icacls (win2k8) scripting examples
Efter cacls, xcacls.vbs, har vi nu icacls til at indstille tilladelser til filer og mapper.
Her er nogle praktiske eksempler:
Opret en masse mapper
md d:\appsmd d:\profilesmd d:\users
Deler er nogle mapper. Bemærk offline caching; brugere har lov til at aktivere offline caching for deres homedirs, andre mapper er deaktiveret for offline caching.
net share apps=d:\apps /grant:everyone,FULL /CACHE:Nonenet share profiles=d:\profiles /grant:everyone,FULL /CACHE:Nonenet share users=d:\users /grant:everyone,FULL /CACHE:Manual
Nu skal vi skrive ntfs-tilladelserne for apps share:
– “(OI)(CI):F” betyder fuld kontrol “Denne mappe, undermapper og filer”
– “(OI)(CI):M” betyder Ændre “Denne mappe, undermapper og filer”
– “/inheritance:r” betyder fjerne alle arvede ACL’er fra overordnet
(OI) Denne mappe og filer
(CI) Denne mappe og undermapper.
(OI)(CI) Denne mappe, undermapper og filer.
(OI)(CI)(IO) Kun undermapper og filer.
(CI)(IO) Kun undermapper.
(OI)(IO) Kun filer.
og tilladelsesmulighederne
perm er en tilladelsesmaske og kan angives i en af to former:
en sekvens af simple rettigheder:
N – ingen adgang
F – fuld adgang
M – adgang til at ændre
M – adgang til at læse og udføre
RX – adgang til at læse og udføre
R – skriveadgang
W – skriveadgang
D – sletteadgang
en kommasepareret liste i parentes over specifikke rettigheder:
DE – slet
RC – læsekontrol
WDAC – skrive DAC
WO – skrive ejer
S – synkronisere
AS – adgang til systemsikkerhed
MA – maksimalt tilladt
GR – generisk læsning
GW – adgangsrettigheder
GW – adgang til en generisk skrivning
GE – generisk udførelse
GA – generisk alle
RD – læser data/listemappe
WD – skriver data/tilføjer fil
AD – vedhæfter data/tilføjer undermappe
REA – læser data/tilføjer undermappe læse udvidede attributter
WEA – skrive udvidede attributter
X – udføre/gennemse
DC – slette underordnede
RA – læse attributter
WA – slette underordnede
RA – læse attributter skrive attributter
Her er beskrivelsen af alle de mulige NTFS-tilladelser
| Permission | Beskrivelse |
|---|---|
|
Gennemse mappe/udføre fil |
For mapper: Traverse Folder tillader eller nægter at bevæge sig gennem mapper for at nå andre filer eller mapper, selv om brugeren ikke har nogen tilladelser til de mapper, der gennemløbes. (Gælder kun mapper.) Traverse mappe har kun virkning, når gruppen eller brugeren ikke har fået tildelt brugerretten Bypass traverse checking user right i snap-in’en Group Policy. (Som standard har gruppen Alle fået brugerretten Bypass traverse checking user right.) For filer: Execute File tillader eller nægter kørsel af programfiler. (Gælder kun for filer). Sætningen af tilladelsen Gennemse mappe på en mappe sætter ikke automatisk tilladelsen Udfør fil på alle filer i den pågældende mappe. |
|
Liste mappe/læse data |
Liste mappe tillader eller nægter visning af filnavne og undermappenavne i mappen. List Folder påvirker kun indholdet af den pågældende mappe og påvirker ikke, om den mappe, som du indstiller tilladelsen til, vil blive vist på listen. (Gælder kun mapper.) Læse data tillader eller nægter visning af data i filer. (Gælder kun for filer.) |
|
Læs attributter |
Tillader eller afviser visning af attributterne for en fil eller mappe, f.eks. skrivebeskyttet og skjult. Attributterne er defineret af NTFS. |
|
Læs udvidede attributter |
Tillader eller afviser visning af de udvidede attributter for en fil eller mappe. Udvidede attributter er defineret af programmer og kan variere fra program til program. |
|
Opret filer/skriv data |
