Dela via


Caspol.exe (kodåtkomstsäkerhetsprincipverktyg)

Med verktyget Code Access Security (CAS) Policy (Caspol.exe) kan användare och administratörer ändra säkerhetsprincipen för datorprincipnivån, användarprincipnivån och företagsprincipnivån.

Viktigt!

Från och med .NET Framework 4 påverkar Caspol.exe inte CAS-principen om inte det <äldreCasPolicy-elementet> är inställt på true. Alla inställningar som visas eller ändras av CasPol.exe påverkar endast program som väljer att använda CAS-principen.

Kommentar

Code Access Security (CAS) har föråldrats i alla versioner av .NET Framework och .NET. De senaste versionerna av .NET följer inte CAS-anteckningar och skapar fel om CAS-relaterade API:er används. Utvecklare bör söka alternativa sätt att utföra säkerhetsuppgifter.

Kommentar

64-bitarsdatorer innehåller både 64- och 32-bitars versioner av säkerhetsprinciper. För att säkerställa att dina principändringar gäller för både 32-bitars- och 64-bitarsprogram kör du både 32- och 64-bitarsversionerna av Caspol.exe.

Verktyget Code Access Security Policy installeras automatiskt med .NET Framework och med Visual Studio. Du hittar Caspol.exe i %windir%\Microsoft.NET\Framework\version på 32-bitarssystem eller %windir%\Microsoft.NET\Framework64\version på 64-bitarssystem. (Platsen är till exempel %windir%\Microsoft.NET\Framework64\v4.030319\caspol.exe för .NET Framework 4 i ett 64-bitarssystem.) Flera versioner av verktyget kan installeras om datorn kör flera versioner av .NET Framework sida vid sida. Du kan köra verktyget från installationskatalogen. Vi rekommenderar dock att du använder Visual Studio Developer Command Prompt eller Visual Studio Developer PowerShell, vilket inte kräver att du navigerar till installationsmappen.

Skriv följande vid kommandotolken:

Syntax

caspol [options]

Parametrar

Alternativ Description
-addfulltrust assembly_file

eller

-af assembly_file
Lägger till en sammansättning som implementerar ett anpassat säkerhetsobjekt (till exempel en anpassad behörighet eller ett anpassat medlemskapsvillkor) i listan med fullständig förtroendesammansättning för en viss principnivå. Argumentet assembly_file anger sammansättningen som ska läggas till. Filen måste vara signerad med ett starkt namn. Du kan signera en sammansättning med ett starkt namn med hjälp av verktyget Starkt namn (Sn.exe).

När en behörighetsuppsättning som innehåller en anpassad behörighet läggs till i principen måste sammansättningen som implementerar den anpassade behörigheten läggas till i den fullständiga förtroendelistan för den principnivån. Sammansättningar som implementerar anpassade säkerhetsobjekt (till exempel anpassade kodgrupper eller medlemskapsvillkor) som används i en säkerhetsprincip (till exempel datorprincipen) bör alltid läggas till i listan över fullständiga förtroendesammansättningar. Varning! Om sammansättningen som implementerar det anpassade säkerhetsobjektet refererar till andra sammansättningar måste du först lägga till de refererade sammansättningarna i den fullständiga listan över betrodda sammansättningar. Anpassade säkerhetsobjekt som skapats med visualiseringsobjekten Basic, C++ och JScript refererar antingen Microsoft.VisualBasic.dll, Microsoft.VisualC.dll eller Microsoft.JScript.dll. Dessa sammansättningar finns inte som standard i listan över fullständiga förtroendesammansättningar. Du måste lägga till lämplig sammansättning i listan med fullständigt förtroende innan du lägger till ett anpassat säkerhetsobjekt. Om du inte gör det bryts säkerhetssystemet, vilket gör att alla sammansättningar inte kan läsas in. I det här fallet reparerar inte alternativet Caspol.exe -all -reset säkerheten. Om du vill reparera säkerheten måste du redigera säkerhetsfilerna manuellt för att ta bort det anpassade säkerhetsobjektet.
-addgroup {parent_label | parent_name} mship pset_name [flags]

