Caspol.exe (nástroj zásad zabezpečení přístupu kódu)
Nástroj Code Access Security (CAS) Policy (Caspol.exe) umožňuje uživatelům a správcům měnit zásady zabezpečení pro úroveň zásad počítače, úroveň zásad uživatele a úroveň zásad podniku.
Důležité
Počínaje rozhraním .NET Framework 4 Caspol.exe nemá vliv na zásady CAS, pokud <není element legacyCasPolicy> nastaven na true. Libovolná nastavení zobrazená nebo upravená pomocí nástroje CasPol.exe ovlivňují pouze aplikace, které se přihlašují pomocí zásad CAS.
Poznámka:
Zabezpečení přístupu kódu (CAS) je zastaralé ve všech verzích rozhraní .NET Framework a .NET. Nedávné verze rozhraní .NET nedotknou poznámek CAS a generují chyby, pokud se používají rozhraní API související s casem. Vývojáři by měli hledat alternativní způsoby provádění úloh zabezpečení.
Poznámka:
64bitové počítače obsahují 64bitové i 32bitové verze zásad zabezpečení. Aby bylo zajištěno, že změny v zásadách se aplikují na 32bitové i 64bitové aplikace, je třeba spustit 32bitovou i 64bitovou verzi nástroje Caspol.exe.
Nástroj Zásady zabezpečení přístupu kódu se automaticky nainstaluje s rozhraním .NET Framework a se sadou Visual Studio. Caspol.exe najdete v %windir%\Microsoft.NET\Framework\version v 32bitových systémech nebo %windir%\Microsoft.NET\Framework64\version v 64bitových systémech. (Umístění je například %windir%\Microsoft.NET\Framework64\v4.030319\caspol.exe pro rozhraní .NET Framework 4 v 64bitovém systému.) Pokud počítač používá více verzí rozhraní .NET Framework vedle sebe, může být nainstalováno více verzí tohoto nástroje. Nástroj lze spustit z instalačního adresáře. Doporučujeme ale použít Visual Studio Developer Command Prompt nebo Visual Studio Developer PowerShell, což nevyžaduje, abyste přešli do instalační složky.
Na příkazovém řádku zadejte následující:
Syntaxe
caspol [options]
Parametry
| Možnost | Popis |
|---|---|
| -addfulltrust assembly_file nebo -af assembly_file |
Přidá sestavení implementující vlastní bezpečnostní objekt (jako je vlastní povolení nebo vlastní stav členství) na seznam sestavení úplné důvěryhodnosti pro konkrétní úroveň zásad. Argument assembly_file určuje sestavení, které se má přidat. Tento soubor musí být podepsaný silným názvem. Sestavení můžete podepsat silným názvem pomocí nástroje Strong Name (Sn.exe). Pokaždé, když je sada oprávnění obsahující vlastní oprávnění přidána k zásadě, musí být sestavení implementující vlastní oprávnění přidáno na seznam úplné důvěryhodnosti pro danou úroveň zásad. Sestavení, která implementují vlastní bezpečnostní objekty (jako jsou vlastní skupiny kódů nebo podmínky členství) používaná v bezpečnostních zásadách (jako je například zásada počítače), by měla být vždy přidána na seznam sestavení úplné důvěryhodnosti. Upozornění: Pokud sestavení implementuje vlastní objekt zabezpečení odkazuje na jiná sestavení, musíte nejprve přidat odkazovaná sestavení do seznamu sestavení úplné důvěryhodnosti. Vlastní objekty zabezpečení vytvořené pomocí jazyka Visual Basic, C++ nebo JScript se odkazují na knihovny Microsoft.VisualBasic.dll, Microsoft.VisualC.dll nebo Microsoft.JScript.dll. Tato sestavení nejsou ve výchozím nastavení v seznamu sestavení úplné důvěryhodnosti. Před přidáním vlastního objektu zabezpečení musíte příslušné sestavení přidat do seznamu úplné důvěryhodnosti. Pokud tak neučiníte, přerušíte tím systém zabezpečení, což povede k selhání načtení všech sestavení. V této situaci Caspol.exe -all -reset nejde opravit zabezpečení. Chcete-li opravit zabezpečení, musíte ručně odebrat vlastní objekt zabezpečení ze souborů zabezpečení. |
