icacls (win2k8) scripting examples
A cacls, xcacls.vbs után most itt van az icacls a fájl- és mappaengedélyek beállítására.
Íme néhány gyakorlati példa.
Elkészítünk egy csomó könyvtárat
md d:\appsmd d:\profilesmd d:\users
Megosztjuk a könyvtárakat. Figyeljük meg az offline gyorsítótárazást; a felhasználók engedélyezhetik az offline gyorsítótárazást a kezdeti könyvtárukhoz, a többi könyvtárat letiltják az offline gyorsítótárazásra.
net share apps=d:\apps /grant:everyone,FULL /CACHE:Nonenet share profiles=d:\profiles /grant:everyone,FULL /CACHE:Nonenet share users=d:\users /grant:everyone,FULL /CACHE:Manual
Most scripteljük az alkalmazások megosztásának ntfs engedélyeit:
– “(OI)(CI):F” azt jelenti, hogy teljes hozzáférés “Ez a mappa, almappák és fájlok”
– “(OI)(CI):M” azt jelenti: Modify “This Folder, Subfolders and files”
– “/inheritance:r” azt jelenti: remove all inherited ACL’s from parent
(OI) This folder and files
(CI) This folder and subfolders.
(OI)(CI) Ez a mappa, almappák és fájlok.
(OI)(CI)(IO) Csak almappák és fájlok.
(CI)(IO) Csak almappák.
(OI)(IO) Csak fájlok.
és az engedélyezési lehetőségek
A perm egy engedélyezési maszk, és kétféle formában adható meg:
egyszerű jogok sorozata:
N – nincs hozzáférés
F – teljes hozzáférés
M – módosítási hozzáférés
RX – olvasási és végrehajtási hozzáférés
R – csak olvasási hozzáférés
W – csak írási hozzáférés
D – törlési hozzáférés
egy zárójelben lévő, vesszővel elválasztott lista a konkrét jogokról:
DE – delete
RC – read control
WDAC – write DAC
WO – write owner
S – synchronize
AS – access system security
MA – maximum allowed
GR – generic read
GW – általános olvasás
GW- generikus írás
GE – generikus végrehajtás
GA – generikus minden
RD – adatok olvasása/könyvtár listázása
WD – adatok írása/fájl hozzáadása
AD – adatok hozzáadása/alkönyvtár hozzáadása
REA – adatok beillesztése/alkönyvtár hozzáadása
REA- kiterjesztett attribútumok olvasása
WEA – kiterjesztett attribútumok írása
X – végrehajtás/traverz
DC – gyermek törlése
RA – attribútumok olvasása
WA – kiterjesztett attribútumok írása
WA – kiterjesztett attribútumok olvasása
WEA – kiterjesztett attribútumok írása write attributes
Itt az összes lehetséges NTFS jogosultság leírása
| Permission | Description |
|---|---|
|
Traverse Folder/Execute File |
Mappák esetében: A Mappa áthaladása lehetővé teszi vagy megtagadja a mappákon való áthaladást más fájlok vagy mappák elérése érdekében, még akkor is, ha a felhasználónak nincs jogosultsága az áthaladó mappákhoz. (Csak mappákra vonatkozik.) A Mappa áthaladása csak akkor lép életbe, ha a csoport vagy a felhasználó nem rendelkezik a Csoportházirend beépülő modulban a Felhasználó áthaladás ellenőrzésének megkerülése joggal. (Alapértelmezés szerint a Mindenki csoport kapja meg a Bypass traverse checking user jogot.) Fájlok esetében: Execute File engedélyezi vagy megtagadja a programfájlok futtatását. (Csak fájlokra vonatkozik.) A Mappa átfutása engedély beállítása egy mappára nem állítja be automatikusan a Fájl végrehajtása engedélyt a mappán belüli összes fájlra. |
|
Mappa listázása/adatok olvasása |
Mappa listázása engedélyezi vagy megtagadja a mappán belüli fájlnevek és almappák nevének megtekintését. A Mappa listázása csak az adott mappa tartalmát érinti, és nem befolyásolja, hogy az a mappa, amelyre az engedélyt beállítja, szerepel-e a listában. (Csak mappákra vonatkozik.) Adatok olvasása engedélyezi vagy megtagadja a fájlok adatainak megtekintését. (Csak fájlokra vonatkozik.) |