eller

-ag {parent_label | parent_name} mship pset_name [flaggor]
Lägger till en ny kodgrupp i kodgruppshierarkin. Du kan ange antingen parent_label eller parent_name. Argumentet parent_label anger etiketten (till exempel 1. eller 1.1.) för den kodgrupp som är överordnad i kodgruppen som läggs till. Argumentet parent_name anger namnet på den kodgrupp som är överordnad för den kodgrupp som läggs till. Eftersom parent_label och parent_name kan användas omväxlande måste Caspol.exe kunna skilja mellan dem. Därför kan parent_name inte börja med ett tal. Dessutom kan parent_name bara innehålla A-Z, 0-9 och understreckstecknet.

Argumentet mship anger medlemskapsvillkoret för den nya kodgruppen. Mer information finns i tabellen med mship-argument senare i det här avsnittet.

Argumentet pset_name är namnet på den behörighetsuppsättning som ska associeras med den nya kodgruppen. Du kan också ange en eller flera flaggor för den nya gruppen. Mer information finns i tabellen med flaggor senare i det här avsnittet.
-addpset {psfile | psfile pset_name}

eller

-ap {named_psfile | psfile pset_name}
Lägger till en ny namngiven behörighetsuppsättning till principen. Behörighetsuppsättningen måste redigeras i XML och lagras i en .xml fil. Om XML-filen innehåller namnet på behörighetsuppsättningen anges endast den filen (psfile). Om XML-filen inte innehåller namnet på behörighetsuppsättningen måste du ange både XML-filnamnet (psfile) och namnet på behörighetsuppsättningen (pset_name).

Alla behörigheter som används i en behörighetsuppsättning måste definieras i sammansättningar som finns i den globala sammansättningscacheminnet.
-a[ll] Anger att alla alternativ som följer den här gäller för principer för dator, användare och företag. Alternativet -all refererar alltid till principen för den inloggade användaren. Se alternativet -customall för att referera till användarprincipen för en annan användare än den aktuella användaren.
-chggroup {label |name} {mship | pset_name |

flaggor }

eller

-cg {label |name} {mship | pset_name |

flaggor }
Ändrar en kodgrupps medlemskapsvillkor, behörighetsuppsättning eller inställningarna för flaggorna exklusivt, levelfinal, namn eller beskrivning . Du kan ange antingen etiketten eller namnet. Etikettargumentet anger etiketten (till exempel 1. eller 1.1.) i kodgruppen. Namnargumentet anger namnet på den kodgrupp som ska ändras. Eftersom etikett och namn kan användas utbytbart måste Caspol.exe kunna skilja mellan dem. Därför kan namnet inte börja med ett tal. Dessutom kan namnet bara innehålla A-Z, 0-9 och understreckstecknet.

Argumentet pset_name anger namnet på behörighetsuppsättningen som ska associeras med kodgruppen. Mer information om argumenten mship och flaggor finns i tabellerna senare i det här avsnittet.
-chgpset psfile pset_name

eller

-cp psfile pset_name
Ändrar en namngiven behörighetsuppsättning. Psfile-argumentet tillhandahåller den nya definitionen för behörighetsuppsättningen. Det är en serialiserad behörighetsuppsättningsfil i XML-format. Argumentet pset_name anger namnet på den behörighetsuppsättning som du vill ändra.
-customall path

eller

-ca-sökväg
Anger att alla alternativ som följer den här gäller för datorn, företaget och de angivna anpassade användarprinciperna. Du måste ange platsen för den anpassade användarens säkerhetskonfigurationsfil med sökvägsargumentet.
-cu[stomuser] sökväg Tillåter administration av en anpassad användarprincip som inte tillhör användaren för vars räkning Caspol.exe körs för närvarande. Du måste ange platsen för den anpassade användarens säkerhetskonfigurationsfil med sökvägsargumentet.
-företag

