ACL是Access Control Lists 的縮寫(xiě)，可理解為＂存取控制表＂，ACL是Windows2000&NT系統(tǒng)中，活動(dòng)目錄對(duì)象安全描述符的一部分，每個(gè)活動(dòng)目錄對(duì)象的安全描述符都由4部分構(gòu)成：對(duì)象的創(chuàng)建者、對(duì)象所屬的組、自由存取控制和系統(tǒng)存取控制。其中自由存取控制實(shí)際是歸在ACL中的，ACL主要是決定活動(dòng)目錄對(duì)象的許可權(quán)限．而系統(tǒng)存取控制則主要是審核活動(dòng)目錄對(duì)象的許可權(quán)限．通俗說(shuō)，好比社會(huì)上的許可證管理：有負(fù)責(zé)發(fā)放許可證的部門，還有負(fù)責(zé)審核許可證（權(quán)限）的部門．Acldiag就是在些機(jī)制出了問(wèn)題之后，如何進(jìn)行診斷和維修的工具．

這仍是一個(gè)命令行的工具，功能就是診斷活動(dòng)目錄對(duì)象的許可權(quán)問(wèn)題．它從＂存取控制表＂中讀取安全屬性信息，并以易于理解的格式寫(xiě)入一個(gè)文本文件中，這些所謂的安全屬性信息有：詳細(xì)的權(quán)限描述、使用者和組等等，這個(gè)文本文件也可以作為上傳的報(bào)告．使用Acldiag可以完成的任務(wù)有：

1.在默認(rèn)規(guī)劃中，比較ACL目錄服務(wù)對(duì)象定義的許可權(quán)限． 2.進(jìn)行檢查或維護(hù)，使用模板，執(zhí)行標(biāo)準(zhǔn)授權(quán)． 3.對(duì)某個(gè)指定的使用者或組，或是對(duì)所有使用者和所有的組，得到它(或它們)有效的許可權(quán)限，并在ACL中顯示出來(lái)．

使用AclDiag工具僅僅能顯示出對(duì)象的許可權(quán)和用戶權(quán)限．卻不能顯示其它諸如組策略之類的相應(yīng)的信息，這主要是因?yàn)榻M策略是虛擬對(duì)象，而對(duì)虛擬對(duì)象的名字，這個(gè)工具不能使用它們．

二、AclDiag的語(yǔ)法：

acldiag 'ObjectDN' [/chkdeleg] [/fixdeleg] [/geteffective:{User | Group}] [/schema] [/skip] [/tdo]

參數(shù)及說(shuō)明：ObjectDN 所指定活動(dòng)目錄對(duì)象的正確的名字，在命令行中使用這個(gè)參數(shù)時(shí)，活動(dòng)目錄對(duì)象名字必須使用引號(hào)．

/chkdeleg 檢查對(duì)象的委托及授權(quán)的安全性能.

/fixdeleg 用控制向?qū)У奈校瑱z測(cè)或維護(hù)所有將要使用對(duì)象的授權(quán)．

/geteffective:{user | group} 以可讀取的格式，打印輸出指定用戶或指定（工作）組關(guān)于許可權(quán)限方面的信息．

/schema 檢查包括默認(rèn)規(guī)劃內(nèi)的對(duì)象是否安全．

/skip 不顯示（跳過(guò)）安全描述符．.

/tdo 當(dāng)需要將相關(guān)的資料進(jìn)行保存時(shí)，以系統(tǒng)規(guī)定的表格格式或其它＂可讀取＂的格式將信息資料寫(xiě)進(jìn)文件中去．在Windows2000或windowsＮＴ中，為了統(tǒng)一標(biāo)準(zhǔn)和便于處理，微軟公司專門規(guī)定有一套各種信息資料的填寫(xiě)樣式，即所謂＂電子表格＂（不是我們通常說(shuō)的Exce）．

