Утилита acldiag позволяет проверить записи списка управления доступом, которые относятся к объекту Active Directory. Кроме этого, утилита позволяет обнаружить и исправить проблемы, которые возникают из-за внесения несогласованных изменений в записи списков управления доступом.
Например, предположим, что с помощью мастера делегирования управления определенному пользователю в подразделении предоставлено право создавать других пользователей в подразделении и сбрасывать пароли пользователей. Если другой администратор внесет изменения в дополнительные разрешения подразделения или в разрешения родительского подразделения, параметры шаблона делегирования, предоставленные мастером делегирования управления, могут не совпадать.
При этом пользователи, которые могли создавать других пользователей, больше не могут этого делать. К счастью, компания Microsoft предоставляет утилиту acldiag для быстрого исправления таких проблем.
Команда acldiag имеет следующий синтаксис:
acldiag <DN> [/schema] [/chkdeleg] [/geteffective:<user|group|*>] [/fixdeleg] [/skip] [/tdo]
Параметры команды рассматриваются в следующей таблице.
Параметры команды acldiag
|
Параметр |
Использование |
|
DN |
Составное имя (Distinguished Name — DN) является обязательным параметром и идентифицирует объект, являющийся целью применения команды. Вот пример составного имени: cn=mpupkin,ou=support,dc=prod,dc=mc,dc=com |
|
/shema |
Этот параметр заставляет утилиту проверять схему на вхождение принятых по умолчанию в схеме записей списков управления доступом в список управления доступом объекта. Результат проверки отображается в выводе команды |
|
/chkdeleg |
Этот параметр используется для выполнения диагностики делегирования. Проверяется вхождение записей управления доступом в шаблон делегирования (который создается мастером делегирования управления). Если команда возвращает состояние Misconfigured, то как минимум одно разрешение из списка управления доступом не совпадает с указанными разрешениями в шаблоне делегирования |
|
/geteffective:<user|group|*> |
Отображает эффективные разрешения для целевого объекта, принадлежащие определенному пользователи или группе. Если использовать символ шаблона *, отображаются эффективные разрешения для всех пользователей и групп |
|
/fixdeleg |
Заставляет утилиту acldiag повторно применить шаблон делегирования к списку управления доступом объекта. Это приводит к удалению специальных разрешений, назначенных объекту, и восстанавливает неполные делегирования. Вместо автоматического исправления некорректно настроенного делегирования, команда предлагает исправление каждой обнаруженной проблемы |
|
/skip |
Заставляет команду не отображать записи управления доступом, которые содержаться в списке управления доступом объекта |
|
/tdo |
Приводит к отображению вывода в формате с разделением символами табуляции. Этот параметр оказывается полезен для экспорта вывода в базу данных или в электронную таблицу |
Легко заметить, что утилита acldiag оказывается очень полезной при диагностике проблем доступа пользователей при делегировании управления с помощью мастера делегирования управления.
