Caspol.exe (Richtlinientool für die Codezugriffssicherheit)Caspol.exe (Code Access Security Policy Tool)

Das Sicherheitsrichtlinientool für den Codezugriff (Caspol.exe) ermöglicht es Benutzern und Administratoren, die Sicherheitsrichtlinien für die Richtlinienebene des Computers, des Benutzers und des Unternehmens zu ändern.The Code Access Security (CAS) Policy tool (Caspol.exe) enables users and administrators to modify security policy for the machine policy level, the user policy level, and the enterprise policy level.

Wichtig

Ab .NET Framework 4 wirkt sich „Caspol.exe“ nur dann auf CAS-Richtlinien (Code Access Security, Codezugriffssicherheit) aus, wenn das <legacyCasPolicy-Element auf true festgelegt ist.Starting with the .NET Framework 4, Caspol.exe does not affect CAS policy unless the <legacyCasPolicy> element is set to true. Alle von CasPol.exe angezeigten oder geänderten Einstellungen gelten nur für Anwendungen, die die Verwendung der CAS-Richtlinie abonnieren.Any settings shown or modified by CasPol.exe will only affect applications that opt into using CAS policy. Weitere Informationen finden Sie unter Sicherheitsänderungen.For more information, see Security Changes.

Hinweis

64-Bit-Computer enthalten 64-Bit- und 32-Bit-Versionen der Sicherheitsrichtlinie.64-bit computers include both 64-bit and 32-bit versions of security policy. Um sicherzustellen, dass die Richtlinienänderungen sowohl für 32-Bit- als auch für 64-Bit-Anwendungen gelten, führen Sie die 32- und die 64-Bit-Version von Caspol.exe aus.To ensure that your policy changes apply to both 32-bit and 64-bit applications, run both the 32-bit and 64-bit versions of Caspol.exe.

Das Sicherheitsrichtlinientool für den Codezugriff wird automatisch mit Visual Studio und .NET Framework installiert.The Code Access Security Policy tool is automatically installed with the .NET Framework and with Visual Studio. Sie finden Caspol.exe auf 32-Bit-Systemen in %windir%\Microsoft.NET\Framework\Version bzw. in %windir%\Microsoft.NET\Framework64\Version auf 64-Bit-Systemen.You can find Caspol.exe in %windir%\Microsoft.NET\Framework\version on 32-bit systems or %windir%\Microsoft.NET\Framework64\version on 64-bit systems. (Zum Beispiel ist %windir%\Microsoft.NET\Framework64\v4.030319\caspol.exe der Speicherort für .NET Framework 4 auf einem 64-Bit-System.) Wenn auf Ihrem Computer mehrere .NET Framework-Versionen parallel ausgeführt werden, sind unter Umständen mehrere Versionen des Tools installiert.(For example, the location is %windir%\Microsoft.NET\Framework64\v4.030319\caspol.exe for the .NET Framework 4 on a 64-bit system.) Multiple versions of the tool might be installed if your computer is running multiple versions of the .NET Framework side by side. Sie können das Tool aus dem Installationsverzeichnis heraus ausführen.You can run the tool from the installation directory. Es empfiehlt sich jedoch, die Eingabeaufforderungen zu verwenden, da Sie dann nicht zum Installationsordner navigieren müssen.However, we recommend that you use the Command Prompts, which does not require you to navigate to the installation folder.

Geben Sie an der Eingabeaufforderung Folgendes ein:At the command prompt, type the following:

SyntaxSyntax

caspol [options]  

ParameterParameters

OptionOption BeschreibungDescription
-addfulltrust assembly_file-addfulltrust assembly_file

oderor

-af assembly_file-af assembly_file
Fügt eine Assembly, die ein benutzerdefiniertes Sicherheitsobjekt implementiert, z. B. eine benutzerdefinierte Berechtigung oder Mitgliedschaftsbedingung, zur Liste der vollständig vertrauenswürdigen Assemblys einer bestimmten Richtlinienebene hinzu.Adds an assembly that implements a custom security object (such as a custom permission or a custom membership condition) to the full trust assembly list for a specific policy level. Das Argument assembly_file gibt die hinzuzufügende Assembly an.The assembly_file argument specifies the assembly to add. Diese Datei muss mit einem starken Namen signiert werden.This file must be signed with a strong name. Sie können eine Assembly mit dem Strong Name-Tool (Sn.exe) mit einem starken Namen signieren.You can sign an assembly with a strong name using the Strong Name Tool (Sn.exe).

Wenn ein Berechtigungssatz, der eine benutzerdefinierte Berechtigung enthält, einer Richtlinie hinzugefügt wird, muss außerdem die Assembly, die diese Berechtigung implementiert, zur Liste der vollständig vertrauenswürdigen Assemblys dieser Richtlinienebene hinzugefügt werden.Whenever a permission set containing a custom permission is added to policy, the assembly implementing the custom permission must be added to the full trust list for that policy level. Assemblys, die benutzerdefinierte Sicherheitsobjekte implementieren, z. B. benutzerdefinierte Codegruppen oder Mitgliedschaftsbedingungen, die in Sicherheitsrichtlinien wie der Computerrichtlinie angewendet werden, sollten generell zur Liste der vollständig vertrauenswürdigen Assemblys hinzugefügt werden.Assemblies that implement custom security objects (such as custom code groups or membership conditions) used in a security policy (such as the machine policy) should always be added to the full trust assembly list. Vorsicht: Wenn die Assembly, die das benutzerdefinierte Sicherheitsobjekt implementiert, auf andere Assemblys verweist, müssen Sie zur Liste der vollständig vertrauenswürdigen Assemblys zunächst die Assemblys hinzufügen, auf die verwiesen wird.Caution: If the assembly implementing the custom security object references other assemblies, you must first add the referenced assemblies to the full trust assembly list. Benutzerdefinierte Sicherheitsobjekte, die mit Visual Basic, C++ und JScript erstellt wurden, verweisen entweder auf Microsoft.VisualBasic.dll, Microsoft.VisualC.dll oder Microsoft.JScript.dll.Custom security objects created using Visual Basic, C++, and JScript reference either Microsoft.VisualBasic.dll, Microsoft.VisualC.dll, or Microsoft.JScript.dll, respectively. In der Standardeinstellung befinden sich diese Assemblys nicht in der Liste der vollständig vertrauenswürdigen Assemblys.These assemblies are not in the full trust assembly list by default. Sie müssen die entsprechende Assembly zur Liste der vollständig vertrauenswürdigen Assemblys hinzufügen, bevor Sie ein benutzerdefiniertes Sicherheitsobjekt hinzufügen.You must add the appropriate assembly to the full trust list before you add a custom security object. Wenn Sie dies unterlassen, wird das Sicherheitssystem beschädigt, und sämtliche Assemblys können nicht mehr geladen werden.Failure to do so will break the security system, causing all assemblies to fail to load. In diesem Fall wird die Sicherheit nicht durch die Option -all -reset von Caspol.exe repariert.In this situation, the Caspol.exe -all -reset option will not repair security. Zum Wiederherstellen der Sicherheit müssen Sie die Sicherheitsdateien manuell bearbeiten und das benutzerdefinierte Sicherheitsobjekt entfernen.To repair security, you must manually edit the security files to remove the custom security object.
-addgroup {parent_label | parent_name} mship pset_name [flags]-addgroup {parent_label | parent_name} mship pset_name [flags]

