Caspol.exe (kodåtkomstsäkerhetsprincipverktyg)
Med kodåtkomstsäkerhetsverktyget (CAS) (Caspol.exe) kan användare och administratörer ändra säkerhetsprincipen för datorprincipnivån, användarprincipnivån och företagsprincipnivån.
Viktigt
Från och med .NET Framework 4 påverkar Caspol.exe inte CAS-principen om inte elementet< legacyCasPolicy> är inställt på true. Alla inställningar som visas eller ändras av CasPol.exe påverkar endast program som väljer att använda CAS-principen.
Anteckning
Code Access Security (CAS) har föråldrats i alla versioner av .NET Framework och .NET. De senaste versionerna av .NET följer inte CAS-anteckningar och skapar fel om CAS-relaterade API:er används. Utvecklare bör söka alternativa sätt att utföra säkerhetsuppgifter.
Anteckning
64-bitars datorer innehåller både 64- och 32-bitars versioner av säkerhetsprinciper. För att säkerställa att dina principändringar gäller för både 32- och 64-bitarsprogram kör du både 32- och 64-bitarsversionerna av Caspol.exe.
Verktyget Code Access Security Policy installeras automatiskt med .NET Framework och med Visual Studio. Du hittar Caspol.exe i %windir%\Microsoft.NET\Framework\version på 32-bitarssystem eller %windir%\Microsoft.NET\Framework64\version på 64-bitarssystem. (Platsen är till exempel %windir%\Microsoft.NET\Framework64\v4.030319\caspol.exe för .NET Framework 4 i ett 64-bitarssystem.) Flera versioner av verktyget kan installeras om datorn kör flera versioner av .NET Framework sida vid sida. Du kan köra verktyget från installationskatalogen. Vi rekommenderar dock att du använder Visual Studio Developer Command Prompt eller Visual Studio Developer PowerShell, som inte kräver att du navigerar till installationsmappen.
Skriv följande vid kommandotolken:
Syntax
caspol [options]
Parametrar
| Alternativ | Beskrivning |
|---|---|
| -addfulltrustassembly_file eller -afassembly_file |
Lägger till en sammansättning som implementerar ett anpassat säkerhetsobjekt (till exempel en anpassad behörighet eller ett anpassat medlemskapsvillkor) i listan över fullständiga förtroendesammansättningar för en viss principnivå. Argumentet assembly_file anger sammansättningen som ska läggas till. Den här filen måste signeras med ett starkt namn. Du kan signera en sammansättning med ett starkt namn med hjälp av verktyget Starkt namn (Sn.exe). När en behörighetsuppsättning som innehåller en anpassad behörighet läggs till i principen måste sammansättningen som implementerar den anpassade behörigheten läggas till i den fullständiga förtroendelistan för den principnivån. Sammansättningar som implementerar anpassade säkerhetsobjekt (till exempel anpassade kodgrupper eller medlemskapsvillkor) som används i en säkerhetsprincip (till exempel datorprincipen) bör alltid läggas till i den fullständiga listan över förtroendesammansättningar. Försiktighet: Om sammansättningen som implementerar det anpassade säkerhetsobjektet refererar till andra sammansättningar måste du först lägga till de refererade sammansättningarna i den fullständiga listan över förtroendesammansättningar. Anpassade säkerhetsobjekt som skapats med Visual Basic, C++ och JScript refererar antingen till Microsoft.VisualBasic.dll, Microsoft.VisualC.dll eller Microsoft.JScript.dll. Dessa sammansättningar finns inte som standard i listan över fullständiga förtroendesammansättningar. Du måste lägga till lämplig sammansättning i listan med fullständigt förtroende innan du lägger till ett anpassat säkerhetsobjekt. Om du inte gör det bryts säkerhetssystemet, vilket gör att alla sammansättningar inte kan läsas in. I det här fallet reparerar inte alternativet Caspol.exe -all -reset säkerheten. Om du vill reparera säkerheten måste du redigera säkerhetsfilerna manuellt för att ta bort det anpassade säkerhetsobjektet. |