Opret filer tillader eller afviser oprettelse af filer i mappen. (Gælder kun mapper). Write Data tillader eller afviser at foretage ændringer i filen og overskrive eksisterende indhold. (Gælder kun for filer.) |
|
Opret mapper/tilføj data |
Opret mapper tillader eller afviser oprettelse af mapper i mappen. (Gælder kun for mapper.) Tilføj data tillader eller afviser at foretage ændringer i slutningen af filen, men ikke at ændre, slette eller overskrive eksisterende data. (Gælder kun filer.) |
|
Skriv attributter |
Tillader eller afviser at ændre attributterne for en fil eller mappe, f.eks. skrivebeskyttet eller skjult. Attributter er defineret af NTFS. Tilladelsen Skriv attributter indebærer ikke oprettelse eller sletning af filer eller mapper, den omfatter kun tilladelsen til at foretage ændringer af attributterne for en fil eller mappe. For at tillade (eller nægte) oprettelses- eller sletningsoperationer skal du se Opret filer/skriv data, Opret mapper/tilføj data, Slet undermapper og filer og Slet. |
|
Skriv udvidede attributter |
Tillader eller afviser at ændre de udvidede attributter for en fil eller mappe. Udvidede attributter defineres af programmer og kan variere fra program til program. Tilladelsen Skriv udvidede attributter indebærer ikke oprettelse eller sletning af filer eller mapper, den omfatter kun tilladelse til at foretage ændringer af attributterne for en fil eller mappe. For at tillade (eller nægte) oprettelses- eller sletningsoperationer skal du se Opret filer/skriv data, Opret mapper/tilføj data, Slet undermapper og filer og Slet. |
|
Slet undermapper og filer |
Tillader eller afviser sletning af undermapper og filer, selv om tilladelsen Slet ikke er givet på undermappen eller filen. (Gælder for mapper.) |
|
Slet |
Tillader eller afviser sletning af filen eller mappen. Hvis du ikke har tilladelse til at slette en fil eller mappe, kan du stadig slette den, hvis du har fået tilladelse til at slette undermapper og filer i den overordnede mappe. |
|
Læsetilladelser |
Tillader eller afviser læsetilladelser til filen eller mappen, f.eks. fuld kontrol, læsning og skrivning. |
|
Ændre tilladelser |
Tillader eller afviser at ændre tilladelser til filen eller mappen, f.eks. fuld kontrol, læse og skrive. |
|
Overtage ejerskab |
Tillader eller afviser at overtage ejerskab af filen eller mappen. Ejeren af en fil eller mappe kan altid ændre tilladelser til den, uanset eventuelle eksisterende tilladelser, der beskytter filen eller mappen. |
|
Synkroniser |
Tillader eller afviser, at forskellige tråde kan vente på håndtaget for filen eller mappen og synkronisere med en anden tråd, der kan signalere den. Denne tilladelse gælder kun for programmer med flere tråde og flere processer. |
Example:
icacls "d:\apps" /grant "domain admins":(OI)(CI)F /inheritance:ricacls "d:\apps" /grant "everyone":(OI)(CI)M /inheritance:r
På delingen af profiler skal kun “domæneadministratorer” have lov til at gå ind i alle “Mapper, undermapper og filer” (deraf (OI)(CI):F) , alle andre skal kun kunne være klar til “kun denne mappe”.
Så uden en kombination af (CI) og/eller (OI) betyder det “kun denne mappe”
icacls "d:\profiles" /grant "domain admins":(OI)(CI)F /inheritance:ricacls "d:\profiles" /grant "everyone":R /inheritance:r
Når en ny bruger oprettes, skal domæneadministratoren manuelt oprette en profilmappe for brugeren og tilføje brugeren med de relevante rettigheder.
Det samme gælder for brugernes share, der indeholder alle brugernes homedirectories
icacls "d:\users" /grant "domain admins":(OI)(CI)F /inheritance:ricacls "d:\users" /grant "everyone":R /inheritance:r
Nu må du bruge din egen fantasi 🙂