Kuinka hallita tiedostojärjestelmän käyttöoikeuksia PowerShell-skripteillä

NTFS-Käyttöoikeustyypit tiedostoille ja kansioille

on sekä perus-että edistyneitä NTFS-oikeuksia. Voit asettaa kunkin käyttöoikeudet ” sallia ”tai”kieltää”. Tässä ovat perusoikeudet:

täysi hallinta: Käyttäjät voivat muokata, lisätä, siirtää ja poistaa tiedostoja ja kansioita sekä niihin liittyviä ominaisuuksia. Lisäksi käyttäjät voivat muuttaa kaikkien tiedostojen ja alikansioiden käyttöoikeusasetuksia.
muokkaa: Käyttäjät voivat tarkastella ja muokata tiedostoja ja tiedoston ominaisuuksia, mukaan lukien tiedostojen poistaminen ja lisääminen hakemistoon tai tiedoston ominaisuudet tiedostoon.
Lue & Suorita: käyttäjät voivat suorittaa suoritettavia tiedostoja, mukaan lukien skripti
Lue: käyttäjät voivat tarkastella tiedostoja, tiedoston ominaisuuksia ja hakemistoja.
Write: käyttäjät voivat kirjoittaa tiedostoon ja lisätä tiedostoja kansioihin.

tässä on luettelo edistyneistä käyttöoikeuksista:

Läpivientikansio/suorita tiedosto: Käyttäjät voivat selata kansioita päästäkseen muihin tiedostoihin tai kansioihin, vaikka heillä ei olisi oikeuksia näihin tiedostoihin tai kansioihin. Käyttäjät voivat myös suorittaa suoritettavia tiedostoja. Läpivientikansioiden käyttöoikeudet tulevat voimaan vain, jos ryhmällä tai Käyttäjällä ei ole Ryhmäkäytäntölaajennuksessa ”ohitus Läpivientitarkistusta”.
List Folder / Read Data: käyttäjät voivat tarkastella kansiossa olevien tiedostojen ja alikansioiden luetteloa sekä tiedostojen sisältöä.
Lue attribuutit: käyttäjät voivat tarkastella tiedoston tai kansion attribuutteja, kuten sitä, onko se vain luku-vai piilotettu.
Kirjoita attribuutit: käyttäjät voivat muuttaa tiedoston tai kansion attribuutteja.
Lue laajennetut attribuutit: käyttäjät voivat tarkastella tiedoston tai kansion laajennettuja attribuutteja, kuten käyttöoikeuksia sekä luonti-ja muutosaikoja.
Kirjoita laajennetut attribuutit: käyttäjät voivat muuttaa tiedoston tai kansion laajennettuja attribuutteja.
Create Files / Write Data: ”Create Files” – käyttöoikeudella käyttäjät voivat luoda tiedostoja kansion sisällä. (Tämä oikeus koskee vain kansioita.) ”Write Data” – oikeuden avulla käyttäjät voivat tehdä muutoksia tiedostoon ja korvata olemassa olevaa sisältöä. (Tämä oikeus koskee vain tiedostoja.)
Create Folders / Append Data: ”Create Folders” – oikeuden avulla käyttäjät voivat luoda kansioita kansion sisällä. (Tämä oikeus koskee vain kansioita.) ”Append Data” – käyttöoikeudella käyttäjät voivat tehdä muutoksia tiedoston loppuun, mutta he eivät voi muuttaa, poistaa tai korvata olemassa olevia tietoja. (Tämä oikeus koskee vain tiedostoja.)
poista: käyttäjät voivat poistaa tiedoston tai kansion. (Jos käyttäjillä ei ole” Poista ”- oikeutta tiedostoon tai kansioon, he voivat silti poistaa sen, jos heillä on” Poista alikansiot ja tiedostot ” – oikeus yläkansioon.)
lukuoikeudet: käyttäjät voivat lukea tiedoston tai kansion käyttöoikeuksia, kuten ”Täysi hallinta”, ”lukea” ja ”kirjoittaa”.
muuta käyttöoikeuksia: käyttäjät voivat muuttaa tiedoston tai kansion käyttöoikeuksia.
ota omistus: käyttäjät voivat ottaa tiedoston tai kansion omistukseensa. Tiedoston tai kansion omistaja voi aina muuttaa sen käyttöoikeuksia riippumatta olemassa olevista käyttöoikeuksista, jotka suojaavat tiedostoa tai kansiota.
synkronoi: käyttäjät voivat käyttää objektia synkronointiin. Tämä mahdollistaa langan odottamisen, kunnes kohde on merkityssä tilassa. Tätä oikeutta ei esitetä ACL-muokkaimessa. Voit lukea siitä lisää täältä.

löydät kaikki nämä käyttöoikeudet ajamalla seuraavan PowerShell-komentosarjan:

::getnames()

NTFS-oikeudet voivat olla joko eksplisiittisiä tai periytyviä. Eksplisiittiset käyttöoikeudet ovat käyttöoikeuksia, jotka on määritetty erikseen, kun taas perityt käyttöoikeudet peritään yläkansiosta. Käyttöoikeuksien hierarkia on seuraava:

eksplisiittinen kiellä
eksplisiittinen salli
peritty kiellä

nyt kun tiedämme NTFS: n käyttöoikeudet ovat, tutkitaan miten niitä hallitaan.