| -addgroup {parent_label | parent_name} pset_name [flags] nebo -ag {parent_label | parent_name} mship pset_name [flags] |
Přidá do hierarchie skupin kódu novou skupinu kódu. Můžete zadat parent_label nebo parent_name. Argument parent_label určuje popisek (například 1. nebo 1.1.) skupiny kódu, která je nadřazenou součástí přidané skupiny kódu. Argument parent_name určuje název skupiny kódu, která je nadřazenou součástí přidané skupiny kódu. Vzhledem k tomu , že parent_label a parent_name lze použít zaměnitelně, Caspol.exe musí být schopny rozlišovat mezi nimi. Proto parent_name nemůže začínat číslem. Kromě toho parent_name může obsahovat pouze A-Z, 0–9 a znak podtržítka. Argument mship určuje podmínku členství pro novou skupinu kódu. Další informace najdete v tabulce argumentů mship dále v této části. Argument pset_name je název sady oprávnění, která bude přidružena k nové skupině kódu. Můžete také nastavit jeden nebo více příznaků pro novou skupinu. Další informace najdete v tabulce argumentů příznaků dále v této části. |
| -addpset {psfile psfile | pset_name} nebo -ap {named_psfile psfile | pset_name} |
Přidá do zásad pojmenovanou sadu oprávnění. Sada oprávnění musí být napsána v jazyce XML a uložena do souboru .xml. Pokud soubor XML obsahuje název sady oprávnění, je zadán pouze tento soubor (psfile). Pokud soubor XML neobsahuje název sady oprávnění, musíte zadat název souboru XML (psfile) i název sady oprávnění (pset_name). Všechna oprávnění používaná v sadě oprávnění musí být definována v sestaveních obsažených v globální mezipaměti sestavení. |
| -a[ll] | Značí, že jsou všechny možnosti následující za touto možností aplikovány na zásady počítače, uživatele a podniku. Možnost -all vždy odkazuje na zásadu aktuálně přihlášeného uživatele. Podívejte se na možnost -customall , která odkazuje na zásady uživatele jiného uživatele než aktuálního uživatele. |
| -chggroup {label |name} {mship | pset_name | vlajky }nebo -cg {label |name} {mship | pset_name | vlajky } |
Změní podmínku členství ve skupině kódu, sadu oprávnění nebo nastavení exkluzivních příznaků, příznaku levelfinal, name nebo description. Můžete zadat popisek nebo název. Argument popisku určuje popisek (například 1. nebo 1.1.) skupiny kódu. Argument name určuje název skupiny kódu, která se má změnit. Protože popisek a název se dají zaměnitelně, Caspol.exe musí být schopné rozlišovat mezi nimi. Proto název nemůže začínat číslem. Kromě toho může název obsahovat pouze A-Z, 0-9 a podtržítko. Argument pset_name určuje název sady oprávnění, která se má přidružit ke skupině kódu. Informace o argumentech mship a flags najdete v tabulkách dále v této části. |
| -chgpset psfile pset_name nebo -cp psfile pset_name |
Mění pojmenovanou sadu oprávnění. Argument psfile poskytuje novou definici pro sadu oprávnění, jedná se o serializovaný soubor sady oprávnění ve formátu XML. Argument pset_name určuje název sady oprávnění, kterou chcete změnit. |
| -customall path nebo -ca path |
Značí, že jsou všechny možnosti následující za touto možností aplikovány na zásady počítače, podniku a určeného vlastního uživatele. Musíte zadat umístění konfiguračního souboru zabezpečení vlastního uživatele pomocí argumentu cesta . |
