Option | Description |
|---|
-addfulltrust assembly_file ou -afassembly_file | Ajoute un assembly qui implémente un objet de sécurité personnalisé (autorisation personnalisée ou condition d'appartenance personnalisée) à la liste des assemblys de confiance totale pour un niveau de stratégie précis. L'argument assembly_file spécifie l'assembly à ajouter. Ce fichier doit être signé avec un nom fort. Vous pouvez signer un assembly avec un nom fort à l'aide de l'outil Strong Name Tool (Sn.exe). Lorsqu'un jeu d'autorisations contenant une autorisation personnalisée est ajouté à la stratégie, l'assembly implémentant cette autorisation personnalisée doit être ajouté à la liste des assemblys de confiance totale pour le niveau de stratégie considéré. Les assemblys qui implémentent des objets de sécurité personnalisés (groupes de codes ou conditions d'appartenance personnalisés) et utilisés dans une stratégie de sécurité (stratégie de l'ordinateur notamment) doivent toujours être ajoutés à la liste des assemblys de confiance totale. .gif "Remarque Attention") Attention : |
|---|
Si l'assembly implémentant l'objet de sécurité personnalisé fait référence à d'autres assemblys, vous devez d'abord ajouter les assemblys référencés à la liste des assemblys de confiance totale. Les objets de sécurité personnalisés créés à l'aide de Visual Basic, C++ et JScript référencent Microsoft.VisualBasic.dll, Microsoft.VisualC.dll ou Microsoft.JScript.dll, respectivement. Ces assemblys ne sont pas par défaut dans la liste des assemblys de confiance totale. Vous devez ajouter l'assembly approprié à la liste de confiance totale avant d'ajouter un objet de sécurité personnalisé. Dans le cas contraire, vous risquez de perturber le système de sécurité et de provoquer l'échec du chargement de tous les assemblys. Dans ce cas, l'option -all -reset de l'exécutable Caspol.exe ne corrigera pas la sécurité. Pour corriger la sécurité, vous devez manuellement modifier les fichiers de sécurité pour supprimer l'objet de sécurité personnalisé. |
|
-addgroup {parent_label | parent_name} mship pset_name [flags] ou -ag {parent_label | parent_name} mship pset_name [flags] | Ajoute un nouveau groupe de codes à la hiérarchie des groupes de codes. Vous pouvez spécifier l'argument parent_label ou parent_name. L'argument parent_label indique l'étiquette (telle que 1. ou 1.1) du groupe de codes parent du groupe ajouté. L'argument parent_name indique le nom du groupe de codes parent du groupe ajouté. Dans la mesure où parent_label et parent_name peuvent être utilisés indifféremment, Caspol.exe doit être capable de faire la distinction entre ces deux arguments. C'est pourquoi parent_name ne peut pas commencer par un chiffre. Par ailleurs, parent_name ne peut contenir que les lettres A à Z, les chiffres 0 à 9 et le caractère de soulignement. L'argument mship spécifie la condition d'appartenance au nouveau groupe de codes. Pour plus d'informations, consultez le tableau des arguments mship, plus loin dans cette section. L'argument pset_name est le nom du jeu d'autorisations qui sera associé au nouveau groupe de codes. Vous pouvez également définir un ou plusieurs indicateurs pour le nouveau groupe. Pour plus d'informations, consultez le tableau des arguments flags, plus loin dans cette section. |
-addpset {psfile | psfile pset_name} ou -ap {named_psfile | psfile pset_name} | Ajoute un nouveau jeu d'autorisations nommé à la stratégie. Ce jeu d'autorisations doit être créé dans XML et stocké dans un fichier .xml. Si le fichier XML contient le nom du jeu d'autorisations, seul ce fichier (psfile) est spécifié. Si le fichier XML ne contient pas le nom du jeu d'autorisations, vous devez spécifier à la fois le nom du fichier XML (psfile) et le nom du jeu d'autorisations (pset_name). Notez que toutes les autorisations utilisées dans un jeu d'autorisations doivent être définies dans les assemblys contenus dans le Global Assembly Cache. |
-a[ll] | Indique que toutes les options qui suivent celle-ci s'appliquent aux stratégies de l'ordinateur, de l'utilisateur et de l'entreprise. L'option -all fait toujours référence à la stratégie de l'utilisateur actuellement en session. Pour faire référence à la stratégie d'un autre utilisateur que l'utilisateur en cours, utilisez l'option -customall. |
