icacls (win2k8) příklady skriptování

Lis 23, 2021
admin

Po cacls, xcacls.vbs máme nyní icacls pro nastavení práv k souborům a složkám.

Tady je několik praktických příkladů.

Vytvořte několik adresářů


md d:\appsmd d:\profilesmd d:\users

Sdílejte adresáře. Všimněte si offline ukládání do mezipaměti; uživatelé mohou povolit offline ukládání do mezipaměti pro své domovské adresáře, ostatní adresáře jsou pro offline ukládání do mezipaměti zakázány.


net share apps=d:\apps /grant:everyone,FULL /CACHE:Nonenet share profiles=d:\profiles /grant:everyone,FULL /CACHE:Nonenet share users=d:\users /grant:everyone,FULL /CACHE:Manual

Nyní naskriptujeme oprávnění ntfs pro sdílení aplikací:
– „(OI)(CI):F“ znamená plné řízení „Tato složka, podsložky a soubory“
– „(OI)(CI):M“ znamená Modify „This Folder, Subfolders and files“
– „/inheritance:r“ znamená remove all inherited ACL’s from parent

(OI) This folder and files
(CI) This folder and subfolders.
(OI)(CI) Tato složka, podsložky a soubory.
(OI)(CI)(IO) Pouze podsložky a soubory.
(CI)(IO) Pouze podsložky.
(OI)(IO) Pouze soubory.

a možnosti oprávnění

perm je maska oprávnění a může být zadána v jedné ze dvou podob:
posloupnost jednoduchých práv:
N – žádný přístup
F – plný přístup
M – přístup ke změnám
RX – přístup ke čtení a spuštění
R – přístup pouze ke čtení
W – přístup pouze k zápisu
D – přístup ke smazání
seznam specifických práv oddělený čárkou v závorce:
DE – mazání
RC – řízení čtení
WDAC – zápis DAC
WO – zápis vlastníka
S – synchronizace
AS – zabezpečení přístupu k systému
MA – maximální povolené
GR – generické čtení
GW – přístupové právo k systému
GW – přístupové právo k systému
– přístupové právo k systému
– přístupové právo ke čtení
GW – přístupové právo k systému generický zápis
GE – generické spuštění
GA – generické vše
RD – čtení dat/seznam adresářů
WD – zápis dat/přidání souboru
AD – přiložení dat/přidání podadresáře
REA – zápis dat/přidání podadresáře číst rozšířené atributy
WEA – zapsat rozšířené atributy
X – spustit/procházet
DC – smazat podřízený adresář
RA – číst atributy
WA – smazat podřízený adresář
WEA – zapsat podřízený adresář

Tady je popis všech možných oprávnění NTFS

Oprávnění Popis

Projít složku/vykonat soubor

Pro složky: Traverse Folder (Procházet složku) umožňuje nebo zakazuje procházet složkami a dostat se k jiným souborům nebo složkám, a to i v případě, že uživatel nemá k procházeným složkám žádná oprávnění. (Platí pouze pro složky.) Funkce Traverzovat složku se projeví pouze tehdy, pokud skupina nebo uživatel nemá v modulu snap-in zásad skupiny přiděleno právo Obcházet kontrolu traverzování uživatele. (Ve výchozím nastavení je skupině Everyone přiděleno právo Obejít kontrolu procházení uživatelů.)

Pro soubory: Spustit soubor povoluje nebo zamítá spouštění programových souborů. (Platí pouze pro soubory).

Nastavení oprávnění Obcházet složku u složky automaticky nenastaví oprávnění Spustit soubor u všech souborů v této složce.

Seznam složek/Číst data

Seznam složek povoluje nebo zakazuje zobrazení názvů souborů a podsložek ve složce. Funkce List Folder ovlivňuje pouze obsah dané složky a nemá vliv na to, zda bude složka, pro kterou nastavujete oprávnění, uvedena v seznamu. (Platí pouze pro složky.)

Číst data povoluje nebo zakazuje zobrazení dat v souborech. (Platí pouze pro soubory.)

Čtení atributů

Povoluje nebo zakazuje zobrazení atributů souboru nebo složky, například jen pro čtení a skryté. Atributy jsou definovány systémem NTFS.