| -cu[stomuser] cesta | Umožňuje správu vlastních zásad uživatele, které nepatří uživateli, jehož jménem Caspol.exe aktuálně běží. Musíte zadat umístění konfiguračního souboru zabezpečení vlastního uživatele pomocí argumentu cesta . |
| -podnik nebo -písmeno n |
Značí, že jsou všechny možnosti následující za touto možností aplikovány na zásady na úrovni podniku. Uživatelé, kteří nejsou podnikovými správci, nemají dostatečná práva k úpravě podnikových zásad, i když je můžou zobrazit. V jiných než podnikových scénářích tato zásada ve výchozím nastavení nenarušuje zásady počítačů a uživatelů. |
| -e[xecution] {on | off} | Vypíná nebo zapíná mechanismus, jenž ověřuje, která oprávnění se mají před spuštěním kódu provést. Poznámka: Tento přepínač je odebrán v rozhraní .NET Framework 4 a novějších verzích. |
| -f[orce] | Zakáže, aby nástroj provedl autodestruktivní test a změní zásadu dle zadání uživatele. Za normálních okolností Caspol.exe zkontroluje, jestli by jakékoli změny zásad zabránily správnému fungování Caspol.exe samotné; pokud ano, Caspol.exe neuloží změnu zásady a vytiskne chybovou zprávu. Pokud chcete vynutit Caspol.exe změnit zásadu, i když to brání spuštění Caspol.exe samotné, použijte možnost -force . |
| -h[elp] | Zobrazí syntaxi a možnosti příkazu pro nástroj Caspol.exe. |
| -l[ist] | Vypíše hierarchii skupiny kódu a sad oprávnění konkrétního počítače, uživatele, podniku nebo všech úrovní zásad. Caspol.exe jako první zobrazí popisek skupiny kódu a název, pokud nemá hodnotu null. |
| -listdescription nebo -Ld |
Vypíše všechny popisy skupiny kódu pro zadanou úroveň zásad. |
| -listfulltrust nebo -Lf |
Vypíše obsah sestavení úplného vztahu důvěryhodnosti pro zadanou úroveň zásad. |
| -listgroups nebo -Lg |
Zobrazuje skupiny kódu konkrétní úrovně nebo všech úrovní zásad. Caspol.exe jako první zobrazí popisek skupiny kódu a název, pokud nemá hodnotu null. |
| -listpset nebo -lp | Zobrazí sady oprávnění konkrétní úrovně nebo všech úrovní zásad. |
| -m[achine] | Značí, že jsou všechny možnosti následující za touto možností aplikovány na zásady na úrovni počítače. Uživatelé, kteří nejsou správci, nemají dostatečná práva k úpravě zásad počítače, i když je můžou zobrazit. Pro správce je výchozí hodnota -machine . |
| -polchgprompt {on | off} nebo -pp {on | off} |
Povoluje nebo zakazuje dotaz, který se zobrazí vždy, když je nástroj Caspol.exe spuštěn pomocí možnosti, která může způsobit změnu zásad. |
| -quiet nebo -q |
Dočasně zakazuje dotaz, který se normálně zobrazí pro možnost způsobující změny zásad. Globální nastavení dotazu na změnu se nezmění. Tuto možnost použijte pouze u samostatných příkazů, aby bylo zabráněno zakázání výzev pro všechny příkazy nástroje Caspol.exe. |
| -r[ecover] | Obnoví zásady ze záložního souboru. Kdykoli je provedena změna zásady, uloží nástroj Caspol.exe starou zásadu do záložního souboru. |
| -remfulltrust assembly_file nebo -rf assembly_file |
Odstraní sestavení ze seznamu úplné důvěryhodnosti na úrovni zásad. Tato operace by měla být provedena, pokud sada oprávnění obsahující vlastní oprávnění již není zásadou používána. Měli byste však odebrat sestavení, které implementuje vlastní oprávnění z úplného seznamu důvěryhodnosti pouze v případě, že sestavení neimplementuje žádná další vlastní oprávnění, která se stále používají. Po odstranění sestavení ze seznamu by měla být rovněž odstraněna další sestavení, která jsou na něm závislá. |
| -remgroup {label |name} nebo -rg {l abel| name} |