-chggroup {label |name} {mship | pset_name | flags} ou -cg {label |name} {mship | pset_name | flags} | Modifie la condition d'appartenance ou le jeu d'autorisations d'un groupe de codes ou change la configuration des indicateurs exclusive, levelfinal, name et description. Vous pouvez spécifier soit l'argument label soit l'argument name. L'argument label indique l'étiquette (telle que 1. ou 1.1.) du groupe de codes. L'argument name indique le nom du groupe de codes à modifier. Dans la mesure où label et name peuvent être utilisés indifféremment, Caspol.exe doit être capable de faire la distinction entre ces deux arguments. C'est pourquoi name ne peut pas commencer par un chiffre. Par ailleurs, name ne peut contenir que les lettres A à Z, les chiffres 0 à 9 et le caractère de soulignement. L'argument pset_name spécifie le nom du jeu d'autorisations à associer au groupe de codes. Consultez les tableaux fournis plus loin dans cette section pour obtenir des informations sur les arguments mship et flags. |
-chgpset psfile pset_name ou -cppsfile pset_name | Change le jeu d'autorisations nommé. L'argument psfile fournit la nouvelle définition du jeu d'autorisations ; il s'agit d'un fichier de jeu d'autorisations sérialisé au format XML. L'argument pset_name spécifie le nom du jeu d'autorisations que vous souhaitez remplacer. |
-customall path ou -ca path | Indique que toutes les options qui suivent celle-ci s'appliquent aux stratégies de l'ordinateur, de l'entreprise et de l'utilisateur personnalisé spécifié. Vous devez spécifier l'emplacement du fichier de configuration de sécurité associé à l'utilisateur personnalisé dans l'argument path. |
-cu[stomuser] path | Permet d'administrer une stratégie d'utilisateur personnalisée qui n'appartient pas à l'utilisateur pour lequel Caspol.exe s'exécute. Vous devez spécifier l'emplacement du fichier de configuration de sécurité associé à l'utilisateur personnalisé dans l'argument path. |
-enterprise ou -en | Indique que toutes les options qui suivent celle-ci s'appliquent à la stratégie de niveau entreprise. Les utilisateurs qui ne sont pas des administrateurs de l'entreprise ne bénéficient pas d'autorisations suffisantes pour modifier la stratégie de l'entreprise, même s'ils peuvent l'afficher. Dans les scénarios qui ne se situent pas au niveau de l'entreprise, cette stratégie n'a, par défaut, aucune incidence sur les stratégies de niveau ordinateur et utilisateur. |
-e[xecution] {on | off} | Active ou désactive le mécanisme qui vérifie l'autorisation à mettre en œuvre avant que le code ne commence à s'exécuter. |
-f[orce] | Supprime le test d'autodestruction de l'outil et modifie la stratégie selon les instructions de l'utilisateur. Normalement, Caspol.exe vérifie si les changements de stratégie sont susceptibles de nuire à son exécution correcte. Le cas échéant, Caspol.exe n'enregistre pas la modification et imprime un message d'erreur. Pour obliger Caspol.exe à modifier la stratégie même si cela l'empêche de s'exécuter, utilisez l'option –force. |
-h[elp] | Affiche la syntaxe de commande et les options de Caspol.exe. |
-l[ist] | Affiche la hiérarchie des groupes de codes et les jeux d'autorisations définis pour l'ordinateur, l'utilisateur ou l'entreprise spécifiés ou pour tous les niveaux de stratégie. Caspol.exe affiche d'abord l'étiquette du groupe de codes, puis son nom s'il n'est pas nul. |
-listdescription | Affiche les descriptions de tous les groupes de codes définis pour le niveau de stratégie spécifié. |
-listfulltrust ou -lf | Affiche le contenu de la liste des assemblys de confiance totale pour le niveau de stratégie spécifié. |
-listgroups ou -lg | Affiche les groupes de codes du niveau de stratégie spécifié ou de tous les niveaux de stratégie. Caspol.exe affiche d'abord l'étiquette du groupe de codes, puis son nom s'il n'est pas nul. |
-listpset ou -lp | Affiche les jeux d'autorisations associés au niveau de stratégie spécifié ou à tous les niveaux de stratégie. |
-m[achine] | Indique que toutes les options qui suivent celle-ci s'appliquent à la stratégie de niveau ordinateur. Les utilisateurs qui ne sont pas des administrateurs ne bénéficient pas d'autorisations suffisantes pour modifier la stratégie de l'ordinateur, même s'ils peuvent l'afficher. Pour les administrateurs, -machine est l'option par défaut. |
-polchgprompt {on | off} ou -pp {on | off} | Active ou désactive l'invite de commande qui s'affiche lorsque Caspol.exe est exécuté avec une option susceptible d'entraîner des changements de stratégie. |
-quiet ou -q | Désactive temporairement l'invite normalement affichée pour une option entraînant des changements de stratégie. Le paramètre de l'invite de modification globale ne change pas. Utilisez l'option pour une seule commande à la fois afin d'éviter de désactiver l'invite pour toutes les commandes Caspol.exe. |