eller

-en
Anger att alla alternativ som följer den här gäller för principen på företagsnivå. Användare som inte är företagsadministratörer har inte tillräckliga rättigheter för att ändra företagspolicyn, även om de kan visa den. I scenarier som inte är företag stör den här principen som standard inte dator- och användarprincipen.
-e[xecution] {on | off} Aktiverar eller inaktiverar den mekanism som söker efter behörigheten att köras innan koden börjar köras. Obs! Den här växeln tas bort i .NET Framework 4 och senare versioner.
-f[orce] Undertrycker verktygets självförstörelsetest och ändrar principen enligt användarens specifikationer. Normalt kontrollerar Caspol.exe om några principändringar skulle hindra Caspol.exe sig själv från att köras korrekt. I så fall sparar Caspol.exe inte principändringen och skriver ut ett felmeddelande. Om du vill tvinga Caspol.exe att ändra principen även om det förhindrar att Caspol.exe körs använder du alternativet -force .
-h[elp] Visar kommandosyntax och alternativ för Caspol.exe.
-Jag[ist] Visar en lista över kodgruppshierarkin och behörighetsuppsättningarna för den angivna datorn, användaren, företaget eller alla principnivåer. Caspol.exe visar kodgruppens etikett först, följt av namnet, om den inte är null.
-listdescription

eller

-Ld
Visar en lista över alla kodgruppsbeskrivningar för den angivna principnivån.
-listfulltrust

eller

-Lf
Visar en lista över innehållet i den fullständiga listan över betrodda sammansättningar för den angivna principnivån.
-listgroups

eller

-Lg
Visar kodgrupperna på den angivna principnivån eller alla principnivåer. Caspol.exe visar kodgruppens etikett först, följt av namnet, om den inte är null.
-listpset eller -lp Visar behörighetsuppsättningarna för den angivna principnivån eller alla principnivåer.
-m[achine] Anger att alla alternativ som följer den här gäller för principen på datornivå. Användare som inte är administratörer har inte tillräckliga rättigheter för att ändra datorprincipen, även om de kan visa den. För administratörer är -machine standard.
-polchgprompt {on | off}

eller

-pp {on | off}
Aktiverar eller inaktiverar uppmaningen som visas när Caspol.exe körs med ett alternativ som skulle orsaka principändringar.
-stilla

eller

-q
Inaktiverar tillfälligt uppmaningen som normalt visas för ett alternativ som orsakar principändringar. Inställningen för global ändringsprompt ändras inte. Använd alternativet endast på en enda kommandobas för att undvika att inaktivera kommandotolken för alla Caspol.exe kommandon.
-r[ecover] Återställer principen från en säkerhetskopia. När en principändring görs lagrar Caspol.exe den gamla principen i en säkerhetskopia.
-remfulltrust assembly_file

eller

-rf assembly_file
Tar bort en sammansättning från den fullständiga förtroendelistan på en principnivå. Den här åtgärden bör utföras om en behörighetsuppsättning som innehåller en anpassad behörighet inte längre används av principen. Du bör dock ta bort en sammansättning som implementerar en anpassad behörighet från den fullständiga förtroendelistan endast om sammansättningen inte implementerar andra anpassade behörigheter som fortfarande används. När du tar bort en sammansättning från listan bör du även ta bort andra sammansättningar som den är beroende av.
-remgroup {label |name}

eller

-rg {label | name}
Tar bort den kodgrupp som anges med antingen dess etikett eller namn. Om den angivna kodgruppen har underordnade kodgrupper tar Caspol.exe även bort alla underordnade kodgrupper.
-rempset pset_name

eller

-rp pset_name
Tar bort den angivna behörighetsuppsättningen från principen. Argumentet pset_name anger vilken behörighet som ska tas bort. Caspol.exe tar bara bort behörighetsuppsättningen om den inte är associerad med någon kodgrupp. Det går inte att ta bort standardbehörighetsuppsättningarna (inbyggda).
-nollställa