Odstraňuje skupinu kódu zadanou popiskem nebo názvem. Pokud má zadaná skupina kódu podřízenou skupinu kódu, nástroj Caspol.exe odstraní rovněž všechny podřízené skupiny kódu. |
| -rempset pset_name nebo -rp pset_name |
Odstraní ze zásady zadanou sadu oprávnění. Argument pset_name označuje, která oprávnění se mají odebrat. Caspol.exe odebere sadu oprávnění jenom v případě, že není přidružená k žádné skupině kódu. Výchozí (předdefinované) sady oprávnění nelze odebrat. |
| -resetovat nebo -rs |
Vrátí zásadu do původního stavu a uloží ji na disk. To se hodí vždy při podezření, že je změněná zásada neopravitelně poškozena a když je zapotřebí začít znovu s výchozími nastaveními instalace. Resetování se může rovněž hodit, když má být jako výchozí bod pro modifikaci konkrétních konfiguračních souborů zabezpečení použita výchozí zásada. Další informace naleznete v tématu Ruční úprava konfiguračních souborů zabezpečení. |
| -resetlockdown nebo -rsld |
Vrátí zásadu do přísnější verze výchozího stavu a zachová ji na disk; vytvoří zálohu předchozí zásady počítače a zachová ji do souboru s názvem security.config.bac. Uzamčené zásady se podobají výchozím zásadám, s tím rozdílem, že zásada neuděluje žádné oprávnění ke kódu z Local Intranet, Trusted Sitesa zón a Internet odpovídající skupiny kódu nemají žádné podřízené skupiny kódu. |
| -resolvegroup assembly_file nebo -rsg assembly_file |
Zobrazuje skupiny kódu, ke kterým konkrétní sestavení (assembly_file) patří. Ve výchozím nastavení tato možnost zobrazuje úrovně zásad počítače, uživatele a podniku, ke kterým sestavení patří. Pokud chcete zobrazit jenom jednu úroveň zásad, použijte tuto možnost s možností -machine, -user nebo -enterprise . |
| -resolveperm assembly_file nebo -rsp assembly_file |
Zobrazuje všechna oprávnění, která zadaná (nebo výchozí) úroveň zásady zabezpečení může poskytnout sestavení, pokud je sestavením povoleno spuštění. Argument assembly_file určuje sestavení. Pokud zadáte možnost -all , Caspol.exe vypočítá oprávnění pro sestavení na základě zásad uživatele, počítače a podniku. V opačném případě platí výchozí pravidla chování. |
| -s[ecurity] {on | off} | Vypne nebo zapne zabezpečení přístupu kódu. Zadání možnosti -s off nezakazuje zabezpečení na základě rolí. Poznámka: Tento přepínač je odebrán v rozhraní .NET Framework 4 a novějších verzích. Upozornění: Pokud je zabezpečení přístupu kódu zakázané, všechny požadavky na přístup ke kódu budou úspěšné. Zakázání zabezpečení přístupu kódu způsobí, že bude systém zranitelný vůči útokům škodlivým kódem, jako jsou například viry nebo červi. Vypnutí zabezpečení získá vyšší výkon, ale mělo by se provést pouze v případě, že byla přijata další bezpečnostní opatření, která pomáhají zajistit, aby nedošlo k narušení celkového zabezpečení systému. Mezi příklady dalších bezpečnostních opatření patří: odpojení od veřejné sítě, fyzické zabezpečení počítačů atd. |
| -u[ser] | Značí, že jsou všechny možnosti následující po této možnosti aplikovány na zásadu na uživatelské úrovni pro uživatele, který nástroj Caspol.exe spustil. Pro uživatele, kteří nejsou správci, je -user výchozí. |
| -? | Zobrazí syntaxi a možnosti příkazu pro nástroj Caspol.exe. |
Argument mship , který určuje podmínku členství pro skupinu kódu, lze použít s možnostmi -addgroup a -chggroup . Každý argument mship je implementován jako třída rozhraní .NET Framework. Pokud chcete zadat mship, použijte jednu z následujících možností.
