Инструмент командной строки DsAcls может использоваться для назначения или удаления разрешений к любому объекту в Active Directory).

Рис. 9-5. Использование инструмента Ldp.exe для просмотра свойств домена

После строк такого типа информации инструмент Ldp.exe даст более понятное объяснение каждой записи АСЕ. Например, для строки, приведенной выше, это будет выглядеть так:

 

Асе[О]

Асе Туре: 0x0 - ACCESS_ALLOWED_ACE_TYPE

Асе Size: 36 bytes

Асе Flags: 0x0

Асе Mask: OxOOOfOiff

DELETE

READ CONTROL

WRITE DAC

WRITE_OWNER

ACTRL DS CREATE_CHILD

ACTRL DS DELETE CHILD

ACTRL DS LIST

ACTRL DS SELF

ACTRL DS READ_PROP ACTRL DS WRITE_PROP ACTRL_DS_DELETE_TREE ACTRL_DS_UST_OBJECT ACTRL_DS_CONTROL_ACCESS

Ace Sid: Contoso\Domain Admins S-1 -5-21 -602162358-688789844-1957994488-512

 




Начало  Назад  Вперед