eller

-rs
Returnerar principen till standardtillståndet och bevarar den till disken. Detta är användbart när en ändrad princip verkar vara bortom reparation och du vill börja om med standardinställningarna för installationen. Det kan också vara praktiskt att återställa när du vill använda standardprincipen som utgångspunkt för ändringar av specifika säkerhetskonfigurationsfiler. Mer information finns i Redigera säkerhetskonfigurationsfilerna manuellt.
-resetlockdown

eller

-rsld
Returnerar principen till en mer restriktiv version av standardtillståndet och bevarar den till disken. skapar en säkerhetskopia av den tidigare datorprincipen och bevarar den till en fil med namnet security.config.bac. Den låsta principen liknar standardprincipen, förutom att principen inte ger någon behörighet att koda från zonerna Local Intranet, Trusted Sitesoch Internet och motsvarande kodgrupper har inga underordnade kodgrupper.
-resolvegroup assembly_file

eller

-rsg assembly_file
Visar de kodgrupper som en specifik sammansättning (assembly_file) tillhör. Som standard visar det här alternativet de dator-, användar- och företagsprincipnivåer som sammansättningen tillhör. Om du bara vill visa en principnivå använder du det här alternativet med alternativet -machine, -user eller -enterprise .
-resolveperm assembly_file

eller

-rsp assembly_file
Visar alla behörigheter som den angivna säkerhetsprincipnivån (eller standardnivån) skulle bevilja sammansättningen om sammansättningen tilläts köras. Argumentet assembly_file anger sammansättningen. Om du anger alternativet -all beräknar Caspol.exe behörigheterna för sammansättningen baserat på användar-, dator- och företagsprincip. Annars gäller standardbeteenderegler.
-s[ecurity] {on | off} Aktiverar eller inaktiverar kodåtkomstsäkerhet. Om du anger alternativet -s off inaktiveras inte rollbaserad säkerhet. Obs! Den här växeln tas bort i .NET Framework 4 och senare versioner. Varning! När kodåtkomstsäkerhet är inaktiverat lyckas alla krav på kodåtkomst. Om du inaktiverar kodåtkomstsäkerhet blir systemet sårbart för attacker med skadlig kod, till exempel virus och maskar. Om du inaktiverar säkerhetsvinster får du lite extra prestanda, men bör bara utföras när andra säkerhetsåtgärder har vidtagits för att säkerställa att den övergripande systemsäkerheten inte överträds. Exempel på andra säkerhetsåtgärder är frånkoppling från offentliga nätverk, fysiskt skydd av datorer och så vidare.
-u[ser] Anger att alla alternativ som följer den här gäller för användarnivåprincipen för den användare för vars räkning Caspol.exe körs. För icke-administratörsanvändare är -user standard.
-? Visar kommandosyntax och alternativ för Caspol.exe.

Argumentet mship , som anger medlemskapsvillkoret för en kodgrupp, kan användas med alternativen -addgroup och -chggroup . Varje mship-argument implementeras som en .NET Framework-klass. Om du vill ange mship använder du något av följande.

Argument beskrivning
-allcode Anger all kod. Mer information om det här medlemskapsvillkoret finns i System.Security.Policy.AllMembershipCondition.
-appdir Anger programkatalogen. Om du anger –appdir som medlemskapsvillkor jämförs URL-beviset för kod med programkatalogens bevis för koden. Om båda bevisvärdena är desamma uppfylls det här medlemskapsvillkoret. Mer information om det här medlemskapsvillkoret finns i System.Security.Policy.ApplicationDirectoryMembershipCondition.
-anpassad xmlfile Lägger till ett anpassat medlemskapsvillkor. Det obligatoriska xmlfile-argumentet anger den .xml fil som innehåller XML-serialisering av villkoret för anpassat medlemskap.
-hash hashAlg {-hex hashValue-file | assembly_file } Anger kod som har den angivna sammansättningshash. Om du vill använda en hash som ett villkor för kodgruppmedlemskap måste du ange antingen hash-värdet eller sammansättningsfilen. Mer information om det här medlemskapsvillkoret finns i System.Security.Policy.HashMembershipCondition.
-pub { -cert cert_file_name |