| Argument | Popis |
|---|---|
| -allcode | Specifikuje veškerý kód. Další informace o této podmínce členství naleznete v tématu System.Security.Policy.AllMembershipCondition. |
| -appdir | Určuje adresář aplikace. Pokud zadáte parametr -appdir jako podmínku členství, porovná se důkazy kódu adresy URL s důkazy adresáře aplikace tohoto kódu. Pokud jsou obě hodnoty evidence stejné, byly podmínky členství splněny. Další informace o této podmínce členství naleznete v tématu System.Security.Policy.ApplicationDirectoryMembershipCondition. |
| -custom xmlfile | Přidá vlastní podmínku členství. Povinný argument xmlfile určuje .xml soubor, který obsahuje XML serializace vlastní podmínky členství. |
| -hash hash hashAlg {-hex hashValue-file | assembly_file } | Určuje kód, který obsahuje zadanou hodnotu hash sestavení. Pro použití hodnoty hash jako podmínky členství ve skupině kódu je nutné zadat hodnotu hash nebo soubor sestavení. Další informace o této podmínce členství naleznete v tématu System.Security.Policy.HashMembershipCondition. |
| -pub { -cert cert_file_name | -soubor signed_file_name-hex | hex_string } |
Určuje kód, který obsahuje zadaného vydavatele softwaru, jak je označeno souborem certifikátu, podpisem na souboru nebo šestnáctkovou reprezentací certifikátu X509. Další informace o této podmínce členství naleznete v tématu System.Security.Policy.PublisherMembershipCondition. |
| -site web | Určuje kód, který obsahuje zadanou webovou stránku původu. Příklad:-site** www.proseware.comDalší informace o této podmínce členství naleznete v tématu System.Security.Policy.SiteMembershipCondition. |
| -strong -file file_name {name-noname | } {version-noversion} | | Určuje kód, který má konkrétní silný název, jak je určeno názvem souboru, název sestavení jako řetězec a verze sestavení ve formátu major.menší.sestavení.revize. Příklad: -strong -file myAssembly.exe myAssembly 1.2.3.4 Další informace o této podmínce členství naleznete v tématu System.Security.Policy.StrongNameMembershipCondition. |
| -url | Určuje kód pocházející ze zadané adresy URL. Adresa URL musí obsahovat protokol, například http:// nebo ftp://. Kromě toho lze zástupný znak (*) použít k určení více sestavení z konkrétní adresy URL. Poznámka: Vzhledem k tomu, že adresu URL lze identifikovat pomocí více názvů, není použití adresy URL jako podmínky členství bezpečným způsobem, jak zjistit identitu kódu. Kdykoli je to možné, použijte podmínku členství silného názvu, podmínku vydavatele nebo podmínku hodnoty hash. Další informace o této podmínce členství naleznete v tématu System.Security.Policy.UrlMembershipCondition. |
| -zonename | Určuje kód pomocí zadané zóny původu. Argument zonename může být jedna z následujících hodnot: MyComputer, Intranet, Trusted, Internet nebo Untrusted. Další informace o této podmínce členství najdete v předmětu ZoneMembershipCondition . |
Argument příznaky, který lze použít s možnostmi –addgroup a –chggroup, je zadán jedním z následujících způsobů.
| Argument | Popis |
|---|---|
| -description "description" | Pokud se používá s možností –addgroup , určuje popis skupiny kódu, která se má přidat. Pokud se používá s možností –chggroup , určuje popis skupiny kódu, která se má upravit. Argument popisu musí být uzavřený do dvojitých uvozovek. |
| -exclusive {on|off} | Pokud je tato možnost nastavená na zapnuto, znamená to, že pokud některý kód odpovídá podmínce členství ve skupině kódu, kterou přidáváte nebo upravujete, považuje se pouze sada oprávnění přidružená ke skupině kódu. Pokud je tato možnost vypnutá, Caspol.exe považuje sady oprávnění všech odpovídajících skupin kódu na úrovni zásad. |
| -levelfinal {on|off} | Pokud je tato možnost nastavená na zapnuto, znamená to, že se nepovažuje žádná úroveň zásad pod úrovní, ve které je přidaná nebo upravená skupina kódu považována. Tato možnost je obvykle používaná na úrovni zásad počítače. Pokud je tento příznak například nastaven pro skupinu kódu na úrovni počítače a některý kód odpovídá podmínce členství této skupiny kódu, nástroj Caspol.exe nevypočítá a neaplikuje pro tento kód zásadu na uživatelské úrovni. |
| -name "name" | Pokud se používá s možností –addgroup , určuje název skriptování pro skupinu kódu, která se má přidat. Pokud se používá s možností -chggroup , určuje název skriptování pro skupinu kódu, která se má upravit. Argument názvu musí být uzavřený do dvojitých uvozovek. Argument názvu nemůže začínat číslem a může obsahovat pouze A-Z, 0-9 a znak podtržítka. Na skupiny kódu se místo jejich číselného popisku může odkazovat tento název . Název je také velmi užitečný pro účely skriptování. |
Poznámky
Zásada zabezpečení je vyjádřena pomocí tří úrovní zásad: počítačová, uživatelská a podniková. Sada oprávnění, kterou sestavení přijímá, je určena průnikem sad oprávnění povolených těmito třemi úrovněmi zásad. Každá úroveň zásad je reprezentována hierarchickou strukturou skupin kódu. Každá skupina kódu má podmínku členství, která určuje, který kód je členem této skupiny. Sada pojmenovaných oprávnění je rovněž asociována s každou skupinou kódu. Tato sada oprávnění určuje oprávnění, která modul runtime povoluje kódu splňujícímu podmínku členství. Hierarchie skupin kódu, společně se souvisejícími pojmenovanými sadami oprávnění, definuje a spravuje každou úroveň zásad zabezpečení. K nastavení úrovně zásad zabezpečení můžete použít možnosti –user, -customuser, –machine a -enterprise .