-r[ecover] | Restaure une stratégie à partir d'un fichier de sauvegarde. Dès qu'une stratégie est modifiée, Caspol.exe stocke l'ancienne stratégie dans un fichier de sauvegarde. |
-remfulltrustassembly_file ou -rf assembly_file | Supprime un assembly de la liste des assemblys de confiance totale associée à un niveau de stratégie donné. Cette opération s'impose lorsqu'un jeu d'autorisations contenant une autorisation personnalisée n'est plus utilisé par la stratégie. Toutefois, vous ne devez supprimer un assembly qui implémente une autorisation personnalisée de la liste des assemblys de confiance totale que si cet assembly n'implémente aucune autre autorisation personnalisée en cours d'utilisation. Lorsque vous supprimez un assembly de la liste, vous devez également supprimer les assemblys dont il dépend. |
-remgroup {label |name} ou -rg {label | name} | Supprime le groupe de codes spécifié par son étiquette ou son nom. Si le groupe de codes spécifié comprend des groupes de codes enfants, Caspol.exe supprime également ces groupes enfants. |
-rempsetpset_name ou -rppset_name | Supprime de la stratégie le jeu d'autorisations spécifié. L'argument pset_name indique le jeu d'autorisations à supprimer. Caspol.exe ne supprime le jeu d'autorisations que s'il n'est pas associé à un groupe de codes. Il n'est pas possible de supprimer les jeux d'autorisations par défaut (intégrés) ; pour plus d'informations, consultez Jeux d'autorisations nommés. |
-reset ou -rs | Retourne l'état par défaut de la stratégie et l'enregistre sur le disque. Cette option est utile lorsqu'une stratégie modifiée semble irréparable et que vous souhaitez recommencer avec les paramètres d'installation par défaut. Il peut également être commode de procéder à une réinitialisation pour utiliser la stratégie par défaut comme point de départ et apporter ensuite des modifications à des fichiers de configuration de sécurité spécifiques. Pour plus d'informations, consultez Modification manuelle des fichiers de configuration de sécurité. |
-resetlockdown ou -rsld | Retourne la version plus restrictive de l'état par défaut de la stratégie et l'enregistre sur le disque ; crée une sauvegarde de la stratégie antérieure de l'ordinateur et l'enregistre sur un fichier security.config.bac. La stratégie verrouillée est similaire à la stratégie par défaut, mais elle n'accorde aucune autorisation pour coder à partir des zones Local Intranet, Trusted Sites et Internet et les groupes de codes correspondants n'ont pas de groupes de codes enfants. |
-resolvegroupassembly_file ou -rsg assembly_file | Affiche les groupes de codes auxquels appartient un assembly particulier (assembly_file). Par défaut, cette option affiche l'ordinateur, l'utilisateur et les niveaux de stratégie de sécurité auxquels appartient l'assembly. Pour visualiser un seul niveau de stratégie, utilisez cette option avec l'option -machine, -user ou -enterprise. |
-resolvepermassembly_file ou -rspassembly_file | Affiche toutes les autorisations que le niveau de stratégie de sécurité spécifié (ou par défaut) accorderait à l'assembly si ce dernier avait la possibilité de s'exécuter. L'argument assembly_file spécifie l'assembly. Si vous spécifiez l'option -all, Caspol.exe calcule les autorisations de l'assembly sur la base de la stratégie de l'utilisateur, de l'ordinateur et de l'entreprise ; sinon, les règles de comportement par défaut s'appliquent. |
-s[ecurity] {on | off} | Active ou désactive la sécurité d'accès du code. L'option -s off ne désactive pas la sécurité basée sur les rôles. Attention Lorsque la sécurité d'accès du code est désactivée, toutes les demandes d'accès du code réussissent. La désactivation de la sécurité expose le système aux attaques de code nuisible tel que les virus et les vers. La désactivation de la sécurité permet d'améliorer les performances, mais ne doit être utilisée que lorsque d'autres mesures de sécurité ont été prises pour permettre de s'assurer que la sécurité globale du système ne sera pas compromise. Ces autres mesures de sécurité consistent notamment à déconnecter les réseaux publics, à sécuriser physiquement les ordinateurs, etc. |
-u[ser] | Indique que toutes les options qui suivent celle-ci s'appliquent à la stratégie de niveau utilisateur associée à l'utilisateur pour le compte duquel Caspol.exe est exécuté. Pour les utilisateurs qui ne sont pas des administrateurs, -user est l'option par défaut. |
-? | Affiche la syntaxe de commande et les options de Caspol.exe. |