Ejemplos de scripts icacls (win2k8)
Después de cacls, xcacls.vbs, ahora tenemos icacls para establecer los permisos de archivos y carpetas.
Aquí hay algunos ejemplos prácticos.
Crea un montón de directorios
md d:\appsmd d:\profilesmd d:\users
Comparte los directorios. Tenga en cuenta el almacenamiento en caché fuera de línea; los usuarios pueden habilitar el almacenamiento en caché fuera de línea para sus archivos de origen, otros directorios están deshabilitados para el almacenamiento en caché fuera de línea.
net share apps=d:\apps /grant:everyone,FULL /CACHE:Nonenet share profiles=d:\profiles /grant:everyone,FULL /CACHE:Nonenet share users=d:\users /grant:everyone,FULL /CACHE:Manual
Ahora vamos a escribir los permisos ntfs para el recurso compartido de aplicaciones:
– «(OI)(CI):F» significa Control Total «Esta Carpeta, Subcarpetas y archivos»
– «(OI)(CI):M» significa Modificar «Esta Carpeta, Subcarpetas y archivos»
– «/inheritance:r» significa eliminar todas las ACL’s heredadas del padre
(OI) Esta carpeta y archivos
(CI) Esta carpeta y subcarpetas.
(OI)(CI) Esta carpeta, subcarpetas y archivos.
(OI)(CI)(IO) Sólo subcarpetas y archivos.
(CI)(IO) Sólo subcarpetas.
(OI)(IO) Sólo archivos.
y las posibilidades de permiso
perm es una máscara de permiso y puede especificarse en una de las dos formas:
una secuencia de derechos simples:
N – sin acceso
F – acceso completo
M – acceso de modificación
RX – acceso de lectura y ejecución
R – acceso de sólo lectura
W – acceso de sólo escritura
D – acceso de eliminación
una lista separada por comas entre paréntesis de derechos específicos:
DE – borrar
RC – control de lectura
WDAC – escribir DAC
WO – escribir propietario
S – sincronizar
AS – acceder a la seguridad del sistema
MA – máximo permitido
GR – lectura genérica
GW – escritura genérica
GE – ejecución genérica
GA – genérico todo
RD – leer datos/listar directorio
WD – escribir datos/añadir archivo
AD – añadir datos/añadir subdirectorio
REA – leer atributos extendidos
WEA – escribir atributos extendidos
X – ejecutar/recorrer
DC – borrar hijo
RA – leer atributos
WA – escribir atributos
Aquí la descripción de todos los posibles permisos NTFS
Permiso | Descripción |
---|---|
Atravesar Carpeta/Ejecutar Archivo |
Para carpetas: Traverse Folder permite o deniega moverse a través de carpetas para llegar a otros archivos o carpetas, incluso si el usuario no tiene permisos para las carpetas atravesadas. (Sólo se aplica a las carpetas.) La carpeta transversal sólo tiene efecto cuando el grupo o el usuario no tiene concedido el derecho de usuario de comprobación transversal en el complemento de la directiva de grupo. (De forma predeterminada, el grupo Todos recibe el derecho de usuario de comprobación transversal de omisión): Ejecutar archivo permite o deniega la ejecución de archivos de programa. (Se aplica sólo a los archivos). El establecimiento del permiso Traverse Folder en una carpeta no establece automáticamente el permiso Execute File en todos los archivos dentro de esa carpeta. |
List Folder/Read Data |
List Folder permite o niega la visualización de los nombres de los archivos y los nombres de las subcarpetas dentro de la carpeta. Listar Carpeta sólo afecta al contenido de esa carpeta y no afecta a si la carpeta en la que se está estableciendo el permiso aparecerá en la lista. (Sólo se aplica a las carpetas.) Leer datos permite o deniega la visualización de los datos de los archivos. (Se aplica sólo a los archivos.) |
Leer Atributos |
Permite o deniega la visualización de los atributos de un archivo o carpeta, como los de sólo lectura y los ocultos. Los atributos son definidos por NTFS. |
Leer atributos extendidos |
Permite o niega la visualización de los atributos extendidos de un archivo o carpeta. Los atributos extendidos son definidos por los programas y pueden variar según el programa. |
Crear archivos/escribir datos |