-file signed_file_name-hex | hex_string }
Anger kod som har den angivna programvaruutgivaren, som anges av en certifikatfil, en signatur på en fil eller den hexadecimala representationen av ett X509-certifikat. Mer information om det här medlemskapsvillkoret finns i System.Security.Policy.PublisherMembershipCondition.
-webbplatswebbplats Anger kod som har den angivna ursprungsplatsen. Till exempel:

-site** www.proseware.com

Mer information om det här medlemskapsvillkoret finns i System.Security.Policy.SiteMembershipCondition.
-strong -file file_name {name-noname | } {version-noversion} | Anger kod som har ett specifikt starkt namn, enligt filnamnet, sammansättningsnamnet som en sträng och sammansättningsversionen i formatet major.mindre.bygge.revision. Till exempel:

-strong -file myAssembly.exe myAssembly 1.2.3.4

Mer information om det här medlemskapsvillkoret finns i System.Security.Policy.StrongNameMembershipCondition.
-URL-URL Anger kod som kommer från den angivna URL:en. URL:en måste innehålla ett protokoll, till exempel http:// eller ftp://. Dessutom kan ett jokertecken (*) användas för att ange flera sammansättningar från en viss URL. Obs! Eftersom en URL kan identifieras med flera namn är det inte säkert att använda en URL som ett medlemskapsvillkor för att fastställa kodens identitet. Använd där det är möjligt ett villkor för starkt namnmedlemskap, ett villkor för utgivarens medlemskap eller villkoret för hashmedlemskap.

Mer information om det här medlemskapsvillkoret finns i System.Security.Policy.UrlMembershipCondition.
-zone zonename Anger kod med den angivna ursprungszonen. Argumentet zonename kan vara något av följande värden: MyComputer, Intranet, Trusted, Internet eller Untrusted. Mer information om det här medlemskapsvillkoret finns i ZoneMembershipCondition Klassen.

Argumentet flaggor , som kan användas med alternativen -addgroup och -chggroup , anges med något av följande.

Argument beskrivning
-description "description" Om det används med alternativet -addgroup anger du beskrivningen för en kodgrupp som ska läggas till. Om det används med alternativet -chggroup anger du beskrivningen för en kodgrupp som ska redigeras. Beskrivningsargumentet måste omges av dubbla citattecken.
-exclusive {on|off} När inställningen är på anger du att endast den behörighetsuppsättning som är associerad med den kodgrupp som du lägger till eller ändrar beaktas när viss kod passar medlemskapsvillkoret för kodgruppen. När det här alternativet är inställt på av tar Caspol.exe hänsyn till behörighetsuppsättningarna för alla matchande kodgrupper på principnivån.
-levelfinal {on|off} När inställningen är på anger du att ingen principnivå under den nivå där den tillagda eller ändrade kodgruppen inträffar beaktas. Det här alternativet används vanligtvis på datorprincipnivå. Om du till exempel anger den här flaggan för en kodgrupp på datornivå och viss kod matchar den här kodgruppens medlemskapsvillkor, Caspol.exe inte beräknar eller tillämpar användarnivåprincipen för den här koden.
-name "name" Om det används med alternativet -addgroup anger du skriptnamnet för en kodgrupp som ska läggas till. Om det används med alternativet -chggroup anger du skriptnamnet för en kodgrupp som ska redigeras. Namnargumentet måste omges av dubbla citattecken. Namnargumentet kan inte börja med ett tal och får bara innehålla A-Z, 0-9 och understreckstecknet. Kodgrupper kan refereras till med det här namnet i stället för av deras numeriska etikett. Namnet är också mycket användbart i skriptsyfte.

