A fájlrendszer ACL – jeinek kezelése PowerShell szkriptekkel

NTFS-engedélyek típusai fájlokhoz és mappákhoz

alapvető és fejlett NTFS-engedélyek is vannak. Beállíthatja az egyes engedélyeket “Engedélyezés” vagy “megtagadás”értékre. Itt vannak az alapvető engedélyek:

  • teljes ellenőrzés: a felhasználók módosíthatják, hozzáadhatják, áthelyezhetik és törölhetik a fájlokat és könyvtárakat, valamint a hozzájuk tartozó tulajdonságokat. Ezenkívül a felhasználók módosíthatják az összes fájl és alkönyvtár engedélyezési beállításait.
  • módosítás: A felhasználók megtekinthetik és módosíthatják a fájlokat és a fájl tulajdonságait, beleértve a fájlok törlését és hozzáadását egy könyvtárhoz vagy a fájl tulajdonságait egy fájlhoz.
  • Read & Execute: a felhasználók futtatható fájlokat futtathatnak, beleértve a szkriptet is
  • Read: a felhasználók megtekinthetik a fájlokat, a fájl tulajdonságait és a könyvtárakat.
  • Write: a felhasználók írhatnak egy fájlba, és fájlokat adhatnak hozzá a könyvtárakhoz.

itt található a speciális engedélyek listája:

  • Traverse Folder / Execute File: A felhasználók navigálhatnak a mappákban, hogy más fájlokat vagy mappákat érjenek el, még akkor is, ha nincs engedélyük ezekre a fájlokra vagy mappákra. A felhasználók futtatható fájlokat is futtathatnak. A Traverse mappa engedély csak akkor lép hatályba, ha a csoport vagy a felhasználó nem rendelkezik a “bypass Traverse Checking” közvetlenül a Csoportházirend beépülő modul.
  • List Folder / Read Data: a felhasználók megtekinthetik a mappán belüli fájlok és almappák listáját, valamint a fájlok tartalmát.
  • olvasási attribútumok: a felhasználók megtekinthetik egy fájl vagy mappa attribútumait, például azt, hogy csak olvasható vagy rejtett-e.
  • attribútumok írása: a felhasználók megváltoztathatják egy fájl vagy mappa attribútumait.
  • bővített attribútumok olvasása: a felhasználók megtekinthetik egy fájl vagy mappa kiterjesztett attribútumait, például engedélyeket, létrehozási és módosítási időket.
  • kiterjesztett attribútumok írása: a felhasználók megváltoztathatják egy fájl vagy mappa kiterjesztett attribútumait.
  • fájlok létrehozása / adatok írása: a” fájlok létrehozása ” engedély lehetővé teszi a felhasználók számára, hogy fájlokat hozzanak létre a mappában. (Ez az engedély csak a mappákra vonatkozik.) Az” adatok írása ” engedély lehetővé teszi a felhasználók számára, hogy módosítsák a fájlt, és felülírják a meglévő tartalmat. (Ez az engedély csak fájlokra vonatkozik.)
  • Mappák létrehozása / adatok hozzáfűzése: a “Mappák létrehozása” engedély lehetővé teszi a felhasználók számára, hogy mappákat hozzanak létre egy mappán belül. (Ez az engedély csak a mappákra vonatkozik.) Az” adatok hozzáfűzése ” engedély lehetővé teszi a felhasználók számára, hogy módosítsák a fájl végét, de nem tudják megváltoztatni, törölni vagy felülírni a meglévő adatokat. (Ez az engedély csak fájlokra vonatkozik.)
  • Delete: a felhasználók törölhetik a fájlt vagy mappát. (Ha a felhasználóknak nincs” törlés ” engedélyük egy fájlon vagy mappán, akkor is törölhetik azt, ha a szülőmappában “almappák és fájlok törlése” engedélyük van.)
  • olvasási engedélyek: a felhasználók elolvashatják egy fájl vagy mappa engedélyeit, például “teljes vezérlés”, “olvasás” és “írás”.
  • Engedélyek módosítása: a felhasználók megváltoztathatják egy fájl vagy mappa engedélyeit.
  • tulajdonjog: a felhasználók átvehetik a fájl vagy mappa tulajdonjogát. A fájl vagy mappa tulajdonosa mindig megváltoztathatja az engedélyeket, függetlenül a fájlt vagy mappát védő meglévő engedélyektől.
  • szinkronizálás: a felhasználók használhatják az objektumot szinkronizáláshoz. Ez lehetővé teszi a szál számára, hogy megvárja, amíg az objektum jelzett állapotba kerül. Ez a jog nem jelenik meg az ACL szerkesztőben. Erről bővebben itt olvashat.

ezeket a felhasználói engedélyeket a következő PowerShell szkript futtatásával találhatja meg:

::getnames()

az NTFS engedélyek lehetnek explicitek vagy öröklöttek. Az Explicit engedélyek olyan engedélyek, amelyek egyedileg vannak konfigurálva, míg az örökölt engedélyek a szülő mappából származnak. Az engedélyek hierarchiája a következő:

  • Explicit Deny
  • Explicit Allow
  • örökölt Deny
  • örökölt Allow

most, hogy tudjuk, hogy az NTFS engedélyek vannak, vizsgáljuk meg, hogyan kezelhetjük őket.