Crear archivos permite o niega la creación de archivos dentro de la carpeta. (Sólo se aplica a las carpetas). Escribir datos permite o deniega la realización de cambios en el archivo y la sobrescritura del contenido existente. (Se aplica sólo a los archivos.) |
Crear carpetas/Añadir datos |
Crear carpetas permite o deniega la creación de carpetas dentro de la carpeta. (Sólo se aplica a las carpetas.) Añadir datos permite o deniega la realización de cambios al final del archivo, pero no la modificación, eliminación o sobrescritura de los datos existentes. (Sólo se aplica a los archivos.) |
Escribir atributos |
Permite o deniega el cambio de los atributos de un archivo o carpeta, como los de sólo lectura u oculto. Los atributos son definidos por NTFS. El permiso de Atributos de Escritura no implica la creación o eliminación de archivos o carpetas, sólo incluye el permiso para realizar cambios en los atributos de un archivo o carpeta. Para permitir (o denegar) las operaciones de creación o eliminación, consulte Crear archivos/escribir datos, Crear carpetas/añadir datos, Eliminar subcarpetas y archivos y Eliminar. |
Escribir atributos extendidos |
Permite o deniega el cambio de los atributos extendidos de un archivo o carpeta. Los atributos extendidos son definidos por los programas y pueden variar según el programa. El permiso de escritura de atributos extendidos no implica la creación o eliminación de archivos o carpetas, sólo incluye el permiso para realizar cambios en los atributos de un archivo o carpeta. Para permitir (o denegar) las operaciones de creación o eliminación, consulte Crear archivos/escribir datos, Crear carpetas/añadir datos, Eliminar subcarpetas y archivos y Eliminar. |
Eliminar subcarpetas y archivos |
Permite o deniega la eliminación de subcarpetas y archivos, aunque no se haya concedido el permiso Eliminar en la subcarpeta o archivo. (Se aplica a las carpetas.) |
Eliminar |
Permite o deniega la eliminación del archivo o carpeta. Si no tiene permiso de Eliminación en un archivo o carpeta, aún puede eliminarlo si se le ha concedido Eliminar subcarpetas y archivos en la carpeta principal. |
Permisos de lectura |
Permite o deniega los permisos de lectura del archivo o carpeta, como Control total, Lectura y Escritura. |
Cambiar permisos |
Permite o deniega el cambio de permisos del archivo o carpeta, como Control total, Lectura y Escritura. |
Tomar propiedad |
Permite o deniega tomar propiedad del archivo o carpeta. El propietario de un archivo o carpeta siempre puede cambiar los permisos sobre él, independientemente de cualquier permiso existente que proteja el archivo o la carpeta. |
Sincronizar |
Permite o deniega que diferentes hilos esperen en el manejador del archivo o la carpeta y se sincronicen con otro hilo que pueda señalarlo. Este permiso sólo se aplica a los programas multihilo y multiproceso. |
Example:
icacls "d:\apps" /grant "domain admins":(OI)(CI)F /inheritance:ricacls "d:\apps" /grant "everyone":(OI)(CI)M /inheritance:r
En el recurso compartido de los perfiles, sólo los «administradores del dominio» deberían poder entrar en todas las «Carpetas, Subcarpetas y archivos» (de ahí el (OI)(CI):F) , todos los demás deberían poder preparar «sólo esta carpeta».
Así que sin una combinación de (CI) y/o (OI) significa «esta carpeta solamente»
icacls "d:\profiles" /grant "domain admins":(OI)(CI)F /inheritance:ricacls "d:\profiles" /grant "everyone":R /inheritance:r
Al crear un nuevo usuario, el administrador del dominio debe crear manualmente una carpeta de perfil para el usuario y añadir el usuario con los derechos apropiados.
Lo mismo ocurre con el recurso compartido de usuarios que contiene los directorios de origen de todos los usuarios
icacls "d:\users" /grant "domain admins":(OI)(CI)F /inheritance:ricacls "d:\users" /grant "everyone":R /inheritance:r
Ahora use su propia imaginación 🙂