| -addgroup {parent_label | parent_name} mship pset_name [flags] eller -ag {parent_label | parent_name} mship pset_name [flaggor] |
Lägger till en ny kodgrupp i kodgruppshierarkin. Du kan ange antingen parent_label eller parent_name. Argumentet parent_label anger etiketten (till exempel 1. eller 1.1.) för den kodgrupp som är överordnad i den kodgrupp som läggs till. Argumentet parent_name anger namnet på den kodgrupp som är överordnad för den kodgrupp som läggs till. Eftersom parent_label och parent_name kan användas utbytbart måste Caspol.exe kunna skilja mellan dem. Därför kan parent_name inte börja med ett tal. Dessutom kan parent_name bara innehålla A-Z, 0-9 och understreckstecknet. Argumentet mship anger medlemskapsvillkoret för den nya kodgruppen. Mer information finns i tabellen med mship-argument senare i det här avsnittet. Argumentet pset_name är namnet på den behörighetsuppsättning som ska associeras med den nya kodgruppen. Du kan också ange en eller flera flaggor för den nya gruppen. Mer information finns i tabellen med flaggor argument senare i det här avsnittet. |
| -addpset {psfile | psfile pset_name} eller -ap {named_psfile | psfilepset_name} |
Lägger till en ny namngiven behörighetsuppsättning till principen. Behörighetsuppsättningen måste redigeras i XML och lagras i en .xml fil. Om XML-filen innehåller namnet på behörighetsuppsättningen anges endast den filen (psfile). Om XML-filen inte innehåller namnet på behörighetsuppsättningen måste du ange både XML-filnamnet (psfile) och namnet på behörighetsuppsättningen (pset_name). Alla behörigheter som används i en behörighetsuppsättning måste definieras i sammansättningar som finns i den globala sammansättningscachen. |
| -a[ll] | Anger att alla alternativ som följer detta gäller för dator-, användar- och företagsprinciper. Alternativet -all refererar alltid till principen för den inloggade användaren. Se alternativet -customall för att referera till användarprincipen för en annan användare än den aktuella användaren. |
| -chggroup {label |name} {mship | pset_name | Flaggor }eller -cg {label |name} {mship | pset_name | Flaggor } |
Ändrar en kodgrupps medlemskapsvillkor, behörighetsuppsättning eller inställningarna för flaggorna exklusiv, levelfinal, namn eller beskrivning . Du kan ange antingen etiketten eller namnet. Etikettargumentet anger etiketten (till exempel 1. eller 1.1.) i kodgruppen. Namnargumentet anger namnet på den kodgrupp som ska ändras. Eftersom etikett och namn kan användas utbytbart måste Caspol.exe kunna skilja mellan dem. Därför kan namnet inte börja med ett tal. Dessutom kan namnet bara innehålla A-Z, 0-9 och understreckstecknet. Argumentet pset_name anger namnet på behörighetsuppsättningen som ska associeras med kodgruppen. Mer information om argumenten mship och flaggor finns i tabellerna senare i det här avsnittet. |
| -chgpsetpsfile pset_name eller -cppsfile pset_name |
Ändrar en namngiven behörighetsuppsättning. Psfile-argumentet tillhandahåller den nya definitionen för behörighetsuppsättningen. det är en serialiserad behörighetsuppsättningsfil i XML-format. Argumentet pset_name anger namnet på den behörighetsuppsättning som du vill ändra. |
| -customallpath eller -ca-sökväg |
Anger att alla alternativ som följer detta gäller för datorn, företaget och de angivna anpassade användarprinciperna. Du måste ange platsen för den anpassade användarens säkerhetskonfigurationsfil med sökvägsargumentet . |