Kommentarer

Säkerhetsprincipen uttrycks med hjälp av tre principnivåer: maskinprincip, användarprincip och företagsprincip. Den uppsättning behörigheter som en sammansättning tar emot bestäms av skärningspunkten mellan de behörighetsuppsättningar som tillåts av dessa tre principnivåer. Varje principnivå representeras av en hierarkisk struktur med kodgrupper. Varje kodgrupp har ett medlemskapsvillkor som avgör vilken kod som är medlem i den gruppen. En namngiven behörighetsuppsättning är också associerad med varje kodgrupp. Den här behörighetsuppsättningen anger de behörigheter som runtime tillåter kod som uppfyller medlemskapsvillkoret att ha. En kodgruppshierarki, tillsammans med dess associerade namngivna behörighetsuppsättningar, definierar och underhåller varje säkerhetsprincipnivå. Du kan använda alternativen -user, -customuser, –machine och -enterprise för att ange säkerhetsprincipnivån.

Mer information om säkerhetsprinciper och hur körningen avgör vilka behörigheter som ska beviljas till kod finns i Hantering av säkerhetsprinciper.

Referera till kodgrupper och behörighetsuppsättningar

För att underlätta referenser till kodgrupper i en hierarki visar alternativet -list en indragen lista med kodgrupper tillsammans med deras numeriska etiketter (1, 1.1, 1.1.1 och så vidare). De andra kommandoradsåtgärderna som riktar sig till kodgrupper använder också de numeriska etiketterna för att referera till specifika kodgrupper.

Namngivna behörighetsuppsättningar refereras till av deras namn. Alternativet -list visar listan över kodgrupper följt av en lista över namngivna behörighetsuppsättningar som är tillgängliga i den principen.

Caspol.exe beteende

Alla alternativ utom -s[ecurity] {on | off} använder den version av .NET Framework som Caspol.exe installerades med. Om du kör Caspol.exe som installerades med version X av körningen gäller ändringarna endast för den versionen. Andra installationer sida vid sida av körningen påverkas inte. Om du kör Caspol.exe från kommandoraden utan att vara i en katalog för en viss körningsversion körs verktyget från den första körningsversionskatalogen i sökvägen (vanligtvis den senaste körningsversionen installerad).

Alternativet -s[ecurity] {on | off} är en datoromfattande åtgärd. Om du inaktiverar kodåtkomstsäkerhet avslutas säkerhetskontrollerna för all hanterad kod och för alla användare på datorn. Om sida vid sida-versioner av .NET Framework är installerade inaktiverar det här kommandot säkerheten för varje version som är installerad på datorn. Alternativet -list visar att säkerheten är avstängd, men inget annat anger tydligt för andra användare att säkerheten har inaktiverats.

När en användare utan administrativa rättigheter körs Caspol.exe refererar alla alternativ till principen på användarnivå om inte alternativet –machine har angetts. När en administratör kör Caspol.exe refererar alla alternativ till datorprincipen såvida inte alternativet –user har angetts.

Caspol.exe måste beviljas motsvarigheten till behörigheten Allt som ska fungera. Verktyget har en skyddsmekanism som förhindrar att principen ändras på ett sätt som hindrar Caspol.exe från att beviljas de behörigheter som krävs för att köras. Om du försöker göra sådana ändringar meddelar Caspol.exe dig att den begärda principändringen kommer att bryta verktyget och att principändringen avvisas. Du kan inaktivera den här skyddsmekanismen för ett visst kommando med hjälp av alternativet -force .

Redigera säkerhetskonfigurationsfilerna manuellt

Tre säkerhetskonfigurationsfiler motsvarar de tre principnivåer som stöds av Caspol.exe: en för datorprincipen, en för en viss användares princip och en för företagsprincipen. Dessa filer skapas endast på disk när en dator, användare eller företagsprincip ändras med hjälp av Caspol.exe. Du kan använda alternativet –reset i Caspol.exe för att spara standardsäkerhetsprincipen på disken om det behövs.

