ACL是Access Control Lists 的縮寫，可理解為＂存取控制表＂，ACL是Windows2000&NT系統(tǒng)中，活動目錄對象安全描述符的一部分，每個活動目錄對象的安全描述符都由4部分構(gòu)成：對象的創(chuàng)建者、對象所屬的組、自由存取控制和系統(tǒng)存取控制。其中自由存取控制實際是歸在ACL中的，ACL主要是決定活動目錄對象的許可權(quán)限．而系統(tǒng)存取控制則主要是審核活動目錄對象的許可權(quán)限．通俗說，好比社會上的許可證管理：有負(fù)責(zé)發(fā)放許可證的部門，還有負(fù)責(zé)審核許可證（權(quán)限）的部門．Acldiag就是在些機制出了問題之后，如何進(jìn)行診斷和維修的工具．

這仍是一個命令行的工具，功能就是診斷活動目錄對象的許可權(quán)問題．它從＂存取控制表＂中讀取安全屬性信息，并以易于理解的格式寫入一個文本文件中，這些所謂的安全屬性信息有：詳細(xì)的權(quán)限描述、使用者和組等等，這個文本文件也可以作為上傳的報告．使用Acldiag可以完成的任務(wù)有：

1.在默認(rèn)規(guī)劃中，比較ACL目錄服務(wù)對象定義的許可權(quán)限． 2.進(jìn)行檢查或維護(hù)，使用模板，執(zhí)行標(biāo)準(zhǔn)授權(quán)． 3.對某個指定的使用者或組，或是對所有使用者和所有的組，得到它(或它們)有效的許可權(quán)限，并在ACL中顯示出來．

使用AclDiag工具僅僅能顯示出對象的許可權(quán)和用戶權(quán)限．卻不能顯示其它諸如組策略之類的相應(yīng)的信息，這主要是因為組策略是虛擬對象，而對虛擬對象的名字，這個工具不能使用它們．

二、AclDiag的語法：

acldiag 'ObjectDN' [/chkdeleg] [/fixdeleg] [/geteffective:{User | Group}] [/schema] [/skip] [/tdo]

參數(shù)及說明：ObjectDN 所指定活動目錄對象的正確的名字，在命令行中使用這個參數(shù)時，活動目錄對象名字必須使用引號．

/chkdeleg 檢查對象的委托及授權(quán)的安全性能.

/fixdeleg 用控制向?qū)У奈校瑱z測或維護(hù)所有將要使用對象的授權(quán)．

/geteffective:{user | group} 以可讀取的格式，打印輸出指定用戶或指定（工作）組關(guān)于許可權(quán)限方面的信息．

/schema 檢查包括默認(rèn)規(guī)劃內(nèi)的對象是否安全．

/skip 不顯示（跳過）安全描述符．.

/tdo 當(dāng)需要將相關(guān)的資料進(jìn)行保存時，以系統(tǒng)規(guī)定的表格格式或其它＂可讀取＂的格式將信息資料寫進(jìn)文件中去．在Windows2000或windowsＮＴ中，為了統(tǒng)一標(biāo)準(zhǔn)和便于處理，微軟公司專門規(guī)定有一套各種信息資料的填寫樣式，即所謂＂電子表格＂（不是我們通常說的Exce）．

像驗證其它工具一樣，我在命令行窗口中實際執(zhí)行了一下acldiag/?，得到程序提示的幫助信息，兩下對比發(fā)現(xiàn)，幫助文檔文檔中介紹的內(nèi)容和提示信息內(nèi)容還是一致的．至于每個項目的結(jié)果，限于時間和條件，沒有進(jìn)行更為深入細(xì)致的研究．倒是幫助文檔中介紹了一個實際診斷的例子：這個例子是診斷microsoft.com 域中，顯示所有默認(rèn)規(guī)劃內(nèi)的訪問權(quán)限，其命令和參數(shù)如下：

C:>acldiag 'DC=microsoft,DC=com' /schema

三、診斷輸出信息釋義要確定系統(tǒng)的問題，不但要進(jìn)行診斷，還要能看懂診斷工具所輸出的信息含義．對這個工具來說，診斷信息中關(guān)鍵的部分如下：仍以上面介紹的診斷為范本．先執(zhí)行：

acldiag 'DC=microsoft,DC=com'

執(zhí)行之后，得到的屏幕輸出不僅是英文，而且很長，所以不便附在這里．我仔細(xì)閱讀后，覺得主要項目有以下幾個方面：

1.列出是對哪個系統(tǒng)進(jìn)行的診斷．相當(dāng)于醫(yī)生在病歷單上所填寫的患者姓名．

2.對象的描述：擁有者: {用戶 |組}　

3.許可權(quán)限：分四種：拒絕、允許、用戶、組（團(tuán)體），只能是其中之一

4.許可權(quán)限的繼承關(guān)系：對象的許可權(quán)限允許從其父輩繼承過來，或者說當(dāng)前對象的權(quán)限也允許其子對象繼承，所繼承的權(quán)限也在上述四種之內(nèi)．

5.權(quán)限審核：這也就是我們上面提到的部分了．許可權(quán)限的審核的結(jié)果只有兩種：成功和失敗．對許可權(quán)限的審核也包括所繼承部分．

6.默認(rèn)規(guī)劃：如果仍以上面的診斷為范本，則默認(rèn)規(guī)劃的診斷命令是： acldiag 'DC=microsoft,DC=com' /schema結(jié)果分為三種：現(xiàn)有部分、不存在、局部．

7.授權(quán)模板：命令形式是：acldiag 'DC=microsoft,DC=com' /chkdeleg 其輸出如下： 狀態(tài): {OK | NOT PRESENT/MISCONFIGURED} 對象是否使用: {YES | NO} 是否繼承 : {YES | NO} 豎線兩側(cè)的狀態(tài)只能選其中之一．

8.有效權(quán)限：命令行形式是：acldiag 'DC=microsoft,DC=com' /geteffective:{User | Group} 輸出結(jié)果如下：　 {User | Group} 1:Can Read {All | PropertyList} propertIEs. (via Group membership)Can Write {All | PropertyList} properties. (via Group membership)Can Create {All | ObjectList} objects. (via Group membership)Can Delete {All | ObjectList} objects. (via Group membership)Can Delete this object. (via Group membership)Can Delete entire subtree. (via Group membership)Can List subobjects. (via Group membership)Can Read permissions. (via Group membership)Can Modify permissions. (via Group membership)Can Take/Change ownership. (via Group membership)

這些是有效權(quán)限信息，大括號中是可選項，也是豎線兩側(cè)的狀態(tài)只能選其中之一．權(quán)限的屬性有：可讀取、可寫、可建立、可刪除、可刪除某指定對象、可刪除整個對象、可刪除子對象、、可列出子對象、可讀取許可權(quán)限、可修改許可權(quán)限、可取得/改變所有權(quán)．后面括號中的信息是指：通過組成員資格（審核）．