| -cu[stomuser] sökväg | Tillåter administration av en anpassad användarprincip som inte tillhör användaren för vars räkning Caspol.exe för närvarande körs. Du måste ange platsen för den anpassade användarens säkerhetskonfigurationsfil med sökvägsargumentet . |
| -Företag eller -en |
Anger att alla alternativ som följer den här gäller för principen på företagsnivå. Användare som inte är företagsadministratörer har inte tillräckliga rättigheter för att ändra företagspolicyn, även om de kan visa den. I icke-företagsscenarier stör den här principen som standard inte dator- och användarprinciper. |
| -e[xecution] {on | off} | Aktiverar eller inaktiverar den mekanism som söker efter behörighet att köra innan koden börjar köras. Observera: Den här växeln tas bort i .NET Framework 4 och senare versioner. |
| -f[orce] | Undertrycker verktygets självförstörelsetest och ändrar principen enligt användarens specifikationer. Normalt kontrollerar Caspol.exe om några principändringar skulle hindra Caspol.exe sig själv från att köras korrekt. I så fall sparar Caspol.exe inte principändringen och skriver ut ett felmeddelande. Om du vill tvinga Caspol.exe att ändra princip, även om det förhindrar Caspol.exe sig själv från att köras, använder du alternativet -force . |
| -h[elp] | Visar kommandosyntax och alternativ för Caspol.exe. |
| -L[ist] | Visar en lista över kodgruppshierarkin och behörighetsuppsättningarna för den angivna datorn, användaren, företaget eller alla principnivåer. Caspol.exe visar kodgruppens etikett först, följt av namnet, om den inte är null. |
| -listdescription eller -Ld |
Visar en lista över alla beskrivningar av kodgrupper för den angivna principnivån. |
| -listfulltrust eller -Lf |
Visar innehållet i den fullständiga listan över förtroendesammansättningar för den angivna principnivån. |
| -listgroups eller -Lg |
Visar kodgrupperna för den angivna principnivån eller alla principnivåer. Caspol.exe visar kodgruppens etikett först, följt av namnet, om den inte är null. |
| -listpset eller -lp | Visar behörighetsuppsättningarna för den angivna principnivån eller alla principnivåer. |
| -m[achine] | Anger att alla alternativ som följer den här gäller för principen på datornivå. Användare som inte är administratörer har inte tillräckliga rättigheter för att ändra datorprincipen, även om de kan visa den. För administratörer är -machine standard. |
| -polchgprompt {on | off} eller -pp {on | off} |
Aktiverar eller inaktiverar uppmaningen som visas när Caspol.exe körs med ett alternativ som skulle orsaka principändringar. |
| -Lugnt eller -q |
Inaktiverar tillfälligt uppmaningen som normalt visas för ett alternativ som orsakar principändringar. Inställningen för global ändringsprompt ändras inte. Använd alternativet endast på samma kommandobasis för att undvika att inaktivera prompten för alla Caspol.exe kommandon. |
| -r[ecover] | Återställer principen från en säkerhetskopia. När en principändring görs lagrar Caspol.exe den gamla principen i en säkerhetskopia. |
| -remfulltrustassembly_file eller -rfassembly_file |
Tar bort en sammansättning från den fullständiga förtroendelistan på en principnivå. Den här åtgärden bör utföras om en behörighetsuppsättning som innehåller en anpassad behörighet inte längre används av principen. Du bör dock ta bort en sammansättning som implementerar en anpassad behörighet från den fullständiga förtroendelistan endast om sammansättningen inte implementerar andra anpassade behörigheter som fortfarande används. När du tar bort en sammansättning från listan bör du även ta bort alla andra sammansättningar som den är beroende av. |
