icacls (win2k8) scripting examples

marras 23, 2021
admin

Cacls:n ja xcacls.vbs:n jälkeen meillä on nyt icacls tiedostojen ja kansioiden käyttöoikeuksien asettamiseen.

Tässä muutamia käytännön esimerkkejä.

Luo joukko hakemistoja


md d:\appsmd d:\profilesmd d:\users

Jaa hakemistot. Huomaa offline-välimuistiinpano; käyttäjät saavat ottaa offline-välimuistiinpanon käyttöön kotihakemistoissaan, muissa hakemistoissa offline-välimuistiinpano on poistettu käytöstä.


net share apps=d:\apps /grant:everyone,FULL /CACHE:Nonenet share profiles=d:\profiles /grant:everyone,FULL /CACHE:Nonenet share users=d:\users /grant:everyone,FULL /CACHE:Manual

Skriptataan nyt ntfs-oikeudet sovellusten jakoon:
– ”(OI)(CI):F” tarkoittaa täyttä hallintaa ”This Folder, Subfolders and files”
– ”(OI)(CI):M” tarkoittaa Modify ”This Folder, Subfolders and files”
– ”/inheritance:r” tarkoittaa poista kaikki vanhemmalta perityt ACL:t

(OI) This folder and files
(CI) This folder and subfolders.
(OI)(CI) Tämä kansio, alikansiot ja tiedostot.
(OI)(CI)(IO) Vain alikansiot ja tiedostot.
(CI)(IO) Vain alikansiot.
(OI)(IO) Vain tiedostot.

ja käyttöoikeusmahdollisuudet

perm on käyttöoikeusmaski, ja se voidaan määritellä kahdessa muodossa:
sarja yksinkertaisia oikeuksia:
N – ei käyttöoikeutta
F – täysi käyttöoikeus
M – muokkausoikeus
RX – luku- ja suoritusoikeus
R – pelkkä lukuoikeus
W – pelkkä kirjoitusoikeus
D – poisto-oikeus
sulkeissa oleva pilkulla erotettu luettelo erityisoikeuksista:
DE – delete
RC – read control
WDAC – write DAC
WO – write owner
S – synchronize
AS – access system security
MA – maximum allowed
GR – generic read
GW – generic read
GW – system security
MA – maximum allowed
GR – generic read
GW- generic write
GE – generic execute
GA – generic all
RD – read data/list directory
WD – write data/add file
AD – append data/add subdirectory
REA – append data/add subdirectory
REA – lue laajennetut attribuutit
WEA – kirjoita laajennetut attribuutit
X – suorita/kierrä
DC – poista lapsi
RA – lue attribuutit
WA – poista lapsi
RA – lue attribuutit
WA – write attributes

Tässä kaikkien mahdollisten NTFS-oikeuksien kuvaus

Permission Description

Traverse Folder/Execute File

Kansioiden osalta: Traverse Folder sallii tai estää siirtymisen kansioiden läpi päästäksesi muihin tiedostoihin tai kansioihin, vaikka käyttäjällä ei olisikaan oikeuksia läpikäytäviin kansioihin. (Koskee vain kansioita.) Kansioiden läpikäynti tulee voimaan vain silloin, kun ryhmälle tai käyttäjälle ei ole myönnetty Ryhmäkäytäntö-laajennuksen Käyttäjän läpikäynnin tarkistuksen ohittaminen -oikeutta. (Oletusarvoisesti Kaikki-ryhmälle annetaan Bypass traverse checking user -oikeus.)

Tiedostoille: Execute File sallii tai estää ohjelmatiedostojen suorittamisen. (Koskee vain tiedostoja.)

Kansioiden läpikäyntioikeuden asettaminen kansiolle ei automaattisesti aseta Suorita tiedosto -oikeutta kaikille kyseisessä kansiossa oleville tiedostoille.

Luettelo kansioista/Lue tietoja

Luettelo kansioista sallii tai kieltää kansiossa olevien tiedostojen ja alikansioiden nimien tarkastelun. List Folder vaikuttaa vain kyseisen kansion sisältöön eikä vaikuta siihen, listataanko kansio, jolle asetat käyttöoikeuden. (Koskee vain kansioita.)

Read Data sallii tai kieltää tiedostojen tietojen katselun. (Koskee vain tiedostoja.)

Read Attributes (Lue attribuutit)

Sallii tai kieltää tiedoston tai kansion attribuuttien, kuten vain luku ja piilotettu, tarkastelun. Attribuutit ovat NTFS:n määrittelemiä.

Lue laajennetut attribuutit

Sallii tai estää tiedoston tai kansion laajennettujen attribuuttien tarkastelun. Laajennetut attribuutit ovat ohjelmien määrittelemiä, ja ne voivat vaihdella ohjelmittain.

Tiedostojen luominen/tietojen kirjoittaminen

Tiedostojen luominen sallii tai kieltää tiedostojen luomisen kansioon. (Koskee vain kansioita).