oderor

-ag {parent_label | parent_name} mship pset_name [flags]-ag {parent_label | parent_name} mship pset_name [flags]
Fügt der Hierarchie der Codegruppen eine neue Codegruppe hinzu.Adds a new code group to the code group hierarchy. Es kann entweder parent_label oder parent_name angegeben werden.You can specify either the parent_label or parent_name. Das Argument parent_label gibt die Bezeichnung der Codegruppe an (z.B. 1 oder 1.1),The parent_label argument specifies the label (such as 1. die der hinzuzufügenden Codegruppe übergeordnet ist.or 1.1.) of the code group that is the parent of the code group being added. Das Argument parent_name gibt den Namen der Codegruppe an, die der hinzuzufügenden Codegruppe übergeordnet ist.The parent_name argument specifies the name of the code group that is the parent of the code group being added. Da sich parent_label und parent_name synonym verwenden lassen, müssen sie von Caspol.exe unterschieden werden können.Because parent_label and parent_name can be used interchangeably, Caspol.exe must be able to distinguish between them. Aus diesem Grund darf parent_name nicht mit einer Zahl beginnen.Therefore, parent_name cannot begin with a number. Außerdem kann parent_name nur die Zeichen A-Z, 0-9 und den Unterstrich enthalten.Additionally, parent_name can only contain A-Z, 0-9 and the underscore character.

Das Argument mship gibt die Mitgliedschaftsbedingung für die neue Codegruppe an.The mship argument specifies the membership condition for the new code group. Weitere Informationen zu mship-Argumenten finden Sie in der Tabelle weiter unten in diesem Abschnitt.For more information, see the table of mship arguments later in this section.

Das Argument pset_name stellt den Namen des Berechtigungssatzes dar, der der neuen Codegruppe zugeordnet wird.The pset_name argument is the name of the permission set that will be associated with the new code group. Darüber hinaus können ein oder mehrere Flags für die neue Gruppe festgelegt werden.You can also set one or more flags for the new group. Weitere Informationen zu flags-Argumenten finden Sie in der Tabelle weiter unten in diesem Abschnitt.For more information, see the table of flags arguments later in this section.
-addpset {psfile | psfile pset_name}-addpset {psfile | psfile pset_name}

oderor

-ap {namedpsfile | psfile pset_name}-ap {namedpsfile | psfile pset_name}
Fügt einer Richtlinie einen neuen benannten Berechtigungssatz hinzu.Adds a new named permission set to policy. Der Berechtigungssatz muss in XML verfasst und als XML-Datei gespeichert sein.The permission set must be authored in XML and stored in an .xml file. Wenn die XML-Datei den Namen des Berechtigungssatzes enthält, wird nur diese Datei (psfile) angegeben.If the XML file contains the name of the permission set, only that file (psfile) is specified. Enthält die XML-Datei den Namen des Berechtigungssatzes nicht, müssen sowohl der Name der XML-Datei (psfile) als auch der Name des Berechtigungssatzes (pset_name) angegeben werden.If the XML file does not contain the permission set name, you must specify both the XML file name (psfile) and the permission set name (pset_name).

Beachten Sie, dass alle in einem Berechtigungssatz verwendeten Berechtigungen in Assemblys definiert sein müssen, die im globalen Assemblycache enthalten sind.Note that all permissions used in a permission set must be defined in assemblies contained in the global assembly cache.
-a[ll]-a[ll] Gibt an, dass alle folgenden Optionen für die Computer-, Benutzer- und Unternehmensrichtlinie gelten.Indicates that all options following this one apply to the machine, user, and enterprise policies. Die Option -all bezieht sich immer auf die Richtlinie des aktuell angemeldeten Benutzers.The -all option always refers to the policy of the currently logged-on user. Verwenden Sie die Option -customall, um auf die Benutzerrichtlinie eines anderen Benutzers zu verweisen.See the -customall option to refer to the user policy of a user other than the current user.
-chggroup {label |name} {mship | pset_name |-chggroup {label |name} {mship | pset_name |

flags }flags }

oderor

-cg {label |name} {mship | pset_name |-cg {label |name} {mship | pset_name |

flags }flags }
Ändert bei einer Codegruppe die Mitgliedschaftsbedingung, den Berechtigungssatz oder die Festlegung für das exclusive-Flag, das levelfinal-Flag, das name-Flag oder das description-Flag.Changes a code group's membership condition, permission set, or the settings of the exclusive, levelfinal, name, or description flags. Sie können entweder label oder name festlegen.You can specify either the label or name. Das Argument label gibt die Bezeichnung der Codegruppe an (z.B. 1The label argument specifies the label (such as 1. oder 1.1).or 1.1.) of the code group. Durch das Argument name wird der Name der zu ändernden Codegruppe festgelegt.The name argument specifies the name of the code group to change. Da sich label und name synonym verwenden lassen, müssen sie von Caspol.exe unterschieden werden können.Because label and name can be used interchangeably, Caspol.exe must be able to distinguish between them. Aus diesem Grund darf name nicht mit einer Zahl beginnen.Therefore, name cannot begin with a number. Außerdem kann name nur die Zeichen A-Z, 0-9 und den Unterstrich enthalten.Additionally, name can only contain A-Z, 0-9 and the underscore character.