Čtení rozšířených atributů

Povoluje nebo zakazuje zobrazení rozšířených atributů souboru nebo složky. Rozšířené atributy jsou definovány programy a mohou se lišit podle programu.

Vytváření souborů/zápis dat

Vytváření souborů povoluje nebo zakazuje vytváření souborů ve složce. (Platí pouze pro složky).

Zápis dat povoluje nebo zamítá provádění změn v souboru a přepisování stávajícího obsahu. (Platí pouze pro soubory.)

Vytvářet složky/přidávat data

Vytvářet složky umožňuje nebo zamítá vytváření složek v rámci složky. (Platí pouze pro složky.)

Připojit data povoluje nebo zamítá provedení změn na konci souboru, nikoli však změnu, vymazání nebo přepsání stávajících dat. (Platí pouze pro soubory.)

Zápis atributů

Povoluje nebo zamítá změnu atributů souboru nebo složky, například jen pro čtení nebo skryté. Atributy jsou definovány systémem NTFS.

Oprávnění Zápis atributů neznamená vytváření nebo mazání souborů nebo složek, zahrnuje pouze oprávnění provádět změny atributů souboru nebo složky. Chcete-li povolit (nebo zakázat) operace vytváření nebo mazání, viz Vytváření souborů/zápis dat, Vytváření složek/přidávání dat, Mazání podsložek a souborů a Mazání.

Zápis rozšířených atributů

Povoluje nebo zakazuje změnu rozšířených atributů souboru nebo složky. Rozšířené atributy jsou definovány programy a mohou se lišit podle programu.

Oprávnění Zápis rozšířených atributů neznamená vytváření nebo mazání souborů nebo složek, zahrnuje pouze oprávnění provádět změny atributů souboru nebo složky. Chcete-li povolit (nebo zakázat) operace vytváření nebo mazání, viz Vytváření souborů/zápis dat, Vytváření složek/přidávání dat, Mazání podsložek a souborů a Mazání.

Odstranění podsložek a souborů

Povoluje nebo zamítá mazání podsložek a souborů, i když pro podsložku nebo soubor nebylo uděleno oprávnění Odstranit. (Platí pro složky.)

Smazat

Povolí nebo zakáže smazání souboru nebo složky. Pokud k souboru nebo složce nemáte oprávnění Odstranit, můžete ji přesto odstranit, pokud jste získali oprávnění Odstranit podsložky a soubory v nadřazené složce.

Oprávnění ke čtení

Povoluje nebo zamítá oprávnění ke čtení souboru nebo složky, například Plné řízení, čtení a zápis.

Změnit oprávnění

Povoluje nebo zakazuje změnu oprávnění souboru nebo složky, například Plné řízení, Čtení a Zápis.

Převzít vlastnictví

Povoluje nebo zakazuje převzetí vlastnictví souboru nebo složky. Vlastník souboru nebo složky může vždy změnit práva k souboru nebo složce bez ohledu na existující práva, která soubor nebo složku chrání.

Synchronizovat

Povoluje nebo zakazuje různým vláknům čekat na handle souboru nebo složky a synchronizovat se s jiným vláknem, které to může signalizovat. Toto oprávnění se vztahuje pouze na vícevláknové, víceprocesové programy.

Example:
icacls "d:\apps" /grant "domain admins":(OI)(CI)F /inheritance:ricacls "d:\apps" /grant "everyone":(OI)(CI)M /inheritance:r

Na sdíleném profilu by měli mít pouze „správci domény“ povolen vstup do všech „složek, podsložek a souborů“ (proto (OI)(CI):F) , všichni ostatní by měli mít možnost připravit „pouze tuto složku“.
Takže bez kombinace (CI) a/nebo (OI) to znamená „pouze tato složka“


icacls "d:\profiles" /grant "domain admins":(OI)(CI)F /inheritance:ricacls "d:\profiles" /grant "everyone":R /inheritance:r

Při vytvoření nového uživatele by měl správce domény ručně vytvořit profilovou složku pro uživatele a přidat mu příslušná práva.

To samé platí pro sdílení uživatelů obsahující domovské adresáře všech uživatelů


icacls "d:\users" /grant "domain admins":(OI)(CI)F /inheritance:ricacls "d:\users" /grant "everyone":R /inheritance:r

Teď použijte vlastní fantazii 🙂

.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.