Compartilhar via


[ADSI プログラミング] Active Directory – コマンドライン ツールを使ってみよう ! - 2

こんにちは、ILM 一家のパパ(お父さん)です。

昨日は悲しい出来事がありました、私物の EeePC 901X がお亡くなりになりました。

最近、この NetBook で本ブログ原稿や、VPN接続やリモートデスクトップのクライアント環境として仕事の友として使っていただけにショックが大きいです。

さて、今回は3/8の掲載 “[ADSI プログラミング] Active Directory - ご機嫌ななめの要因は?”、で紹介したツール、DSACLS コマンドの使用方法を簡単にご紹介したいと思います。

前回までの LDP.EXE、ADSI Edit、DSQuery は Active Directory への接続/参照を検証する用途に使いました、今回の DSACLS コマンドは Active Directory オブジェクトの参照/変更時にAccess Denyed が発生するような場合に、操作対象の Active Directory オブジェクトに設定されている アクセス権(ACL/ACE) を確認するために使用します。

< DSACLS コマンドの使用方法について >

1. ツールのインストール方法

DSACLS コマンドは Windows ServerのSupport Tool に含まれています。

Windows Server インストールCD にございます、Support\Tools フォルダにある SupTools.msi を実行することでインストールされます。

2. コマンドの使用方法

本ツールはコマンドラインツールですので、コマンドプロンプトを開きコマンドプロンプト上から実行いただきます。

[スタート] - [ファイル名を指定して実行で Cmd.exe を起動いただくことで、コマンド プロンプトの画面が表示されます

実際の使用方法ですが、3/8 ご紹介のおりに参考資料として記載させていただきました、以下サポート技術情報に、手順の紹介がございます。

参考資料:

Windows Server 2003 および Windows 2000 で Dsacls.exe を使用する方法

https://support.microsoft.com/kb/281146/ja

お手数ではございますが、機能詳細につきましてはこちらをご覧いただくのがよろしいかと思います。

ただ、この技術情報では色々なオプションが存在し、わかりにくい点がございますので、実際の参照トラブルの切り分けに用いるアクセス権の実行例をご紹介しましよう。

実行例:

 C:\> dsacls “cn=ILM User,cn=Users,dc=microsoft,dc=com”

いかがでしょうか、アクセス権を列挙いただくだけであれば、引数は参照オブジェクトの パスのみとなります。

この例では ILM Users に設定されているアクセス権が列挙されます。

アクセス権の表記内容は以下となります。

SD

削除。

DT

オブジェクトおよびすべての子オブジェクトの削除。

RC

セキュリティ情報の読み取り。

WD

セキュリティ情報の変更。

WO

所有者情報の変更。

LC

オブジェクトの子オブジェクトの一覧表示。

CC

子オブジェクトの作成。特定のプロパティを定義する {Object|Property} が指定されていない場合、このアクセス許可はオブジェクトのすべてのプロパティに適用されます。指定された場合は、オブジェクトの指定したプロパティに適用されます。

DC

子オブジェクトの削除。特定のプロパティを定義する {Object|Property} が指定されていない場合、このアクセス許可はオブジェクトのすべてのプロパティに適用されます。指定された場合は、オブジェクトの指定したプロパティに適用されます。

WS

オブジェクト自身への書き込み。特定のプロパティを定義する {Object|Property} が指定されていない場合、このアクセス許可はオブジェクトのすべてのプロパティに適用されます。指定された場合は、オブジェクトの指定したプロパティに適用されます。

RP

プロパティの読み取り。特定のプロパティを定義する {Object|Property} が指定されていない場合、このアクセス許可はオブジェクトのすべてのプロパティに適用されます。指定された場合は、オブジェクトの指定したプロパティに適用されます。

WP

プロパティの書き込み。特定のプロパティを定義する {Object|Property} が指定されていない場合、このアクセス許可はオブジェクトのすべてのプロパティに適用されます。指定された場合は、オブジェクトの指定したプロパティに適用されます。

CA

アクセス権限の制御。特定のプロパティを定義する {Object|Property} が指定されていない場合、このアクセス許可はオブジェクトのすべてのプロパティに適用されます。指定された場合は、オブジェクトの指定したプロパティに適用されます。

LO

オブジェクトのアクセス許可の一覧表示。親に対して LC (子オブジェクトの一覧表示) のアクセス許可が付与されていない場合でも、このアクセス許可を使用して、特定のオブジェクトに対する一覧表示のアクセス許可を付与することができます。特定のオブジェクトでこのアクセス許可を拒否の設定にすることにより、ユーザまたはグループにそのオブジェクトの親に対する LC のオブジェクトが付与されていても、そのオブジェクトを非表示にすることができます。Active Directory のデフォルトの設定では、このアクセス許可は設定されません。

出力量が多くなりますのでリダイレクト記号 (">")にて、テキストファイルへ出力いただき正常にアクセスできるオブジェクト、異常となるオブジェクトのアクセス権限を比較いただくのがよろしいかと存じます。

注意:

このとき、コマンドラインツール実行環境は、操作対象の Active Directory 環境に対する管理者権限を持っている必要があります。管理者権限を有していない場合、アクセス権現の参照操作自体が制限される可能性がございます。

PC が壊れて傷心状態の

~ お父さんより ~