I de flesta fall rekommenderas inte manuellt redigering av säkerhetskonfigurationsfilerna. Men det kan finnas scenarier där det blir nödvändigt att ändra dessa filer, till exempel när en administratör vill redigera säkerhetskonfigurationen för en viss användare.

Exempel

-addfulltrust

Anta att en behörighetsuppsättning som innehåller en anpassad behörighet har lagts till i datorprincipen. Den här anpassade behörigheten implementeras i MyPerm.exeoch MyPerm.exe refererar till klasser i MyOther.exe. Båda sammansättningarna måste läggas till i den fullständiga listan över betrodda sammansättningar. Följande kommando lägger till MyPerm.exe sammansättningen i den fullständiga förtroendelistan för datorprincipen.

caspol -machine -addfulltrust MyPerm.exe

Följande kommando lägger till MyOther.exe sammansättningen i den fullständiga förtroendelistan för datorprincipen.

caspol -machine -addfulltrust MyOther.exe

-addgroup

Följande kommando lägger till en underordnad kodgrupp i roten i kodgruppshierarkin för datorns princip. Den nya kodgruppen är medlem i Internetzonen och är associerad med behörighetsuppsättningen Körning .

caspol -machine -addgroup 1.  -zone Internet Execution

Följande kommando lägger till en underordnad kodgrupp som ger resursen \\netserver\netshare lokala intranätbehörigheter.

caspol -machine -addgroup 1. -url \\netserver\netshare\* LocalIntranet

-addpset

Följande kommando lägger till behörighetsuppsättningen Mypset i användarprincipen.

caspol -user -addpset Mypset.xml Mypset

-chggroup

Följande kommando ändrar behörighetsuppsättningen i användarprincipen för kodgruppen med etiketten 1.2. till behörighetsuppsättningen Körning .

caspol -user -chggroup 1.2. Execution

Följande kommando ändrar medlemskapsvillkoret i standardprincipen för kodgruppen märkt 1.2.1. och ändrar inställningen för den exklusiva flaggan. Medlemskapsvillkoret definieras som kod som kommer från Internetzonen och den exklusiva flaggan är aktiverad.

caspol -chggroup 1.2.1. -zone Internet -exclusive on

-chgpset

Följande kommando ändrar behörighetsuppsättningen med namnet Mypset till den behörighetsuppsättning som finns i newpset.xml. Observera att den aktuella versionen inte stöder ändring av behörighetsuppsättningar som används av kodgruppshierarkin.

caspol -chgpset Mypset newpset.xml

-kraft

Följande kommando gör att användarprincipens rotkodsgrupp (märkt 1) associeras med behörighetsuppsättningen Inget namngivet. Detta förhindrar att Caspol.exe körs.

caspol -force -user -chggroup 1 Nothing

-tillfriskna

Följande kommando återställer den senast sparade datorprincipen.

caspol -machine -recover

-remgroup

Följande kommando tar bort kodgruppen med etiketten 1.1. Om den här kodgruppen har några underordnade kodgrupper tas även dessa grupper bort.

caspol -remgroup 1.1.

-rempset

Följande kommando tar bort behörighetsuppsättningen Körning från användarprincipen.

caspol -user -rempset Execution

Följande kommando tar bort Mypset från användarprincipnivån.

caspol -rempset MyPset

-resolvegroup

Följande kommando visar alla kodgrupper i den datorprincip som myassembly tillhör.

caspol -machine -resolvegroup myassembly

Följande kommando visar alla kodgrupper för den dator, företag och angiven anpassad användarprincip som myassembly tillhör.

caspol -customall "c:\config_test\security.config" -resolvegroup myassembly

-resolveperm

Följande kommando beräknar behörigheterna för testassembly baserat på dator- och användarprincipnivåerna.

caspol -all -resolveperm testassembly

Se även