Установка флагов наследования и распространения с помощью set-acl и powershell - PullRequest
Новая
       28

Установка флагов наследования и распространения с помощью set-acl и powershell

43 голосов
/ 19 июля 2010

Я пытаюсь имитировать действие щелчка правой кнопкой мыши по папке, установки «изменения» для папки и применения разрешений к определенной папке, подпапкам и файлам.

Я в основном использую Powershell, однако наследование задается только как «подпапки и файлы» вместо целой «этой папки, подпапок и файлов».

Есть ли какой-нибудь не перечисленный флаг для System.Security.AccessControl.PropagationFlags, который установит это правильно?

Вот с чем я сейчас работаю. 

$Folders = Get-childItem c:\TEMP\
$InheritanceFlag = [System.Security.AccessControl.InheritanceFlags]::ContainerInherit -bor [System.Security.AccessControl.InheritanceFlags]::ObjectInherit
$PropagationFlag = [System.Security.AccessControl.PropagationFlags]::InheritOnly
$objType = [System.Security.AccessControl.AccessControlType]::Allow 

foreach ($TempFolder in $Folders)
{
echo "Loop Iteration"
$Folder = $TempFolder.FullName

$acl = Get-Acl $Folder
$permission = "domain\user","Modify", $InheritanceFlag, $PropagationFlag, $objType
$accessRule = New-Object System.Security.AccessControl.FileSystemAccessRule $permission

$acl.SetAccessRule($accessRule)
Set-Acl $Folder $acl
}

Ответы [ 5 ]

65 голосов
/ 05 декабря 2011

Вот таблица, в которой можно найти необходимые флаги для различных комбинаций разрешений. 

╔═════════════╦═════════════╦═══════════════════════════════╦════════════════════════╦══════════════════╦═══════════════════════╦═════════════╦═════════════╗
    ║             ║ folder only ║ folder, sub-folders and files ║ folder and sub-folders ║ folder and files ║ sub-folders and files ║ sub-folders ║    files    ║
    ╠═════════════╬═════════════╬═══════════════════════════════╬════════════════════════╬══════════════════╬═══════════════════════╬═════════════╬═════════════╣
    ║ Propagation ║ none        ║ none                          ║ none                   ║ none             ║ InheritOnly           ║ InheritOnly ║ InheritOnly ║
    ║ Inheritance ║ none        ║ Container|Object              ║ Container              ║ Object           ║ Container|Object      ║ Container   ║ Object      ║
    ╚═════════════╩═════════════╩═══════════════════════════════╩════════════════════════╩══════════════════╩═══════════════════════╩═════════════╩═════════════╝

Итак, как сказал Дэвид, вам понадобится 

    InheritanceFlags.ContainerInherit | InheritanceFlags.ObjectInherit 
    PropagationFlags.None
31 голосов
/ 19 июля 2010

Думаю, ваш ответ можно найти на этой странице . Со страницы:

Эта папка, подпапки и файлы: 

InheritanceFlags.ContainerInherit | InheritanceFlags.ObjectInherit 
PropagationFlags.None
8 голосов
/ 19 июля 2010

Только потому, что вы находитесь в PowerShell, не забывайте о хороших старых приложениях. Иногда они могут предоставить самое простое решение, например: 

icacls.exe $folder /grant 'domain\user:(OI)(CI)(M)'
5 голосов
/ 22 ноября 2016

Вот краткий код Powershell для применения новых разрешений к папке путем изменения ее существующего ACL (списка управления доступом). 

# Get the ACL for an existing folder
$existingAcl = Get-Acl -Path 'C:\DemoFolder'

# Set the permissions that you want to apply to the folder
$permissions = $env:username, 'Read,Modify', 'ContainerInherit,ObjectInherit', 'None', 'Allow'

# Create a new FileSystemAccessRule object
$rule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $permissions

# Modify the existing ACL to include the new rule
$existingAcl.SetAccessRule($rule)

# Apply the modified access rule to the folder
$existingAcl | Set-Acl -Path 'C:\DemoFolder'

Каждое из значений в списке переменных $permissions относится к параметрам этот конструктор для класса FileSystemAccessRule .

Предоставлено этой страницы .

2 голосов
/ 05 ноября 2016

Вот страница MSDN , описывающая флаги и результат их различных комбинаций. 

Flag combinations => Propagation results
=========================================
No Flags => Target folder.
ObjectInherit => Target folder, child object (file), grandchild object (file).
ObjectInherit and NoPropagateInherit => Target folder, child object (file).
ObjectInherit and InheritOnly => Child object (file), grandchild object (file).
ObjectInherit, InheritOnly, and NoPropagateInherit => Child object (file).
ContainerInherit => Target folder, child folder, grandchild folder.
ContainerInherit, and NoPropagateInherit => Target folder, child folder.
ContainerInherit, and InheritOnly => Child folder, grandchild folder.
ContainerInherit, InheritOnly, and NoPropagateInherit => Child folder.
ContainerInherit, and ObjectInherit => Target folder, child folder, child object (file), grandchild folder, grandchild object (file).
ContainerInherit, ObjectInherit, and NoPropagateInherit => Target folder, child folder, child object (file).
ContainerInherit, ObjectInherit, and InheritOnly => Child folder, child object (file), grandchild folder, grandchild object (file).
ContainerInherit, ObjectInherit, NoPropagateInherit, InheritOnly => Child folder, child object (file).

Чтобы он применял права доступа к каталогу, а также рекурсивно ко всем дочерним каталогам и файлам, вы должны использовать эти флаги: 

InheritanceFlags.ContainerInherit | InheritanceFlags.ObjectInherit 
PropagationFlags.None

Таким образом, конкретное изменение кода, которое вам нужно сделать для вашего примера: 

$PropagationFlag = [System.Security.AccessControl.PropagationFlags]::None
...