| -remgroup {label |name} eller -rg {label | name} |
Tar bort den kodgrupp som anges av antingen dess etikett eller namn. Om den angivna kodgruppen har underordnade kodgrupper tar Caspol.exe även bort alla underordnade kodgrupper. |
| -rempsetpset_name eller -rppset_name |
Tar bort den angivna behörighetsuppsättningen från principen. Argumentet pset_name anger vilken behörighet som ska tas bort. Caspol.exe tar bara bort behörighetsuppsättningen om den inte är associerad med någon kodgrupp. Det går inte att ta bort standardbehörighetsuppsättningarna (inbyggda). |
| -Återställa eller -rs |
Returnerar principen till standardtillståndet och sparar den på disken. Detta är användbart när en ändrad princip verkar vara bortom reparation och du vill börja om med standardinställningarna för installationen. Det kan också vara praktiskt att återställa när du vill använda standardprincipen som utgångspunkt för ändringar av specifika säkerhetskonfigurationsfiler. Mer information finns i Redigera säkerhetskonfigurationsfilerna manuellt. |
| -resetlockdown eller -rsld |
Returnerar principen till en mer restriktiv version av standardtillståndet och bevarar den till disken. skapar en säkerhetskopia av den tidigare datorprincipen och sparar den i en fil med namnet security.config.bac. Den låsta principen liknar standardprincipen, förutom att principen inte ger någon behörighet till kod från zonerna Local Intranet, Trusted Sitesoch och Internet motsvarande kodgrupper har inga underordnade kodgrupper. |
| -resolvegroupassembly_file eller -rsgassembly_file |
Visar de kodgrupper som en specifik sammansättning (assembly_file) tillhör. Som standard visar det här alternativet de dator-, användar- och företagsprincipnivåer som sammansättningen tillhör. Om du bara vill visa en principnivå använder du det här alternativet med alternativet -machine, -user eller -enterprise . |
| -resolvepermassembly_file eller -rspassembly_file |
Visar alla behörigheter som den angivna nivån (eller standardnivån) för säkerhetsprincipen skulle bevilja sammansättningen om sammansättningen tilläts köras. Argumentet assembly_file anger sammansättningen. Om du anger alternativet -all beräknar Caspol.exe behörigheterna för sammansättningen baserat på användar-, dator- och företagsprincip. Annars gäller standardbeteenderegler. |
| -s[ecurity] {on | off} | Aktiverar eller inaktiverar kodåtkomstsäkerhet. Om du anger alternativet -s off inaktiveras inte rollbaserad säkerhet. Observera: Den här växeln tas bort i .NET Framework 4 och senare versioner. Försiktighet: När säkerhet för kodåtkomst är inaktiverat lyckas alla krav på kodåtkomst. Om du inaktiverar kodåtkomstsäkerhet blir systemet sårbart för attacker av skadlig kod, till exempel virus och maskar. Att stänga av säkerhet får lite extra prestanda, men bör endast göras när andra säkerhetsåtgärder har vidtagits för att se till att den övergripande systemsäkerheten inte överträds. Exempel på andra säkerhetsåtgärder är frånkoppling från offentliga nätverk, fysiskt skydd av datorer och så vidare. |
| -u[ser] | Anger att alla alternativ som följer den här gäller för principen på användarnivå för den användare vars räkning Caspol.exe körs. För icke-administratörer är -user standard. |
| -? | Visar kommandosyntax och alternativ för Caspol.exe. |
Argumentet mship , som anger medlemskapsvillkoret för en kodgrupp, kan användas med alternativen -addgroup och -chggroup . Varje mship-argument implementeras som en .NET Framework-klass. Om du vill ange mship använder du något av följande.