Mit dem Argument pset_name wird der Name des der neuen Codegruppe zuzuordnenden Berechtigungssatzes angegeben.The pset_name argument specifies the name of the permission set to associate with the code group. Informationen zu mship-Argumenten und flags-Argumenten finden Sie in den Tabellen weiter unten in diesem Abschnitt.See the tables later in this section for information on the mship and flags arguments.
-chgpset psfile pset_name-chgpset psfile pset_name

oderor

-cp psfile pset_name-cp psfile pset_name
Ändert einen benannten Berechtigungssatz.Changes a named permission set. Das Argument psfile liefert die neue Definition des Berechtigungssatzes. Dabei handelt es sich um eine serialisierte Berechtigungssatzdatei im XML-Format.The psfile argument supplies the new definition for the permission set; it is a serialized permission set file in XML format. Das Argument pset_name stellt den Namen des zu ändernden Berechtigungssatzes dar.The pset_name argument specifies the name of the permission set you want to change.
-customall path-customall path

oderor

-ca path-ca path
Gibt an, dass alle folgenden Optionen für die Computer- und Organisationsrichtlinie sowie die benutzerdefinierte Benutzerrichtlinie gelten.Indicates that all options following this one apply to the machine, enterprise, and the specified custom user policies. Der Speicherort für die benutzerdefinierte Sicherheitskonfigurationsdatei des Benutzers muss mit dem path-Argument angegeben werden.You must specify the location of the custom user's security configuration file with the path argument.
-cu[stomuser] path-cu[stomuser] path Ermöglicht die Verwaltung einer benutzerdefinierten Benutzerrichtlinie, die nicht für den Benutzer gilt, für den Caspol.exe gerade ausgeführt wird.Allows the administration of a custom user policy that does not belong to the user on whose behalf Caspol.exe is currently running. Der Speicherort für die benutzerdefinierte Sicherheitskonfigurationsdatei des Benutzers muss mit dem path-Argument angegeben werden.You must specify the location of the custom user's security configuration file with the path argument.
-enterprise-enterprise

oderor

-en-en
Gibt an, dass alle folgenden Optionen für die Richtlinie auf Organisationsebene gelten.Indicates that all options following this one apply to the enterprise level policy. Benutzer, die keine Administratoren der Organisation sind, verfügen nicht über ausreichende Rechte zum Ändern der Unternehmensrichtlinie. Sie können sich diese allerdings anzeigen lassen.Users who are not enterprise administrators do not have sufficient rights to modify the enterprise policy, although they can view it. In Szenarien, die sich nicht auf die Organisation beziehen, werden die Computer- und die Benutzerrichtlinie von dieser Richtlinie standardmäßig nicht beeinflusst.In nonenterprise scenarios, this policy, by default, does not interfere with machine and user policy.
-e[xecution] {on | off}-e[xecution] {on | off} Aktiviert oder deaktiviert den Mechanismus, der die Berechtigung zum Ausführen vor dem Beginn der Codeausführung überprüft.Turns on or off the mechanism that checks for the permission to run before code starts to execute. Hinweis: Dieser Schalter wurde in .NET Framework 4 und höheren Versionen entfernt.Note: This switch is removed in the .NET Framework 4 and later versions. Weitere Informationen finden Sie unter Sicherheitsänderungen.For more information, see Security Changes.
-f[orce]-f[orce] Unterdrückt den Test auf Selbstzerstörung des Tools und ändert die Richtlinie entsprechend den Benutzerangaben.Suppresses the tool's self-destruct test and changes the policy as specified by the user. In der Regel überprüft Caspol.exe, ob eine Richtlinienänderung die Ausführungsfähigkeit von Caspol.exe selbst beeinträchtigt. Trifft dies zu, speichert Caspol.exe die Richtlinienänderung nicht und gibt eine Fehlermeldung aus.Normally, Caspol.exe checks whether any policy changes would prevent Caspol.exe itself from running properly; if so, Caspol.exe does not save the policy change and prints an error message. Um zu erzwingen, dass die Richtlinie von Caspol.exe geändert wird, auch wenn dadurch die Ausführung von Caspol.exe nicht mehr möglich ist, wird die Option -force verwendet.To force Caspol.exe to change policy even if this prevents Caspol.exe itself from running, use the –force option.
-h[elp]-h[elp] Zeigt die Befehlssyntax und Optionen für Caspol.exe an.Displays command syntax and options for Caspol.exe.
-l[ist]-l[ist] Listet die Hierarchie der Codegruppen sowie die Berechtigungssätze für den angegebenen Computer, Benutzer oder die Organisation bzw. für alle Richtlinienebenen auf.Lists the code group hierarchy and the permission sets for the specified machine, user, enterprise, or all policy levels. Caspol.exe zeigt zuerst die Bezeichnung der Codegruppe an und dann deren Namen, sofern vorhanden.Caspol.exe displays the code group's label first, followed by the name, if it is not null.
-listdescription-listdescription

oderor

-ld-ld
Listet alle Codegruppenbeschreibungen für die angegebene Richtlinienebene auf.Lists all code group descriptions for the specified policy level.
-listfulltrust-listfulltrust

oderor

-lf-lf
Zeigt den Inhalt der Liste der vollständig vertrauenswürdigen Assemblys für die angegebene Richtlinienebene an.Lists the contents of the full trust assembly list for the specified policy level.
-listgroups-listgroups

oderor

-lg-lg
Zeigt die Codegruppen der angegebenen bzw. aller Richtlinienebenen an.Displays the code groups of the specified policy level or all policy levels. Caspol.exe zeigt zuerst die Bezeichnung der Codegruppe an und dann deren Namen, sofern vorhanden.Caspol.exe displays the code group's label first, followed by the name, if it is not null.
-listpset oder -lp-listpset or -lp Zeigt die Berechtigungssätze für die angegebene bzw. alle Richtlinienebenen an.Displays the permission sets for the specified policy level or all policy levels.
-m[achine]-m[achine] Gibt an, dass alle folgenden Optionen für die Richtlinie auf Computerebene gelten.Indicates that all options following this one apply to the machine level policy. Benutzer, die keine Administratoren sind, verfügen nicht über ausreichende Rechte zum Ändern der Computerrichtlinie. Sie können sich diese allerdings anzeigen lassen.Users who are not administrators do not have sufficient rights to modify the machine policy, although they can view it. Für Administratoren ist -machine die Standardeinstellung.For administrators, -machine is the default.
-polchgprompt {on | off}-polchgprompt {on | off}

oderor

-pp {on | off}-pp {on | off}
Aktiviert oder deaktiviert die Eingabeaufforderung, die immer dann angezeigt wird, wenn Caspol.exe ausgeführt wird und die verwendete Option Richtlinienänderungen bewirkt.Enables or disables the prompt that is displayed whenever Caspol.exe is run using an option that would cause policy changes.
-quiet-quiet