Další informace o zásadách zabezpečení a o tom, jak modul runtime určuje oprávnění k udělení kódu, najdete v tématu Správa zásad zabezpečení.
Odkazování na skupiny kódu a sady oprávnění
Pro usnadnění odkazů na skupiny kódu v hierarchii zobrazí možnost -list odsazený seznam skupin kódu spolu s jejich číselnými popisky (1, 1.1, 1.1.1 atd.). Další operace příkazového řádku zaměřené na skupiny kódu využívají k odkazování na specifické skupiny kódu také číselné popisky.
Pojmenované sady jsou odkazovány podle svých názvů. Možnost –list zobrazí seznam skupin kódu následovaný seznamem pojmenovaných sad oprávnění dostupných v této zásadě.
Chování nástroje Caspol.exe
Všechny možnosti kromě -s[ecurity] {on | off} používají verzi rozhraní .NET Framework, se kterou Caspol.exe byla nainstalována. Pokud spustíte Caspol.exe, která byla nainstalována s verzí X modulu runtime, změny se vztahují pouze na tuto verzi. Jiné souběžné instalace modulu runtime, pokud nějaké existují, nejsou ovlivněny. Pokud je nástroj Caspol.exe spuštěn z příkazového řádku, aniž by se nacházel v adresáři konkrétní verze modulu runtime, bude spuštěn z prvního adresáře verze modulu runtime v cestě (obvykle to bývá poslední nainstalovaná verze).
Možnost -s[ecurity] {on | off} je operace v celém počítači. Vypnutí zabezpečení přístupu kódu ukončí kontroly zabezpečení veškerého spravovaného kódu pro všechny uživatele na počítači. Pokud jsou na počítači současně nainstalovány různé verze rozhraní .NET Framework, vypne tento příkaz zabezpečení pro všechny verze nainstalované na počítači. I když možnost -list ukazuje, že je zabezpečení vypnuté, nic jiného jasně neznamená pro ostatní uživatele, že zabezpečení bylo vypnuto.
Když uživatel bez oprávnění správce spustí Caspol.exe, všechny možnosti odkazují na zásady na úrovni uživatele, pokud není zadána možnost -machine . Když správce spustí Caspol.exe, všechny možnosti odkazují na zásady počítače, pokud není zadána možnost –user .
Caspol.exe musí být udělen ekvivalent oprávnění Vše nastavené na funkci. Nástroj má ochranný mechanismus, který zabraňuje zásadě, aby byla modifikována způsobem, který by nástroji Caspol.exe znemožnil získat oprávnění nutná pro jeho spuštění. Pokud se o takovou změnu pokusíte, nástroj Caspol.exe oznámí, že požadovaná změna zásady nástroj poškodí a změna zásady bude zamítnuta. Tento ochranný mechanismus pro daný příkaz můžete vypnout pomocí možnosti -force .
