У моего нового работодателя есть настройка перенаправления папок для сотен пользователей, и человек, который ее настраивал, действительно не знал, что он делал. В следствии, лучшие практики для разрешений на перенаправленные папки / домашние каталоги не последовало.
Решение, позволяющее людям получать доступ к их перенаправленным папкам, заключалось в применении Full Control разрешения (разрешения NTFS, а не разрешения "совместного использования", конечно) для Everyone в корневом каталоге («Дом») и распространить его на все подпапки и файлы ниже корня.
Что могло пойти не так? Это не значит, что у генерального директора есть конфиденциальная информация. My Documents папка, или кто-то собирается заразиться CryptoWall и зашифровать файлы всех остальных. Правильно?
Итак, в любом случае, теперь, когда заражение CryptoWall было удалено и резервные копии были восстановлены, ряд людей хотели бы, чтобы мы заменили текущие разрешения на что-то менее ужасное, и я бы не хотел, чтобы мне приходилось щелкать по диалоговым окнам разрешений в нескольких сто папок.
Как PowerShell может решить эту проблему для меня и снова сделать жизнь стоящей?
С благодарностью JScott за ссылку на System.Security.Principal... класс или метод, или что-то еще, некоторая оболочка PowerShell для замены списков ACL в кучке подпапок теми, которые подходят для домашних каталогов пользователей:
$Root = "Path to the root folder that holds all the user home directories"
$Paths = Get-ChildItem $Root | Select-Object -Property Name,FullName
$DAAR = New-Object system.security.accesscontrol.filesystemaccessrule("MyDomain\Domain Admins","FullControl","ContainerInherit, ObjectInherit","None","Allow")
#Domain Admin Access Rule.
$SysAR = New-Object system.security.accesscontrol.filesystemaccessrule("SYSTEM","FullControl","ContainerInherit, ObjectInherit","None","Allow")
#SYSTEM Access Rule.
foreach ($Folder in $Paths)
{
Write-Host "Generating ACL for $($folder.FullName) ... "
#For error handling purposes - not all folders will map to a user of the exact same name, this makes them easier to handle when viewing the output.
$ACL = New-Object System.Security.AccessControl.DirectorySecurity
#Creates a blank ACL object to add access rules into, also blanks out the ACL for each iteration of the loop.
$objUser = New-Object System.Security.Principal.NTAccount("MyDomain\"+$folder.name)
#Creating the right type of User Object to feed into our ACL, and populating it with the user whose folder we're currently on.
$UserAR = New-Object system.security.accesscontrol.filesystemaccessrule( $objuser ,"FullControl","ContainerInherit, ObjectInherit","None","Allow")
#Access Rule for the user whose folder we're dealing with during this iteration.
$acl.SetOwner($objUser)
$acl.SetAccessRuleProtection($true, $false)
#Change the inheritance/propagation settings of the folder we're dealing with
$acl.SetAccessRule($UserAR)
$acl.SetAccessRule($DAAR)
$acl.SetAccessRule($SysAR)
Write-Host "Changing ACL on $($folder.FullName) to:"
$acl | fl
#For error handling purposes - not all folders will map to a user of the exact same name, this makes them easier to handle when viewing the output.
Set-Acl -Path $Folder.Fullname -ACLObject $acl
}
Предыдущий ответ не сработает ЕСЛИ домашние папки / перенаправленные папки были настроены с помощью «Предоставить пользователю исключительные права». Это потому, что при выборе этого параметра что не рекомендуется, только СИСТЕМА и ПОЛЬЗОВАТЕЛЬ имеют права на папку. После этого вы не сможете изменить пермы (даже в качестве администратора), не взяв на себя ответственность за папку.
Это способ обойти это БЕЗ владения. Это двухэтапный процесс.
Создайте сценарий PowerShell, который запускает ICACLS для изменения разрешений в папках и подпапках.
запустите PSexec, чтобы запустить скрипт Powershell.
взято и изменено из: https://mypkb.wordpress.com/2008/12/29/how-to-restore-administrators-access-to-redirected-my-documents-folder/
1 Создание / копирование / кража сценария PowerShell (требуется PS 3.0 или выше)
#ChangePermissions.ps1
# CACLS rights are usually
# F = FullControl
# C = Change
# R = Readonly
# W = Write
$StartingDir= "c:\shares\users" ##Path to root of users home dirs
$Principal="domain\username" #or "administrators"
$Permission="F"
$Verify=Read-Host `n "You are about to change permissions on all" `
"files starting at"$StartingDir.ToUpper() `n "for security"`
"principal"$Principal.ToUpper() `
"with new right of"$Permission.ToUpper()"."`n `
"Do you want to continue? [Y,N]"
if ($Verify -eq "Y") {
foreach ($FOLDER in $(Get-ChildItem -path $StartingDir -directory -recurse)) {
$temp = $Folder.fullname
CACLS `"$temp`" /E /P `"${Principal}`":${Permission} >$NULL
#write-host $Folder.FullName
}
}
Из командной строки:
psexec -s -i powershell -noexit "& 'C:\Path\To\ChangePermissions.ps1'"