oderor

-q-q
Deaktiviert vorübergehend die Eingabeaufforderung, die normalerweise für eine Option angezeigt wird, die Richtlinienänderungen bewirkt.Temporarily disables the prompt that is normally displayed for an option that causes policy changes. Die Einstellung für die Eingabeaufforderung für globale Änderungen wird nicht verändert.The global change prompt setting does not change. Verwenden Sie die Option nur für einen einzelnen Befehl, um zu verhindern, dass die Eingabeaufforderung für alle Caspol.exe-Befehle deaktiviert wird.Use the option only on a single command basis to avoid disabling the prompt for all Caspol.exe commands.
-r[ecover]-r[ecover] Stellt Richtlinien aus einer Sicherungsdatei wieder her.Recovers policy from a backup file. Bei jeder Änderung einer Richtlinie speichert Caspol.exe die alte Version in einer Sicherungsdatei.Whenever a policy change is made, Caspol.exe stores the old policy in a backup file.
-remfulltrust assembly_file-remfulltrust assembly_file

oderor

-rf assembly_file-rf assembly_file
Entfernt eine Assembly aus der Liste der vollständig vertrauenswürdigen Assemblys einer Richtlinienebene.Removes an assembly from the full trust list of a policy level. Diese Operation sollte ausgeführt werden, wenn ein Berechtigungssatz, der eine benutzerdefinierte Berechtigung enthält, von einer Richtlinie nicht mehr verwendet wird.This operation should be performed if a permission set that contains a custom permission is no longer used by policy. Sie sollten eine Assembly, die eine benutzerdefinierte Berechtigung implementiert, jedoch nur dann aus der Liste der vollständig vertrauenswürdigen Assemblys entfernen, wenn die Assembly keine weiteren verwendeten benutzerdefinierten Berechtigungen implementiert.However, you should remove an assembly that implements a custom permission from the full trust list only if the assembly does not implement any other custom permissions that are still being used. Wenn eine Assembly aus der Liste entfernt wird, sollten darüber hinaus alle Assemblys entfernt werden, die von dieser abhängen.When you remove an assembly from the list, you should also remove any other assemblies that it depends on.
-remgroup {label |name}-remgroup {label |name}

oderor

-rg {label | name}-rg {label | name}
Entfernt die mit ihrer Bezeichnung bzw. dem Namen angegebene Codegruppe.Removes the code group specified by either its label or name. Wenn die angegebene Codegruppe untergeordnete Codegruppen aufweist, werden diese von Caspol.exe entfernt.If the specified code group has child code groups, Caspol.exe also removes all the child code groups.
-rempset pset_name-rempset pset_name

oderor

-rp pset_name-rp pset_name
Entfernt den angegebenen Berechtigungssatz aus der Richtlinie.Removes the specified permission set from policy. Das Argument pset_name gibt den zu entfernenden Berechtigungssatz an.The pset_name argument indicates which permission set to remove. Caspol.exe entfernt den Berechtigungssatz nur dann, wenn er keiner Codegruppe zugeordnet ist.Caspol.exe removes the permission set only if it is not associated with any code group. Die (integrierten) Standardberechtigungssätze können nicht entfernt werden.The default (built-in) permission sets cannot be removed.
-reset-reset

oderor

-rs-rs
Setzt Richtlinien auf ihren Standardzustand zurück und speichert sie auf dem Datenträger.Returns policy to its default state and persists it to disk. Dies empfiehlt sich, wenn eine geänderte Richtlinie irreparabel beschädigt ist und Sie erneut mit den installierten Standardeinstellungen beginnen möchten.This is useful whenever a changed policy seems to be beyond repair and you want to start over with the installation defaults. Das Zurücksetzen bietet sich auch dann an, wenn die Standardrichtlinie als Ausgangspunkt für Änderungen an bestimmten Sicherheitskonfigurationsdateien verwendet werden soll.Resetting can also be convenient when you want to use the default policy as a starting point for modifications to specific security configuration files. Weitere Informationen finden Sie unter Manuelles Bearbeiten der Sicherheitskonfigurationsdateien.For more information, see Manually Editing the Security Configuration Files.
-resetlockdown-resetlockdown

oderor

-rsld-rsld
Setzt Richtlinien auf eine restriktivere Version des Standardzustands zurück und speichert sie auf dem Datenträger. Erstellt eine Sicherungskopie der vorherigen Computerrichtlinie und speichert sie in der Datei security.config.bac.Returns policy to a more restrictive version of the default state and persists it to disk; creates a backup of the previous machine policy and persists it to a file called security.config.bac. Die überschriebene Richtlinie entspricht bis auf eine Ausnahme der Standardrichtlinie: Code der Zonen Local Intranet, Trusted Sites und Internet wird keine Berechtigungen gewährt, und die entsprechenden Codegruppen weisen keine untergeordneten Codegruppen auf.The locked down policy is similar to the default policy, except that the policy grants no permission to code from the Local Intranet, Trusted Sites, and Internet zones and the corresponding code groups have no child code groups.
-resolvegroup assembly_file-resolvegroup assembly_file

oderor

-rsg assembly_file-rsg assembly_file
Zeigt die Codegruppen an, zu denen eine bestimmte Assembly (assembly_file) gehört.Shows the code groups that a specific assembly (assembly_file) belongs to. Diese Option zeigt standardmäßig die Computer-, Benutzer- und Organisationsrichtlinienebenen an, denen die Assembly angehört.By default, this option displays the machine, user, and enterprise policy levels to which the assembly belongs. Um nur eine Richtlinienebene anzuzeigen, verwenden Sie diese Option mit einer der Optionen -machine, -user oder -enterprise.To view only one policy level, use this option with either the -machine, -user, or -enterprise option.
-resolveperm assembly_file-resolveperm assembly_file