Get ACL tiedostoille ja kansioille

ensimmäinen tiedostojen ja kansioiden käyttöoikeuksien hallintaan käytetty PowerShell cmdlet on ”get-acl”; se listaa kaikki objektin käyttöoikeudet. Esimerkiksi, saat listan kaikista käyttöoikeuksista kansiolle, jonka objektipolku on ”\\fs1\shared\sales”:

get-acl \\fs1\shared\sales | fl

Jos haluat saada täyden NTFS-käyttöoikeusraportin PowerShellin kautta, voit seurata tätä helppoa ohjetta NTFS-käyttöoikeuksien viennistä CSV: hen.

kopioi tiedoston ja kansion oikeudet

kopioidakseen käyttöoikeudet käyttäjän on omistettava sekä lähde-että kohdekansiot. Seuraava komento kopioi käyttöoikeudet ”Kirjanpito” – kansiosta” myynti ” – kansioon:

get-acl \\fs1\shared\accounting | Set-Acl \\fs1\shared\sales

kuten ”get-acl” – komentojen ulostulosta ennen ja jälkeen käyttöoikeuskopion, ”myynnin” jaettujen kansioiden käyttöoikeuksia on muutettu.

Aseta tiedoston ja kansion oikeudet

PowerShell ”set-acl” – cmdletiä käytetään tietyn kohteen, kuten tiedoston, kansion tai rekisteriavaimen suojauskuvauksen muuttamiseen; toisin sanoen sitä käytetään muokkaamaan tiedoston tai kansion oikeuksia. Seuraava skripti asettaa ”FullControl” – oikeuden ”sallia” käyttäjälle ” ENTERPRISE\T.Simpson” kansioon ”myynti”:

Jos haluat asettaa muita käyttöoikeuksia käyttäjille tai suojausryhmille, valitse ne alla olevasta taulukosta:

on olemassa myös käyttöoikeusjoukkoja, joihin voidaan soveltaa perusoikeuksia:

poista käyttöoikeudet

Jos haluat poistaa käyttöoikeudet, käytä parametria ”Removeaccessrule”. Poistetaan T. Simpsonin” salli FullControl ”- oikeudet ”myynti” – kansioon:

huomaa, että T.Simpsonilla on yhä” kiellä FullControl ” – lupa. Sen poistamiseksi käytetään komentoa ”PurgeAccessRules”, joka pyyhkii T. Simpsonin oikeudet” Sales” – kansioon kokonaan:

huomaa, että” PurgeAccessRules ” ei toimi merkkijonon käyttäjänimellä, vaan se toimii vain kätkytkuoleman kanssa. Siksi käytimme” Ntaccount ” – luokkaa muuntaaksemme käyttäjätilin nimen merkkijonosta SID: ksi. Huomaa myös ,että” PurgeAccessRules ” toimii vain eksplisiittisillä oikeuksilla; se ei poista perittyjä oikeuksia.

Poista tai Ota käyttöön käyttöoikeuksien periytyminen

perinnön hallitsemiseksi käytämme ”SetAccessRuleProtection” – menetelmää. Siinä on kaksi parametria:

ensimmäinen parametri on vastuussa perinnön estämisestä yläkansiosta. Sillä on kaksi osavaltiota: ”$true” ja ”$false”.
toinen parametri määrittää, säilytetäänkö nykyiset perityt käyttöoikeudet vai poistetaanko ne. Sillä on samat kaksi osavaltiota: ”$true” ja ”$false”.

poistetaan perintö ”myynti” – kansiosta ja poistetaan myös kaikki perityt käyttöoikeudet:

$acl = Get-Acl \\fs1\shared\sales$acl.SetAccessRuleProtection($true,$false)$acl | Set-Acl \\fs1\shared\sales

nyt meillä on enää yksi käyttöoikeudet jäljellä (koska se lisättiin eksplisiittisesti); kaikki perityt käyttöoikeudet poistettiin.

perutaan tämä muutos ja otetaan kansion ”myynti” perintö käyttöön uudelleen:

$acl = Get-Acl \\fs1\shared\sales$acl.SetAccessRuleProtection($false,$true)$acl | Set-Acl \\fs1\shared\sales

Muutostiedosto ja kansion omistus

Jos haluat asettaa kansion omistajan, sinun on suoritettava ”SetOwner” – menetelmä. Tehdään ”ENTERPRISE\J. Carter ”omistaja” myynti ” kansio:

huomaa, että käytimme jälleen ”Ntaccount” – luokkaa muuntaaksemme käyttäjätilin nimen merkkijonosta SID: ksi.

huomaa, että ”SetOwner” – menetelmällä ei voi vaihtaa omistajaa millekään tilille, vaan tilillä tulee olla oikeudet ”ota omistus”, ”Lue” ja ”muuta käyttöoikeuksia”.

kuten näet, NTFS-käyttöoikeuksia on erittäin helppo hallita Powershellilla. Mutta älä unohda tarkastaa myös NTFS: n käyttöoikeuksia — turvallisuuden kannalta on tärkeää seurata kaikkia tiedostopalvelimiin tehtyjä muutoksia, jotta voidaan vähentää tietovuotoja ja torjua sisäpiiriuhkaa ja muita tietoturvariskejä. Tässä on perusopas NTFS-käyttöoikeuksien tarkastamisesta Powershellissa.

Jeff on Netwrixin Global Solutions Engineeringin johtaja. Hän on pitkäaikainen Netwrix-bloggaaja, puhuja ja juontaja. Vuonna Netwrix blogi, Jeff jakaa lifehacks, vinkkejä ja temppuja, jotka voivat dramaattisesti parantaa järjestelmän hallintakokemusta.