| Argument | Description |
|---|---|
| -allcode | Anger all kod. Mer information om det här medlemskapsvillkoret finns i System.Security.Policy.AllMembershipCondition. |
| -appdir | Anger programkatalogen. Om du anger –appdir som medlemskapsvillkor jämförs URL-beviset för kod med programkatalogens bevis för den koden. Om båda bevisvärdena är desamma uppfylls det här medlemskapsvillkoret. Mer information om det här medlemskapsvillkoret finns i System.Security.Policy.ApplicationDirectoryMembershipCondition. |
| -customxmlfile | Lägger till ett anpassat medlemskapsvillkor. Det obligatoriska xmlfile-argumentet anger den .xml fil som innehåller XML-serialisering av villkoret för anpassat medlemskap. |
| -hashhashAlg {-hexhashValue-file | assembly_file } | Anger kod som har den angivna sammansättningshashen. Om du vill använda en hash som ett villkor för kodgruppsmedlemskap måste du ange antingen hash-värdet eller sammansättningsfilen. Mer information om det här medlemskapsvillkoret finns i System.Security.Policy.HashMembershipCondition. |
| -pub { -certcert_file_name | -filesigned_file_name-hex | hex_string } |
Anger kod som har den angivna programvaruutgivaren, som anges av en certifikatfil, en signatur på en fil eller hexadecimal representation av ett X509-certifikat. Mer information om det här medlemskapsvillkoret finns i System.Security.Policy.PublisherMembershipCondition. |
| -webbplatswebbplats | Anger kod som har den angivna ursprungsplatsen. Ett exempel:-site** www.proseware.comMer information om det här medlemskapsvillkoret finns i System.Security.Policy.SiteMembershipCondition. |
| -strong -filefile_name {name-noname | } {version-noversion | } | Anger kod som har ett specifikt starkt namn, enligt filnamnet, sammansättningsnamnet som en sträng och sammansättningsversionen i formatet major. mindre. bygga. revision. Ett exempel: -strong -file myAssembly.exe myAssembly 1.2.3.4 Mer information om det här medlemskapsvillkoret finns i System.Security.Policy.StrongNameMembershipCondition. |
| -urlURL | Anger kod som kommer från den angivna URL:en. URL:en måste innehålla ett protokoll, till exempel http:// eller ftp://. Dessutom kan ett jokertecken (*) användas för att ange flera sammansättningar från en viss URL. Observera: Eftersom en URL kan identifieras med flera namn är det inte säkert att använda en URL som ett medlemskapsvillkor för att fastställa kodens identitet. Använd om möjligt ett villkor för starkt namnmedlemskap, ett villkor för utgivarmedlemskap eller villkoret för hash-medlemskap. Mer information om det här medlemskapsvillkoret finns i System.Security.Policy.UrlMembershipCondition. |
| -zonezonename | Anger kod med den angivna ursprungszonen. Argumentet zonename kan vara något av följande värden: MyComputer, Intranet, Trusted, Internet eller Untrusted. Mer information om det här medlemskapsvillkoret finns i ZoneMembershipCondition Klassen. |
Argumentet flags , som kan användas med alternativen -addgroup och -chggroup , anges med något av följande.
| Argument | Description |
|---|---|
| -Beskrivning "description" | Om det används med alternativet –addgroup anger beskrivningen för en kodgrupp som ska läggas till. Om det används med alternativet -chggroup anger beskrivningen för en kodgrupp som ska redigeras. Beskrivningsargumentet måste omges av dubbla citattecken. |
| -exklusiv {on|off} | När inställningen är på anger det att endast den behörighetsuppsättning som är associerad med den kodgrupp som du lägger till eller ändrar beaktas när viss kod passar medlemskapsvillkoret för kodgruppen. När det här alternativet är inställt på av tar Caspol.exe hänsyn till behörighetsuppsättningarna för alla matchande kodgrupper på principnivån. |
| -levelfinal {on|off} | När den är inställd på på , anger att ingen principnivå under den nivå där den tillagda eller ändrade kodgruppen inträffar beaktas. Det här alternativet används vanligtvis på datorprincipnivå. Om du till exempel anger den här flaggan för en kodgrupp på datornivå och viss kod matchar den här kodgruppens medlemskapsvillkor, beräknar eller tillämpar Caspol.exe inte användarnivåprincipen för den här koden. |
| -Namn "name" | Om det används med alternativet –addgroup anger skriptnamnet för en kodgrupp som ska läggas till. Om det används med alternativet -chggroup anger du skriptnamnet för en kodgrupp som ska redigeras. Namnargumentet måste omges av dubbla citattecken. Namnargumentet kan inte börja med ett tal och får bara innehålla A-Z, 0-9 och understreckstecknet. Kodgrupper kan refereras till med det här namnet i stället för av deras numeriska etikett. Namnet är också mycket användbart i skriptsyfte. |
Kommentarer
Säkerhetsprincip uttrycks med tre principnivåer: datorprincip, användarprincip och företagsprincip. Den uppsättning behörigheter som en sammansättning tar emot bestäms av skärningspunkten mellan de behörighetsuppsättningar som tillåts av dessa tre principnivåer. Varje principnivå representeras av en hierarkisk struktur med kodgrupper. Varje kodgrupp har ett medlemskapsvillkor som avgör vilken kod som är medlem i gruppen. En namngiven behörighetsuppsättning är också associerad med varje kodgrupp. Den här behörighetsuppsättningen anger de behörigheter som körningen tillåter kod som uppfyller medlemskapsvillkoret. En kodgruppshierarki, tillsammans med dess associerade namngivna behörighetsuppsättningar, definierar och underhåller varje säkerhetsprincipnivå. Du kan använda alternativen -user, -customuser, –machine och -enterprise för att ange säkerhetsprincipnivån.