oderor

-rsp assembly_file-rsp assembly_file
Zeigt alle Berechtigungen an, die der Assembly auf der angegebenen bzw. der Standardebene der Sicherheitsrichtlinie erteilt werden, wenn die Assembly ausgeführt werden darf.Displays all permissions that the specified (or default) level of security policy would grant the assembly if the assembly were allowed to run. Das Argument assembly_file gibt die Assembly an.The assembly_file argument specifies the assembly. Wenn die Option -all angegeben wird, berechnet Caspol.exe die Berechtigungen für die Assembly anhand der Benutzer-, Computer- und Unternehmensrichtlinie, andernfalls gelten die Standardverhaltensregeln.If you specify the -all option, Caspol.exe calculates the permissions for the assembly based on user, machine, and enterprise policy; otherwise, default behavior rules apply.
-s[ecurity] {on | off}-s[ecurity] {on | off} Aktiviert oder deaktiviert die Codezugriffssicherheit.Turns code access security on or off. Durch Festlegen der Option -s off wird die rollenbasierte Sicherheit nicht deaktiviert.Specifying the -s off option does not disable role-based security. Hinweis: Dieser Schalter wurde in .NET Framework 4 und höheren Versionen entfernt.Note: This switch is removed in the .NET Framework 4 and later versions. Weitere Informationen finden Sie unter Sicherheitsänderungen.For more information, see Security Changes. Vorsicht: Wenn die Codezugriffssicherheit deaktiviert ist, werden alle Codezugriffsforderungen erfolgreich ausgeführt.Caution: When code access security is disabled, all code access demands succeed. Das Deaktivieren der Codezugriffssicherheit macht das System anfällig gegenüber Angriffen von böswilligem Code wie Viren und Würmern.Disabling code access security makes the system vulnerable to attacks by malicious code such as viruses and worms. Das Deaktivieren der Sicherheit führt zu einem gewissen Leistungsanstieg, sollte jedoch nur vorgenommen werden, wenn andere Sicherheitsmaßnahmen ergriffen wurden, um eine Verletzung der allgemeinen Systemsicherheit auszuschließen.Turning off security gains some extra performance but should only be done when other security measures have been taken to help make sure overall system security is not breached. Beispiele für solche Sicherheitsmaßnahmen sind u. a. das Trennen von Verbindungen mit öffentlichen Netzwerken und die physikalische Sicherung von Computern.Examples of other security precautions include disconnecting from public networks, physically securing computers, and so on.
-u[ser]-u[ser] Gibt an, dass alle folgenden Optionen für die Benutzerebenenrichtlinie des Benutzers gelten, für den Caspol.exe ausgeführt wird.Indicates that all options following this one apply to the user level policy for the user on whose behalf Caspol.exe is running. Für Benutzer, die keine Administratoren sind, ist -user die Standardeinstellung.For nonadministrative users, -user is the default.
-?-? Zeigt die Befehlssyntax und Optionen für Caspol.exe an.Displays command syntax and options for Caspol.exe.

Das Argument mship, das die Mitgliedschaftsbedingung für eine Codegruppe angibt, kann mit der Option -addgroup und der Option -chggroup verwendet werden.The mship argument, which specifies the membership condition for a code group, can be used with the -addgroup and -chggroup options. Jedes mship-Argument wird als .NET Framework-Klasse implementiert.Each mship argument is implemented as a .NET Framework class. mship wird mit einem der folgenden Argumente angegeben:To specify mship, use one of the following.

ArgumentArgument BeschreibungDescription
-allcode-allcode Gibt den gesamten Code an.Specifies all code. Weitere Informationen zu dieser Mitgliedschaftsbedingung finden Sie unter System.Security.Policy.AllMembershipCondition.For more information about this membership condition, see System.Security.Policy.AllMembershipCondition.
-appdir-appdir Gibt das Anwendungsverzeichnis an.Specifies the application directory. Wenn Sie -appdir als Mitgliedschaftsbedingung angeben, wird der URL-Beweis des Codes mit dem Anwendungsverzeichnisbeweis dieses Codes verglichen.If you specify –appdir as the membership condition, the URL evidence of code is compared with the application directory evidence of that code. Wenn die Beweiswerte identisch sind, ist die Mitgliedschaftsbedingung erfüllt.If both evidence values are the same, this membership condition is satisfied. Weitere Informationen zu dieser Mitgliedschaftsbedingung finden Sie unter System.Security.Policy.ApplicationDirectoryMembershipCondition.For more information about this membership condition, see System.Security.Policy.ApplicationDirectoryMembershipCondition.
-custom xmlfile-custom xmlfile Fügt eine benutzerdefinierte Mitgliedschaftsbedingung hinzu.Adds a custom membership condition. Das obligatorische xmlfile-Argument gibt die XML-Datei an, die die XML-Serialisierung der benutzerdefinierten Mitgliedschaftsbedingung enthält.The mandatory xmlfile argument specifies the .xml file that contains XML serialization of the custom membership condition.
-hash hashAlg { -hex hashValue | -file assembly_file }-hash hashAlg {-hex hashValue | -file assembly_file } Gibt Code an, der über den angegebenen Assemblyhash verfügt.Specifies code that has the given assembly hash. Um einen Hash als Codegruppen-Mitgliedschaftsbedingung verwenden zu können, muss entweder der Hashwert oder die Assemblydatei angegeben werden.To use a hash as a code group membership condition, you must specify either the hash value or the assembly file. Weitere Informationen zu dieser Mitgliedschaftsbedingung finden Sie unter System.Security.Policy.HashMembershipCondition.For more information about this membership condition, see System.Security.Policy.HashMembershipCondition.
-pub { -cert cert_file_name |-pub { -cert cert_file_name |

-file signed_file_name | -hex hex_string }-file signed_file_name | -hex hex_string }
Gibt Code an, der über den angegebenen Softwareherausgeber verfügt. Dieser wird anhand einer Zertifikatsdatei, der Signatur einer Datei oder der hexadezimalen Darstellung eines X509-Zertifikats bestimmt.Specifies code that has the given software publisher, as denoted by a certificate file, a signature on a file, or the hexadecimal representation of an X509 certificate. Weitere Informationen zu dieser Mitgliedschaftsbedingung finden Sie unter System.Security.Policy.PublisherMembershipCondition.For more information about this membership condition, see System.Security.Policy.PublisherMembershipCondition.
-site website-site website Gibt Code an, der über die entsprechende Ursprungssite verfügt.Specifies code that has the given site of origin. Beispiel:For example:

-site** www.proseware.com

Weitere Informationen zu dieser Mitgliedschaftsbedingung finden Sie unter System.Security.Policy.SiteMembershipCondition.For more information about this membership condition, see System.Security.Policy.SiteMembershipCondition.
-strong -file file_name {name | -noname} {version | -noversion}-strong -file file_name {name | -noname} {version | -noversion} Gibt Code mit einem spezifischen starken Namen an, wie er vom Dateinamen, dem Assemblynamen als Zeichenfolge und der Assemblyversion im Format major.minor.build.revision bestimmt wird.Specifies code that has a specific strong name, as designated by the file name, the assembly name as a string, and the assembly version in the format major.minor.build.revision. Beispiel:For example:

-strong -file myAssembly.exe myAssembly 1.2.3.4-strong -file myAssembly.exe myAssembly 1.2.3.4

Weitere Informationen zu dieser Mitgliedschaftsbedingung finden Sie unter System.Security.Policy.StrongNameMembershipCondition.For more information about this membership condition, see System.Security.Policy.StrongNameMembershipCondition.
-url URL-url URL Gibt Code an, der von der angegebenen URL stammt.Specifies code that originates from the given URL. Die URL muss ein Protokoll wie http:// oderftp:// enthalten.The URL must include a protocol, such as http:// or ftp://. Außerdem kann ein Platzhalterzeichen (*) verwendet werden, um mehrere Assemblys von einer bestimmten URL anzugeben.Additionally, a wildcard character (*) can be used to specify multiple assemblies from a particular URL. Hinweis: Da eine URL anhand mehrerer Namen gekennzeichnet werden kann, kann durch Verwenden einer URL als Mitgliedschaftsbedingung die Identität von Code nicht sicher festgestellt werden.Note: Because a URL can be identified using multiple names, using a URL as a membership condition is not a safe way to ascertain the identity of code. Verwenden Sie nach Möglichkeit Mitgliedschaftsbedingungen mit einem starken Namen, Herausgebermitgliedschaftsbedingungen oder Hashmitgliedschaftsbedingungen.Where possible, use a strong name membership condition, a publisher membership condition, or the hash membership condition.

Weitere Informationen zu dieser Mitgliedschaftsbedingung finden Sie unter System.Security.Policy.UrlMembershipCondition.For more information about this membership condition, see System.Security.Policy.UrlMembershipCondition.
-zone zonename-zone zonename Gibt Code mit der angegebenen Ursprungszone an.Specifies code with the given zone of origin. Das Argument zonename kann einen der folgenden Werte aufweisen: MyComputer, Intranet, Trusted, Internet oder Untrusted.The zonename argument can be one of the following values: MyComputer, Intranet, Trusted, Internet, or Untrusted. Weitere Informationen zu dieser Mitgliedschaftsbedingung finden Sie unter ZoneMembershipCondition-Klasse.For more information about this membership condition, see the ZoneMembershipCondition Class.

Das Argument flags, das mit der Option -addgroup und der Option -chggroup verwendet werden kann, wird wie folgt angegeben:The flags argument, which can be used with the –addgroup and –chggroup options, is specified using one of the following.

ArgumentArgument BeschreibungDescription
-descriptionBeschreibung-description "description" Gibt bei Verwendung mit der Option -addgroup die Beschreibung für eine hinzuzufügende Codegruppe an.If used with the –addgroup option, specifies the description for a code group to add. Gibt bei Verwendung mit der Option -chggroup die Beschreibung für eine zu bearbeitende Codegruppe an.If used with the –chggroup option, specifies the description for a code group to edit. Das Argument description muss in doppelte Anführungszeichen eingeschlossen sein.The description argument must be enclosed in double quotes.
-exclusive {on|off}-exclusive {on|off} on gibt an, dass lediglich der Berechtigungssatz berücksichtigt wird, der der hinzuzufügenden bzw. zu ändernden Codegruppe zugeordnet ist, wenn ein Code die Mitgliedschaftsbedingung der Codegruppe erfüllt.When set to on, indicates that only the permission set associated with the code group you are adding or modifying is considered when some code fits the membership condition of the code group. Wenn für diese Option off festgelegt ist, berücksichtigt Caspol.exe die Berechtigungssätze aller auf der Richtlinienebene übereinstimmenden Codegruppen.When this option is set to off, Caspol.exe considers the permission sets of all matching code groups in the policy level.
-levelfinal {on|off}-levelfinal {on|off} on gibt an, dass keine Richtlinienebene unterhalb der Ebene der hinzugefügten bzw. geänderten Codegruppe berücksichtigt wird.When set to on, indicates that no policy level below the level in which the added or modified code group occurs is considered. In der Regel wird diese Option auf Ebene der Computerrichtlinie verwendet.This option is typically used at the machine policy level. Wenn dieses Flag z. B. auf Computerebene für eine Codegruppe festgelegt wird und ein Code die Mitgliedschaftsbedingung dieser Codegruppe erfüllt, wird die Benutzerebenenrichtlinie für diesen Code von Caspol.exe nicht berechnet oder auf diesen angewendet.For example, if you set this flag for a code group at the machine level and some code matches this code group's membership condition, Caspol.exe does not calculate or apply the user level policy for this code.
-nameName-name "name" Gibt bei Verwendung mit der Option -addgroup den Skriptnamen für eine hinzuzufügende Codegruppe an.If used with the –addgroup option, specifies the scripting name for a code group to add. Gibt bei Verwendung mit der Option -chggroup den Skriptnamen für eine zu bearbeitende Codegruppe an.If used with the -chggroup option, specifies the scripting name for a code group to edit. Das name-Argument muss in doppelten Anführungszeichen stehen.The name argument must be enclosed in double quotes. Das Argument name darf nicht mit einer Zahl beginnen und kann nur die Zeichen A-Z, 0-9 und den Unterstrich enthalten.The name argument cannot begin with a number, and can only contain A-Z, 0-9, and the underscore character. Bei einem Verweis auf Codegruppen kann dieser Name anstelle ihrer numerischen Bezeichnung verwendet werden.Code groups can be referred to by this name instead of by their numeric label. name empfiehlt sich besonders für Scripting-Zwecke.The name is also highly useful for scripting purposes.

AnmerkungenRemarks

Die Sicherheitsrichtlinie teilt sich in drei Richtlinienebenen auf: Computerrichtlinie, Benutzerrichtlinie und Organisationsrichtlinie.Security policy is expressed using three policy levels: machine policy, user policy, and enterprise policy. Der Satz von Berechtigungen, den eine Assembly erhält, wird von der Schnittmenge der auf diesen drei Richtlinienebenen zulässigen Berechtigungssätze bestimmt.The set of permissions that an assembly receives is determined by the intersection of the permission sets allowed by these three policy levels. Jede Richtlinienebene wird durch eine hierarchische Codegruppenstruktur dargestellt.Each policy level is represented by a hierarchical structure of code groups. Jede Codegruppe verfügt über eine Mitgliedschaftsbedingung, die bestimmt, welcher Code ein Element dieser Gruppe darstellt.Every code group has a membership condition that determines which code is a member of that group. Außerdem wird jeder Codegruppe ein benannter Berechtigungssatz zugeordnet.A named permission set is also associated with each code group. Dieser Berechtigungssatz gibt die Berechtigungen an, die dem Code, der die Mitgliedschaftsbedingung erfüllt, von der Laufzeit erteilt werden.This permission set specifies the permissions the runtime allows code that satisfies the membership condition to have. Jede Ebene der Sicherheitsrichtlinie wird von einer Hierarchie der Codegruppen und dem zugehörigen benannten Berechtigungssatz definiert und verwaltet.A code group hierarchy, along with its associated named permission sets, defines and maintains each level of security policy. Die Ebene der Sicherheitsrichtlinie wird mit den Optionen -user, -customuser, -machine und -enterprise festgelegt.You can use the –user, -customuser, –machine and -enterprise options to set the level of security policy.

Weitere Informationen zu Sicherheitsrichtlinien und die Bestimmung der Berechtigungszuteilung an Codes durch die Laufzeit finden Sie unter Sicherheitsrichtlinienverwaltung.For more information about security policy and how the runtime determines which permissions to grant to code, see Security Policy Management.

Verweise auf Codegruppen und BerechtigungssätzeReferencing Code Groups and Permission Sets

Für das vereinfachte Erstellen von Verweisen auf Codegruppen in einer Hierarchie wird mit der Option -list eine Liste mit Einzügen angezeigt. In dieser sind die Codegruppen und deren numerische Bezeichnungen (1, 1.1, 1.1.1 usw.) aufgeführt.To facilitate references to code groups in a hierarchy, the -list option displays an indented list of code groups along with their numerical labels (1, 1.1, 1.1.1, and so on). Die anderen Befehlszeilenoperationen bzgl. Codegruppen verwenden für Verweise auf bestimmte Codegruppen ebenfalls die numerischen Bezeichnungen.The other command-line operations that target code groups also use the numerical labels to refer to specific code groups.

Bei Verweisen auf benannte Berechtigungssätze wird der entsprechende Name verwendet.Named permission sets are referenced by their names. Die Option -list zeigt eine Liste der Codegruppen an, der eine Liste der in dieser Richtlinie verfügbaren, benannten Berechtigungssätze folgt.The –list option displays the list of code groups followed by a list of named permission sets available in that policy.

Verhalten von Caspol.exeCaspol.exe Behavior

Alle Optionen außer -s[ecurity] {on | off} verwenden die Version von .NET Framework, mit der Caspol.exe installiert wurde.All options except -s[ecurity] {on | off} use the version of the .NET Framework that Caspol.exe was installed with. Wenn eine Version von Caspol.exe ausgeführt wird, die mit der Laufzeitversion X installiert wurde, gelten die Änderungen nur für diese Version.If you run the Caspol.exe that was installed with version X of the runtime, the changes apply only to that version. Andere eventuell vorhandene Parallelinstallationen der Laufzeit sind davon nicht betroffen.Other side-by-side installations of the runtime, if any, are not affected. Wenn Sie Caspol.exe über die Befehlszeile ausführen und sich nicht in einem Verzeichnis für eine bestimmte Laufzeitversion befinden, erfolgt die Ausführung des Tools vom ersten Laufzeitversionsverzeichnis im Pfad aus. Dieses ist i. d. R. das Verzeichnis der zuletzt installierten Laufzeitversion.If you run Caspol.exe from the command line without being in a directory for a specific runtime version, the tool is executed from the first runtime version directory in the path (usually the most recent runtime version installed).

Die Option -s[ecurity] {on | off} ist eine computerweite Operation.The -s[ecurity] {on | off} option is a computer-wide operation. Durch das Deaktivieren der Codezugriffssicherheit werden die Sicherheitsüberprüfungen für sämtlichen verwalteten Code und alle Benutzer des Computers beendet.Turning off code access security terminates security checks for all managed code and for all users on the computer. Wenn mehrere Versionen von .NET Framework parallel installiert sind, deaktivieren Sie mit diesem Befehl die Sicherheit für alle auf dem Computer installierten Versionen der Laufzeit.If side-by-side versions of the .NET Framework are installed, this command turns off security for every version installed on the computer. Obgleich die Option -list anzeigt, dass die Sicherheit deaktiviert ist, haben die anderen Benutzer keine klaren Anzeichen dafür, dass die Sicherheit deaktiviert wurde.Although the -list option shows that security is turned off, nothing else clearly indicates for other users that security has been turned off.

Führen Benutzer ohne Administratorrechte Caspol.exe aus, beziehen sich alle Optionen auf die Richtlinie der Benutzerebene, es sei denn, die Option -machine wurde angegeben.When a user without administrative rights runs Caspol.exe, all options refer to the user level policy unless the –machine option is specified. Führt ein Administrator Caspol.exe aus, beziehen sich alle Optionen auf die Computerrichtlinie, es sei denn, die Option -user wurde angegeben.When an administrator runs Caspol.exe, all options refer to the machine policy unless the –user option is specified.

Damit Caspol.exe ausgeführt werden kann, müssen Berechtigungen erteilt sein, die dem Berechtigungssatz Alles entsprechen.Caspol.exe must be granted the equivalent of the Everything permission set to function. Das Tool verfügt über einen Schutzmechanismus. Dieser verhindert, dass Richtlinien dahingehend geändert werden, dass Caspol.exe nicht mehr die für seine Ausführung erforderlichen Berechtigungen erhält.The tool has a protective mechanism that prevents policy from being modified in ways that would prevent Caspol.exe from being granted the permissions it needs to run. Beim Versuch einer solchen Änderung informiert Caspol.exe Sie darüber, dass die beabsichtigte Richtlinienänderung das Tool außer Funktion setzen würde, und die Richtlinienänderung wird verweigert.If you try to make such changes, Caspol.exe notifies you that the requested policy change will break the tool, and the policy change is rejected. Dieser Schutzmechanismus kann für einen bestimmten Befehl mithilfe der Option -force deaktiviert werden.You can turn this protective mechanism off for a given command by using the –force option.

Manuelles Bearbeiten der SicherheitskonfigurationsdateienManually Editing the Security Configuration Files

Zu den drei von Caspol.exe unterstützten Richtlinienebenen gehören drei Sicherheitskonfigurationsdateien: eine für die Computerrichtlinie, eine weitere für die Benutzerrichtlinie eines bestimmten Benutzers und eine für die Organisationsrichtlinie.Three security configuration files correspond to the three policy levels supported by Caspol.exe: one for the machine policy, one for a given user's policy, and one for the enterprise policy. Diese Dateien werden nur auf Datenträgern erstellt, wenn die Computer-, Benutzer- oder Organisationsrichtlinie mit Caspol.exe geändert wurde.These files are created on disk only when machine, user, or enterprise policy is changed using Caspol.exe. Mit der Option -reset in Caspol.exe speichern Sie bei Bedarf die Standardsicherheitsrichtlinie auf einem Datenträger.You can use the –reset option in Caspol.exe to save the default security policy to disk, if needed.