Write Data sallii tai kieltää muutosten tekemisen tiedostoon ja olemassa olevan sisällön ylikirjoittamisen. (Koskee vain tiedostoja.)

Luo kansioita/lisää tietoja

Luo kansioita sallii tai kieltää kansioiden luomisen kansion sisällä. (Koskee vain kansioita.)

Append Data sallii tai kieltää muutosten tekemisen tiedoston loppuun, mutta ei olemassa olevien tietojen muuttamisen, poistamisen tai ylikirjoittamisen. (Koskee vain tiedostoja.)

Kirjoita attribuutit

Sallii tai kieltää tiedoston tai kansion attribuuttien muuttamisen, kuten vain lukuoikeus tai piilotettu. Attribuutit ovat NTFS:n määrittelemiä.

Kirjoita attribuutit -oikeus ei tarkoita tiedostojen tai kansioiden luomista tai poistamista, vaan se sisältää vain oikeuden tehdä muutoksia tiedoston tai kansion attribuutteihin. Jos haluat sallia (tai kieltää) luonti- tai poistotoiminnot, katso Luo tiedostoja/kirjoita tietoja, Luo kansioita/liitä tietoja, Poista alikansioita ja tiedostoja ja Poista.

Kirjoita laajennetut attribuutit

Sallii tai estää tiedoston tai kansion laajennettujen attribuuttien muuttamisen. Laajennetut attribuutit ovat ohjelmien määrittelemiä, ja ne voivat vaihdella ohjelmittain.

Kirjoita laajennetut attribuutit -oikeus ei tarkoita tiedostojen tai kansioiden luomista tai poistamista, vaan se sisältää vain oikeuden tehdä muutoksia tiedoston tai kansion attribuutteihin. Luomisen tai poistamisen sallimiseksi (tai kieltämiseksi) katso Luo tiedostoja/kirjoita tietoja, Luo kansioita/liitä tietoja, Poista alikansioita ja tiedostoja ja Poista.

Alikansioiden ja tiedostojen poistaminen

Sallii tai estää alikansioiden ja tiedostojen poistamisen, vaikka alikansiolle tai tiedostolle ei olisi annettu Poista-oikeutta. (Koskee kansioita.)

Poista

Sallii tai estää tiedoston tai kansion poistamisen. Jos sinulla ei ole Poista-oikeutta tiedostoon tai kansioon, voit silti poistaa sen, jos sinulle on myönnetty Poista alikansiot ja tiedostot vanhemman kansion Poista alikansiot ja tiedostot -oikeus.

Lukuoikeudet

Sallii tai kieltää tiedoston tai kansion lukemisoikeudet, kuten täysi hallinta, lukeminen ja kirjoittaminen.

Change Permissions (Muuta käyttöoikeuksia)

Sallii tai kieltää tiedoston tai kansion käyttöoikeuksien muuttamisen, kuten Full Control (Täysi hallinta), Read (Lukeminen) ja Write (Kirjoittaminen).

Take Ownership (Ota omistusoikeus haltuun)

Mahdollistaa tai kieltää omistusoikeuden haltuunoton tiedostoon tai kansioon. Tiedoston tai kansion omistaja voi aina muuttaa tiedoston tai kansion käyttöoikeuksia riippumatta tiedostoa tai kansiota suojaavista olemassa olevista käyttöoikeuksista.

Synkronoi

Sallii tai kieltää eri säikeiden odottelun tiedoston tai kansion kahvasta ja synkronoinnin jonkin toisen säikeen kanssa, joka voi signaloida siitä. Tämä oikeus koskee vain monisäikeisiä, usean prosessin ohjelmia.

Example:
icacls "d:\apps" /grant "domain admins":(OI)(CI)F /inheritance:ricacls "d:\apps" /grant "everyone":(OI)(CI)M /inheritance:r

Profiilien jakoon vain ”toimialueen ylläpitäjillä” pitäisi olla oikeus päästä kaikkiin ”Kansioihin, alikansioihin ja tiedostoihin” (siksi (OI)(CI):F) , kaikkien muiden pitäisi pystyä valmistelemaan ”vain tämä kansio”.
Siten ilman (CI) ja/tai (OI) yhdistelmää se tarkoittaa ”vain tätä kansiota”


icacls "d:\profiles" /grant "domain admins":(OI)(CI)F /inheritance:ricacls "d:\profiles" /grant "everyone":R /inheritance:r

Uutta käyttäjää luotaessa toimialueen ylläpitäjän pitäisi manuaalisesti luoda käyttäjälle profiilikansio ja lisätä käyttäjälle asianmukaiset oikeudet.

Sama pätee myös käyttäjien jakoon, joka sisältää kaikkien käyttäjien kotihakemistot


icacls "d:\users" /grant "domain admins":(OI)(CI)F /inheritance:ricacls "d:\users" /grant "everyone":R /inheritance:r

Käyttäkää nyt omaa mielikuvitustanne 🙂

Vastaa

Sähköpostiosoitettasi ei julkaista.