Mer information om säkerhetsprinciper och hur körningen avgör vilka behörigheter som ska beviljas för kod finns i Hantering av säkerhetsprinciper.
Referera till kodgrupper och behörighetsuppsättningar
För att underlätta referenser till kodgrupper i en hierarki visar alternativet -list en indragen lista över kodgrupper tillsammans med deras numeriska etiketter (1, 1.1, 1.1.1 och så vidare). De andra kommandoradsåtgärderna som riktar in sig på kodgrupper använder också de numeriska etiketterna för att referera till specifika kodgrupper.
Namngivna behörighetsuppsättningar refereras till av deras namn. Alternativet –list visar listan över kodgrupper följt av en lista över namngivna behörighetsuppsättningar som är tillgängliga i principen.
Caspol.exe beteende
Alla alternativ utom -s[ecurity] {on | off} använder versionen av .NET Framework som Caspol.exe installerades med. Om du kör Caspol.exe som installerades med version X av körningen gäller ändringarna endast för den versionen. Andra eventuella installationer sida vid sida av körningen påverkas inte. Om du kör Caspol.exe från kommandoraden utan att vara i en katalog för en viss körningsversion körs verktyget från den första körningsversionskatalogen i sökvägen (vanligtvis den senaste installerade körningsversionen).
Alternativet -s[ecurity] {on | off} är en datoromfattande åtgärd. Om du inaktiverar kodåtkomstsäkerhet avslutas säkerhetskontrollerna för all hanterad kod och för alla användare på datorn. Om sida vid sida-versioner av .NET Framework är installerade inaktiverar det här kommandot säkerheten för varje version som är installerad på datorn. Även om alternativet -list visar att säkerhet är inaktiverat, anger inget annat tydligt för andra användare att säkerheten har inaktiverats.
När en användare utan administratörsbehörighet kör Caspol.exe refererar alla alternativ till principen på användarnivå, såvida inte alternativet – dator har angetts. När en administratör kör Caspol.exe refererar alla alternativ till datorprincipen om inte alternativet –användare har angetts.
Caspol.exe måste beviljas motsvarigheten till behörigheten Allt som ska fungera. Verktyget har en skyddsmekanism som förhindrar att principen ändras på ett sätt som förhindrar att Caspol.exe beviljas de behörigheter som krävs för att köras. Om du försöker göra sådana ändringar meddelar Caspol.exe dig att den begärda principändringen kommer att bryta verktyget och att principändringen avvisas. Du kan inaktivera den här skyddsmekanismen för ett visst kommando med hjälp av alternativet –force .
Redigera säkerhetskonfigurationsfilerna manuellt
Tre säkerhetskonfigurationsfiler motsvarar de tre principnivåer som stöds av Caspol.exe: en för datorprincipen, en för en viss användares princip och en för företagsprincipen. Dessa filer skapas endast på disk när dator-, användar- eller företagsprincip ändras med hjälp av Caspol.exe. Du kan använda alternativet –reset i Caspol.exe för att spara standardsäkerhetsprincipen på disken om det behövs.