Ruční úprava konfiguračních souborů zabezpečení
Tři konfigurační soubory zabezpečení odpovídají třem úrovním zásad podporovaných nástrojem Caspol.exe: jeden je pro zásadu počítače, jeden pro zásadu daného uživatele a jeden pro zásadu podniku. Tyto soubory jsou vytvořeny na disku, když je zásada počítače, uživatele nebo podniku změněna pomocí nástroje Caspol.exe. V případě potřeby můžete pomocí možnosti –resetovat v Caspol.exe uložit výchozí zásady zabezpečení na disk.
Ve většině případů se nedoporučuje ruční úprava konfiguračních souborů zabezpečení. Mohou se však vyskytnout scénáře, ve kterých je úprava těchto souborů nezbytná. Například, když chce správce upravit konfiguraci zabezpečení pro konkrétního uživatele.
Příklady
-addfulltrust
Předpokládejme, že byla do zásady počítače přidána sada oprávnění obsahující vlastní oprávnění. Toto vlastní oprávnění je implementováno v MyPerm.exea MyPerm.exe odkazuje třídy v MyOther.exe. Obě sestavení musí být přidána do seznamu sestavení úplné důvěryhodnosti. Následující příkaz přidá MyPerm.exe sestavení do úplného seznamu důvěryhodnosti pro zásady počítače.
caspol -machine -addfulltrust MyPerm.exe
Následující příkaz přidá MyOther.exe sestavení do úplného seznamu důvěryhodnosti pro zásady počítače.
caspol -machine -addfulltrust MyOther.exe
-addgroup
Následující příkaz přidá do kořene hierarchie skupin kódu zásady počítače podřízenou skupinu kódu. Nová skupina kódu je členem zóny Internetu a je přidružena k sadě oprávnění Spouštění .
caspol -machine -addgroup 1. -zone Internet Execution
Následující příkaz přidá podřízenou skupinu kódu, která dává sdílené složce \\netserver\netshare oprávnění místního intranetu.
caspol -machine -addgroup 1. -url \\netserver\netshare\* LocalIntranet
-addpset
Následující příkaz přidá Mypset oprávnění nastavená do zásad uživatele.
caspol -user -addpset Mypset.xml Mypset
-chggroup
Následující příkaz změní oprávnění nastavená v zásadách uživatele skupiny kódu s popiskem 1.2. na sadu oprávnění provádění.
caspol -user -chggroup 1.2. Execution
Následující příkaz změní podmínku členství ve výchozí zásadě skupiny kódu označenou jako 1.2.1. a změní nastavení výhradního příznaku. Podmínka členství je definována jako kód, který pochází z internetové zóny a je zapnutý výhradní příznak.
caspol -chggroup 1.2.1. -zone Internet -exclusive on
-chgpset
Následující příkaz změní sadu oprávnění s názvem Mypset na sadu oprávnění obsaženou v newpset.xml. Upozorňujeme, že aktuální verze nepodporuje změnu sad oprávnění používaných hierarchií skupin kódu.
caspol -chgpset Mypset newpset.xml
-síla
Následující příkaz způsobí, že kořenová skupina kódu zásad uživatele (označená jako 1) bude přidružená k sadě oprávnění Nothing named. To zabrání nástroji Caspol.exe ve spuštění.
caspol -force -user -chggroup 1 Nothing
-zotavit se
Následující příkaz obnoví poslední uloženou zásadu počítače.
caspol -machine -recover
-remgroup
Následující příkaz odstraní skupinu kódu označenou 1.1. Pokud má tato skupina kódu podřízené skupiny kódu, jsou tyto skupiny rovněž smazány.
caspol -remgroup 1.1.
-rempset
Následující příkaz odebere ze zásad uživatele sadu oprávnění spuštění .
caspol -user -rempset Execution
Následující příkaz odebere Mypset z úrovně zásad uživatele.
caspol -rempset MyPset
-resolvegroup
Následující příkaz zobrazí všechny skupiny kódu zásad počítače, ke kterým myassembly patří.
caspol -machine -resolvegroup myassembly
Následující příkaz zobrazí všechny skupiny kódu počítače, podniku a zadané vlastní zásady uživatele, ke kterým myassembly patří.
caspol -customall "c:\config_test\security.config" -resolvegroup myassembly
-resolveperm
Následující příkaz vypočítá oprávnění na testassembly základě úrovní zásad počítače a uživatele.
caspol -all -resolveperm testassembly
Viz také
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro