Hvordan Administrere Filsystem Acl Med PowerShell Scripts

NTFS Tillatelser Typer For Filer og Mapper

DET er både grunnleggende OG avanserte NTFS tillatelser. Du kan angi hver av tillatelsene til «Tillat» eller «Deny». Her er de grunnleggende tillatelsene:

  • Full Kontroll: Brukere kan endre, legge til, flytte og slette filer og kataloger, samt tilhørende egenskaper. I tillegg kan brukerne endre tillatelsesinnstillinger for alle filer og underkataloger.
  • Endre: Brukere kan vise og endre filer og filegenskaper, inkludert å slette og legge til filer i en katalog eller filegenskaper til en fil.
  • Les & Utfør: Brukere kan kjøre kjørbare filer, inkludert skript
  • Les: Brukere kan vise filer, filegenskaper og kataloger.
  • Skriv: Brukere kan skrive til en fil og legge til filer i kataloger.

Her er listen over avanserte tillatelser:

  • Traversere Mappe / Utfør Fil: Brukere kan navigere gjennom mapper for å nå andre filer eller mapper, selv om de ikke har noen tillatelser for disse filene eller mappene. Brukere kan også kjøre kjørbare filer. Tillatelsen Traversere Mappe trer i kraft bare når gruppen eller brukeren ikke har «Bypass Traversering» rett i snapin-modulen For Gruppepolicy.
  • List Folder / Read Data: Brukere kan vise en liste over filer og undermapper i mappen, samt innholdet i filene.
  • Les Attributter: Brukere kan vise attributtene til en fil eller mappe, for eksempel om den er skrivebeskyttet eller skjult.
  • Skriveattributter: Brukere kan endre attributtene til en fil eller mappe.
  • Les Utvidede Attributter: Brukere kan vise utvidede attributter for en fil eller mappe, for eksempel tillatelser og opprettings-og endringstider.
  • Skriv Utvidede Attributter: Brukere kan endre utvidede attributter for en fil eller mappe.
  • Opprett Filer/ Skriv Data: tillatelsen» Opprett Filer » tillater brukere å lage filer i mappen. (Denne tillatelsen gjelder bare mapper.) Tillatelsen «Skriv Data» tillater brukere å gjøre endringer i filen og overskrive eksisterende innhold. (Denne tillatelsen gjelder bare for filer.)
  • Opprett Mapper/ Tilføy Data: tillatelsen» Opprett Mapper » lar brukerne lage mapper i en mappe. (Denne tillatelsen gjelder bare mapper.) Tillatelsen» Tilføy Data » tillater brukere å gjøre endringer i slutten av filen, men de kan ikke endre, slette eller overskrive eksisterende data. (Denne tillatelsen gjelder bare for filer.)
  • Delete: Brukere kan slette filen eller mappen. (Hvis brukere ikke har» Slett «- tillatelsen på en fil eller mappe, kan de fortsatt slette den hvis de har tillatelsen» Slett Undermapper og Filer » i den overordnede mappen.)
  • Lesetillatelser: Brukere kan lese tillatelsene til en fil eller mappe, for eksempel «Full Kontroll», «Les»og » Skriv».
  • Endre Tillatelser: Brukere kan endre tillatelsene til en fil eller mappe.
  • Ta Eierskap: Brukere kan ta eierskap til filen eller mappen. Eieren av en fil eller mappe kan alltid endre tillatelser på den, uavhengig av eksisterende tillatelser som beskytter filen eller mappen.
  • Synkroniser: Brukere kan bruke objektet til synkronisering. Dette gjør det mulig for en tråd å vente til objektet er i signalisert tilstand. Denne retten er ikke presentert I ACL Editor. Du kan lese mer om det her.

DU kan finne alle disse brukertillatelsene ved å kjøre Følgende powershell-skript: 

::getnames()

NTFS-tillatelser kan enten være eksplisitte eller arvet. Eksplisitte tillatelser er tillatelser som konfigureres individuelt, mens arvede tillatelser arves fra den overordnede mappen. Hierarkiet for tillatelser er som følger:

  • Eksplisitt Nekte
  • Eksplisitt Tillate
  • Arvet Nekte
  • Arvet Tillate

nå som VI vet NTFS tillatelser er, la oss utforske hvordan å administrere dem.

Få ACL for Filer og Mapper

Den første PowerShell-cmdleten som brukes til å administrere fil-og mappetillatelser, er «get-acl»; den viser alle objekttillatelser. La oss for eksempel få listen over alle tillatelser for mappen med objektbanen «\ \ fs1 \ shared \ sales»:

get-acl \\fs1\shared\sales | fl

hvis du vil få en full NTFS-tillatelsesrapport via PowerShell, kan du følge denne enkle veiledningen om eksport AV NTFS-tillatelser til CSV.

Kopier Fil-Og Mappetillatelser

for å kopiere tillatelser må brukeren eie både kilde-og målmappene. Følgende kommando vil kopiere tillatelsene fra Mappen «Regnskap» til Mappen» Salg»:

get-acl \\fs1\shared\accounting | Set-Acl \\fs1\shared\sales

som vi kan se fra utgangen av «get-acl» – kommandoene før og etter tillatelsene kopi, Har «Salg» delte mappetillatelser blitt endret.

Angi Fil-Og Mappetillatelser

powershell-cmdleten» set-acl » brukes til å endre sikkerhetsbeskrivelsen for et angitt element, for eksempel en fil, mappe eller en registernøkkel. Følgende skript angir» FullControl «- tillatelsen til Å «Tillate» for brukeren » ENTERPRISE \ T.Simpson «til mappen»Salg»:

hvis du vil angi andre tillatelser til brukere eller sikkerhetsgrupper, velger du dem fra tabellen nedenfor:

Det finnes også tillatelsessett med grunnleggende tilgangsrettigheter som kan brukes:

fjern brukertillatelser

bruk parameteren» Removeaccessrule » for å fjerne en tillatelse. La oss slette tillatelsen» Tillat FullControl «for T. Simpson til Mappen» Salg»:

Legg merke til At T.Simpson har fortsatt» Deny FullControl » tillatelse. For å fjerne det, la oss bruke kommandoen «PurgeAccessRules», som helt vil tørke T. Simpsons tillatelser til «Salg» – mappen:

Merk at «PurgeAccessRules» ikke fungerer med et streng brukernavn; det fungerer bare med SIDs. Derfor brukte vi klassen» Ntaccount » til å konvertere brukerkontonavnet fra en streng til EN SID. Vær også oppmerksom på at «PurgeAccessRules» bare fungerer med eksplisitte tillatelser; det renser ikke arvede.

Deaktiver Eller Aktiver Tillatelser Arv

for å administrere arv bruker vi metoden «SetAccessRuleProtection». Den har to parametere:

  • Den første parameteren er ansvarlig for å blokkere arv fra overordnet mappe. Den har to stater: «$ true » og «$false».
  • den andre parameteren bestemmer om gjeldende arvede tillatelser beholdes eller fjernes. Den har de samme to statene: «$ true » og «$false».

la oss deaktivere arv for mappen «Salg» og slette alle arvede tillatelser også:

$acl = Get-Acl \\fs1\shared\sales$acl.SetAccessRuleProtection($true,$false)$acl | Set-Acl \\fs1\shared\sales

Nå har Vi bare en tilgangstillatelse igjen (fordi den ble lagt til eksplisitt); alle arvede tillatelser ble fjernet.

la oss gå tilbake denne endringen og aktivere arv for mappen «Salg» igjen: 

$acl = Get-Acl \\fs1\shared\sales$acl.SetAccessRuleProtection($false,$true)$acl | Set-Acl \\fs1\shared\sales

Endre Fil-Og Mappeeierskap

hvis du vil angi en eier for en mappe, må du kjøre «SetOwner» – metoden. La oss gjøre «ENTERPRISE \ J. Carter «eieren av Mappen» Salg»:

Legg Merke til at vi igjen brukte «Ntaccount» – klassen til å konvertere brukerkontonavnet fra en streng til EN SID.

Merk at «SetOwner» – metoden ikke lar deg endre eieren til en hvilken som helst konto du vil ha; kontoen må ha rettighetene» Ta Eierskap»,» Les «og» Endre Tillatelser».

som du kan se, er DET veldig enkelt å administrere NTFS-tillatelser Med PowerShell. MEN ikke glem Å revidere NTFS-tillatelser også — det er avgjørende for sikkerheten å spore alle endringer som er gjort på filservere for å redusere datalekkasje og bekjempe insider-trusselen og ANDRE IT-sikkerhetsrisikoer. Her er en grunnleggende veiledning om hvordan du overvåker NTFS-tillatelser med PowerShell.

Jeff Er Direktør For Global Solutions Engineering Hos Netwrix. Han er En Lang Tid Netwrix blogger, høyttaler, og programleder. I netwrix-bloggen deler Jeff lifehacks, tips og triks som dramatisk kan forbedre systemadministrasjonsopplevelsen din.

admin

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.