像驗(yàn)證其它工具一樣，我在命令行窗口中實(shí)際執(zhí)行了一下acldiag/?，得到程序提示的幫助信息，兩下對(duì)比發(fā)現(xiàn)，幫助文檔文檔中介紹的內(nèi)容和提示信息內(nèi)容還是一致的．至于每個(gè)項(xiàng)目的結(jié)果，限于時(shí)間和條件，沒(méi)有進(jìn)行更為深入細(xì)致的研究．倒是幫助文檔中介紹了一個(gè)實(shí)際診斷的例子：這個(gè)例子是診斷microsoft.com 域中，顯示所有默認(rèn)規(guī)劃內(nèi)的訪問(wèn)權(quán)限，其命令和參數(shù)如下：

C:>acldiag 'DC=microsoft,DC=com' /schema

三、診斷輸出信息釋義要確定系統(tǒng)的問(wèn)題，不但要進(jìn)行診斷，還要能看懂診斷工具所輸出的信息含義．對(duì)這個(gè)工具來(lái)說(shuō)，診斷信息中關(guān)鍵的部分如下：仍以上面介紹的診斷為范本．先執(zhí)行：

acldiag 'DC=microsoft,DC=com'

執(zhí)行之后，得到的屏幕輸出不僅是英文，而且很長(zhǎng)，所以不便附在這里．我仔細(xì)閱讀后，覺(jué)得主要項(xiàng)目有以下幾個(gè)方面：

1.列出是對(duì)哪個(gè)系統(tǒng)進(jìn)行的診斷．相當(dāng)于醫(yī)生在病歷單上所填寫(xiě)的患者姓名．

2.對(duì)象的描述：擁有者: {用戶 |組}　

3.許可權(quán)限：分四種：拒絕、允許、用戶、組（團(tuán)體），只能是其中之一

4.許可權(quán)限的繼承關(guān)系：對(duì)象的許可權(quán)限允許從其父輩繼承過(guò)來(lái)，或者說(shuō)當(dāng)前對(duì)象的權(quán)限也允許其子對(duì)象繼承，所繼承的權(quán)限也在上述四種之內(nèi)．

5.權(quán)限審核：這也就是我們上面提到的部分了．許可權(quán)限的審核的結(jié)果只有兩種：成功和失敗．對(duì)許可權(quán)限的審核也包括所繼承部分．

6.默認(rèn)規(guī)劃：如果仍以上面的診斷為范本，則默認(rèn)規(guī)劃的診斷命令是： acldiag 'DC=microsoft,DC=com' /schema結(jié)果分為三種：現(xiàn)有部分、不存在、局部．

7.授權(quán)模板：命令形式是：acldiag 'DC=microsoft,DC=com' /chkdeleg 其輸出如下： 狀態(tài): {OK | NOT PRESENT/MISCONFIGURED} 對(duì)象是否使用: {YES | NO} 是否繼承 : {YES | NO} 豎線兩側(cè)的狀態(tài)只能選其中之一．

8.有效權(quán)限：命令行形式是：acldiag 'DC=microsoft,DC=com' /geteffective:{User | Group} 輸出結(jié)果如下：　 {User | Group} 1:Can Read {All | PropertyList} propertIEs. (via Group membership)Can Write {All | PropertyList} properties. (via Group membership)Can Create {All | ObjectList} objects. (via Group membership)Can Delete {All | ObjectList} objects. (via Group membership)Can Delete this object. (via Group membership)Can Delete entire subtree. (via Group membership)Can List subobjects. (via Group membership)Can Read permissions. (via Group membership)Can Modify permissions. (via Group membership)Can Take/Change ownership. (via Group membership)

這些是有效權(quán)限信息，大括號(hào)中是可選項(xiàng)，也是豎線兩側(cè)的狀態(tài)只能選其中之一．權(quán)限的屬性有：可讀取、可寫(xiě)、可建立、可刪除、可刪除某指定對(duì)象、可刪除整個(gè)對(duì)象、可刪除子對(duì)象、、可列出子對(duì)象、可讀取許可權(quán)限、可修改許可權(quán)限、可取得/改變所有權(quán)．后面括號(hào)中的信息是指：通過(guò)組成員資格（審核）．