I de flesta fall rekommenderas inte manuellt redigering av säkerhetskonfigurationsfilerna. Men det kan finnas scenarier där det blir nödvändigt att ändra dessa filer, till exempel när en administratör vill redigera säkerhetskonfigurationen för en viss användare.
Exempel
-addfulltrust
Anta att en behörighetsuppsättning som innehåller en anpassad behörighet har lagts till i datorprincipen. Den här anpassade behörigheten implementeras i MyPerm.exeoch MyPerm.exe refererar till klasser i MyOther.exe. Båda sammansättningarna måste läggas till i den fullständiga listan över förtroendesammansättningar. Följande kommando lägger till sammansättningen i MyPerm.exe listan med fullständigt förtroende för datorprincipen.
caspol -machine -addfulltrust MyPerm.exe
Följande kommando lägger till sammansättningen i MyOther.exe listan med fullständigt förtroende för datorprincipen.
caspol -machine -addfulltrust MyOther.exe
-addgroup
Följande kommando lägger till en underordnad kodgrupp i roten i hierarkin för datorprincipens kodgrupp. Den nya kodgruppen är medlem i Internetzonen och är associerad med behörighetsuppsättningen Körning .
caspol -machine -addgroup 1. -zone Internet Execution
Följande kommando lägger till en underordnad kodgrupp som ger resursen \\netserver\netshare lokala intranätbehörigheter.
caspol -machine -addgroup 1. -url \\netserver\netshare\* LocalIntranet
-addpset
Följande kommando lägger till behörighetsuppsättningen Mypset i användarprincipen.
caspol -user -addpset Mypset.xml Mypset
-chggroup
Följande kommando ändrar behörighetsuppsättningen i användarprincipen för kodgruppen med etiketten 1.2. till behörighetsuppsättningen Körning .
caspol -user -chggroup 1.2. Execution
Följande kommando ändrar medlemskapsvillkoret i standardprincipen för kodgruppen märkt 1.2.1. och ändrar inställningen för den exklusiva flaggan. Medlemskapsvillkoret definieras som kod som kommer från Internetzonen och den exklusiva flaggan är aktiverad.
caspol -chggroup 1.2.1. -zone Internet -exclusive on
-chgpset
Följande kommando ändrar behörighetsuppsättningen med namnet Mypset till den behörighetsuppsättning som finns i newpset.xml. Observera att den aktuella versionen inte stöder ändring av behörighetsuppsättningar som används av kodgruppshierarkin.
caspol -chgpset Mypset newpset.xml
-Kraft
Följande kommando gör att användarprincipens rotkodsgrupp (märkt 1) associeras med behörighetsuppsättningen Inget namngivet. Detta förhindrar att Caspol.exe körs.
caspol -force -user -chggroup 1 Nothing
-Återställa
Följande kommando återställer den senast sparade datorprincipen.
caspol -machine -recover
-remgroup
Följande kommando tar bort kodgruppen med etiketten 1.1. Om den här kodgruppen har underordnade kodgrupper tas även dessa grupper bort.
caspol -remgroup 1.1.
-rempset
Följande kommando tar bort behörighetsuppsättningen Körning från användarprincipen.
caspol -user -rempset Execution
Följande kommando tar Mypset bort från användarprincipnivån.
caspol -rempset MyPset
-resolvegroup
Följande kommando visar alla kodgrupper för den datorprincip som myassembly tillhör.
caspol -machine -resolvegroup myassembly
Följande kommando visar alla kodgrupper för datorn, företaget och den angivna anpassade användarprincipen som myassembly tillhör.
caspol -customall "c:\config_test\security.config" -resolvegroup myassembly
-resolveperm
Följande kommando beräknar behörigheterna för testassembly baserat på dator- och användarprincipnivåer.
caspol -all -resolveperm testassembly
Se även
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för