Get ACL fájlok és mappák

Az első PowerShell parancsmag kezelésére használt fájl és mappa engedélyek “get-acl”; felsorolja az összes objektum engedélyeket. Például szerezzük be a “\\fs1\shared\sales “objektumútvonalú mappa összes engedélyének listáját:

get-acl \\fs1\shared\sales | fl

Ha teljes NTFS engedélyjelentést szeretne kapni a PowerShell-en keresztül, kövesse ezt az egyszerű útmutatót az NTFS engedélyek CSV-be történő exportálásáról.

fájl-és mappaengedélyek másolása

engedélyek másolásához a felhasználónak mind a forrás -, mind a célmappákat birtokolnia kell. A következő parancs átmásolja az engedélyeket a “számvitel” mappából az “értékesítés” mappába:

get-acl \\fs1\shared\accounting | Set-Acl \\fs1\shared\sales

amint azt a “get-acl” parancsok kimenetéből láthatjuk az engedélyek másolása előtt és után, az “Sales” megosztott mappa engedélyei megváltoztak.

fájl-és mappaengedélyek beállítása

a PowerShell “set-acl” parancsmag egy adott elem, például fájl, mappa vagy rendszerleíró kulcs biztonsági leírójának módosítására szolgál; más szóval a fájl-vagy mappaengedélyek módosítására szolgál. A következő parancsfájl a “FullControl” engedélyt állítja be az “ENTERPRISE \ t “felhasználó ” engedélyezésére”.Simpson” a “Sales”mappába:

ha más engedélyeket szeretne beállítani a felhasználók vagy biztonsági csoportok számára, válassza ki őket az alábbi táblázatból:

vannak olyan alapvető hozzáférési jogok is, amelyek alkalmazhatók:

felhasználói engedélyek eltávolítása

engedély eltávolításához használja az “Removeaccessrule” paramétert. Töröljük a T. Simpson” allow FullControl “engedélyét az” Sales “mappába:

figyeljük meg, hogy T.Simpson továbbra is rendelkezik a” Deny FullControl ” engedéllyel. Az eltávolításhoz használjuk a “PurgeAccessRules” parancsot, amely teljesen törli T. Simpson engedélyeit az “Sales” mappába:

vegye figyelembe, hogy a “PurgeAccessRules” nem működik karakterlánc-felhasználónévvel; csak SIDs-ekkel működik. Ezért az “Ntaccount” osztályt használtuk a felhasználói fiók nevének karakterláncból SID-be konvertálásához. Vegye figyelembe azt is, hogy a” PurgeAccessRules ” csak kifejezett engedélyekkel működik, nem törli az öröklötteket.

engedélyek öröklésének letiltása vagy engedélyezése

az öröklés kezeléséhez a “SetAccessRuleProtection” módszert használjuk. Két paramétere van:

  • az első paraméter felelős az öröklés blokkolásáért a szülő mappából. Két állapota van: “$true”és” $false”.
  • a második paraméter határozza meg, hogy az aktuális örökölt engedélyek megmaradnak-e vagy eltávolításra kerülnek-e. Két állapota van: “$true”és” $false”.

tiltsuk le az öröklést az “értékesítés” mappában, és töröljük az összes örökölt engedélyt is:

$acl = Get-Acl \\fs1\shared\sales$acl.SetAccessRuleProtection($true,$false)$acl | Set-Acl \\fs1\shared\sales

most már csak egy hozzáférési engedély maradt (mert kifejezetten hozzáadták); minden örökölt engedélyt eltávolítottak.

állítsuk vissza ezt a változást, és engedélyezzük újra az “értékesítés” mappa öröklését:

$acl = Get-Acl \\fs1\shared\sales$acl.SetAccessRuleProtection($false,$true)$acl | Set-Acl \\fs1\shared\sales

fájl-és Mappatulajdonság módosítása

ha tulajdonost szeretne beállítani egy mappához, futtatnia kell a “SetOwner” módszert. Tegyük az “ENTERPRISE \ J. Carter “- et az” értékesítés ” mappa tulajdonosává:

figyeljük meg, hogy ismét az “Ntaccount” osztályt használtuk a felhasználói fiók nevének karakterláncból SID-be konvertálásához.

ne feledje, hogy a” SetOwner “módszer nem teszi lehetővé a tulajdonos megváltoztatását a kívánt fiókra; a fióknak rendelkeznie kell a” tulajdonjog”,” olvasás “és” engedélyek módosítása ” jogokkal.

mint látható, nagyon könnyű kezelni az NTFS engedélyeket a PowerShell segítségével. De ne felejtse el ellenőrizni az NTFS engedélyeket is-a biztonság szempontjából kritikus fontosságú, hogy nyomon kövesse a fájlkiszolgálókon végrehajtott összes módosítást az adatszivárgás csökkentése, valamint a bennfentes fenyegetés és más informatikai biztonsági kockázatok leküzdése érdekében. Itt található egy alapvető útmutató az NTFS engedélyek ellenőrzéséhez a PowerShell segítségével.

Jeff a Netwrix globális megoldások mérnöki igazgatója. Hosszú ideje Netwrix blogger, előadó és előadó. A Netwrix blogban Jeff megosztja a lifehackeket, tippeket és trükköket, amelyek drámai módon javíthatják a rendszer adminisztrációs élményét.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.