In den meisten Fällen ist davon abzuraten, die Sicherheitskonfigurationsdateien manuell zu bearbeiten.In most cases, manually editing the security configuration files is not recommended. Allerdings kann es Szenarien geben, in denen die Änderung dieser Dateien notwendig ist, z. B. wenn ein Administrator die Sicherheitskonfiguration für einen bestimmten Benutzer bearbeiten möchte.But there might be scenarios in which modifying these files becomes necessary, such as when an administrator wants to edit the security configuration for a particular user.

BeispieleExamples

-addfulltrust-addfulltrust

Angenommen, ein Berechtigungssatz wurde mit einer benutzerdefinierten Berechtigung der Computerrichtlinie hinzugefügt.Assume that a permission set containing a custom permission has been added to machine policy. Diese benutzerdefinierte Berechtigung ist in MyPerm.exe implementiert. MyPerm.exe verweist wiederum auf Klassen in MyOther.exe.This custom permission is implemented in MyPerm.exe, and MyPerm.exe references classes in MyOther.exe. Beide Assemblys müssen der vollständig vertrauenswürdigen Assemblyliste hinzugefügt werden.Both assemblies must be added to the full trust assembly list. Mit dem folgenden Befehl wird die MyPerm.exe-Assembly der Liste der vollständig vertrauenswürdigen Assemblys für die Computerrichtlinie hinzugefügt.The following command adds the MyPerm.exe assembly to the full trust list for the machine policy.

caspol -machine -addfulltrust MyPerm.exe  

Mit dem folgenden Befehl wird die MyOther.exe-Assembly der Liste der vollständig vertrauenswürdigen Assemblys für die Computerrichtlinie hinzugefügt.The following command adds the MyOther.exe assembly to the full trust list for the machine policy.

caspol -machine -addfulltrust MyOther.exe  

-addgroup-addgroup

Der folgende Befehl fügt dem Stamm der Codegruppenhierarchie für die Computerrichtlinie eine untergeordnete Codegruppe hinzu.The following command adds a child code group to the root of the machine policy code group hierarchy. Die neue Codegruppe ist ein Element der Zone Internet und wird dem Berechtigungssatz Ausführung zugeordnet.The new code group is a member of the Internet zone and is associated with the Execution permission set.

caspol -machine -addgroup 1.  -zone Internet Execution  

Durch den folgenden Befehl wird eine untergeordnete Codegruppe hinzugefügt, die der Freigabe „\\netserver\netshare“ Berechtigungen für das lokale Intranet gewährt.The following command adds a child code group that gives the share \\netserver\netshare local intranet permissions.

caspol -machine -addgroup 1. -url \\netserver\netshare\* LocalIntranet  

-addpset-addpset

Der folgende Befehl fügt der Benutzerrichtlinie den Berechtigungssatz Mypset hinzu.The following command adds the Mypset permission set to the user policy.

caspol -user -addpset Mypset.xml Mypset  

-chggroup-chggroup

Mit dem folgenden Befehl wird der Berechtigungssatz in der Benutzerrichtlinie der mit 1.2. bezeichneten CodegruppeThe following command changes the permission set in the user policy of the code group labeled 1.2. in den Berechtigungssatz Ausführung geändert.to the Execution permission set.

caspol -user -chggroup 1.2. Execution  

Der folgende Befehl ändert die Mitgliedschaftsbedingungen in der Standardrichtlinie der Codegruppe mit der Bezeichnung 1.2.1.The following command changes the membership condition in the default policy of the code group labeled 1.2.1. und ändert die Einstellungen des exclusive-Flags.and changes the setting of the exclusive flag. Die Mitgliedschaftsbedingung wird mit Code definiert, der aus der Zone Internet stammt und dessen exclusive-Flag aktiviert ist.The membership condition is defined to be code that originates from the Internet zone and the exclusive flag is switched on.

caspol -chggroup 1.2.1. -zone Internet -exclusive on  

-chgpset-chgpset

Durch den folgenden Befehl wird der Berechtigungssatz mit dem Namen Mypset in einen anderen Berechtigungssatz geändert, der in newpset.xml enthalten ist.The following command changes the permission set with name Mypset to the permission set contained in newpset.xml. Beachten Sie, dass das Ändern von Berechtigungssätzen, die von der Codegruppenhierarchie verwendet werden, vom aktuellen Release nicht unterstützt wird.Note that the current release does not support changing permission sets that are being used by the code group hierarchy.

caspol -chgpset Mypset newpset.xml  

-force-force

Der folgende Befehl verknüpft die Stammcodegruppe der Benutzerrichtlinie (die Gruppe mit der Bezeichnung 1) mit dem benannten Berechtigungssatz Nichts.The following command causes the user policy's root code group (labeled 1) to be associated with the Nothing named permission set. Dadurch wird das Ausführen von Caspol.exe verhindert.This prevents Caspol.exe from running.

caspol -force -user -chggroup 1 Nothing  

-recover-recover

Der folgende Befehl stellt die zuletzt gespeicherte Computerrichtlinie wieder her.The following command recovers the most recently saved machine policy.

caspol -machine -recover  

-remgroup-remgroup

Der folgende Befehl entfernt die Codegruppe mit der Bezeichnung 1.1.The following command removes the code group labeled 1.1. Untergeordnete Codegruppen dieser Codegruppe werden ebenfalls gelöscht.If this code group has any child code groups, those groups are also deleted.

caspol -remgroup 1.1.  

-rempset-rempset

Der folgende Befehl entfernt den Berechtigungssatz Ausführung aus der Benutzerrichtlinie.The following command removes the Execution permission set from the user policy.

caspol -user -rempset Execution  

Der folgende Befehl entfernt Mypset auf der Ebene der Benutzerrichtlinie.The following command removes Mypset from the user policy level.

caspol -rempset MyPset  

-resolvegroup-resolvegroup

Der folgende Befehl zeigt alle Codegruppen der Computerrichtlinie an, denen myassembly angehört.The following command shows all code groups of the machine policy that myassembly belongs to.

caspol -machine -resolvegroup myassembly  

Der folgende Befehl zeigt alle Codegruppen der Computerrichtlinie, der Organisationsrichtlinie und der angegebenen benutzerdefinierten Benutzerrichtlinie an, denen myassembly angehört.The following command shows all code groups of the machine, enterprise, and specified custom user policy that myassembly belongs to.

caspol -customall "c:\config_test\security.config" -resolvegroup myassembly  

-resolveperm-resolveperm

Der folgende Befehl berechnet die Berechtigungen für testassembly anhand der Ebene der Computer- und der Benutzerrichtlinie.The following command calculates the permissions for testassembly based on the machine and user policy levels.

caspol -all -resolveperm testassembly  

Siehe auchSee also