|
Attribútumok olvasása |
Engedélyezi vagy megtagadja egy fájl vagy mappa attribútumainak megtekintését, például a csak olvasható és rejtett. Az attribútumokat az NTFS határozza meg. |
|
Read Extended Attributes |
Engedélyezi vagy megtagadja egy fájl vagy mappa kiterjesztett attribútumainak megtekintését. A kiterjesztett attribútumokat a programok határozzák meg, és programonként változhatnak. |
|
Fájlok létrehozása/adatok írása |
Fájlok létrehozása engedélyezi vagy megtagadja a mappán belüli fájlok létrehozását. (Csak mappákra vonatkozik.) Adatok írása engedélyezi vagy megtagadja a fájl módosítását és a meglévő tartalom felülírását. (Csak fájlokra vonatkozik.) |
|
Mappák létrehozása/adatok hozzáadása |
Mappák létrehozása engedélyezi vagy megtagadja a mappán belüli mappák létrehozását. (Csak mappákra vonatkozik.) Adatok hozzáadása engedélyezi vagy megtagadja a fájl végének módosítását, de nem módosítja, nem törli és nem írja felül a meglévő adatokat. (Csak fájlokra vonatkozik.) |
|
Attribútumok írása |
Engedélyezi vagy megtagadja a fájl vagy mappa attribútumainak módosítását, például csak olvasható vagy rejtett. Az attribútumokat az NTFS határozza meg. Az Attribútumok írása engedély nem jelenti fájlok vagy mappák létrehozását vagy törlését, csak a fájl vagy mappa attribútumainak módosítására vonatkozó engedélyt tartalmazza. A létrehozási vagy törlési műveletek engedélyezéséhez (vagy megtagadásához) lásd: Fájlok létrehozása/adatok írása, Mappák létrehozása/adatok hozzáadása, Almappák és fájlok törlése és Törlés. |
|
Bővített attribútumok írása |
Engedélyezi vagy megtagadja egy fájl vagy mappa bővített attribútumainak módosítását. A kiterjesztett attribútumokat a programok határozzák meg, és programonként változhatnak. A Kiterjesztett attribútumok írása engedély nem jelenti fájlok vagy mappák létrehozását vagy törlését, csak a fájl vagy mappa attribútumainak módosítására vonatkozó engedélyt tartalmazza. A létrehozási vagy törlési műveletek engedélyezéséhez (vagy megtagadásához) lásd: Fájlok létrehozása/adatok írása, Mappák létrehozása/adatok hozzáadása, Almappák és fájlok törlése és Törlés. |
|
Almappák és fájlok törlése |
Almappák és fájlok törlésének engedélyezése vagy megtagadása, még akkor is, ha az almappára vagy fájlra nem adták meg a Törlés engedélyt. (Mappákra vonatkozik.) |
|
Törlés |
Engedélyezi vagy megtagadja a fájl vagy mappa törlését. Ha nincs törlési jogosultsága egy fájlhoz vagy mappához, akkor is törölheti azt, ha a szülőmappán megkapta az Almappák és fájlok törlése engedélyt. |
|
Olvasási engedélyek |
Engedélyezi vagy megtagadja a fájl vagy mappa olvasási engedélyeit, például a Teljes ellenőrzés, olvasás és írás. |
|
Engedélyek módosítása |
Engedélyezi vagy megtagadja a fájl vagy mappa engedélyeinek módosítását, például Teljes hozzáférés, Olvasás és Írás. |
|
Tulajdonba vétel |
Engedélyezi vagy megtagadja a fájl vagy mappa tulajdonjogának átvételét. A fájl vagy mappa tulajdonosa mindig megváltoztathatja a rajta lévő jogosultságokat, függetlenül a fájlt vagy mappát védő meglévő jogosultságoktól. |
|
Szinkronizálás |
Engedélyezi vagy megtagadja, hogy különböző szálak várakozzanak a fájl vagy mappa fogantyújára, és szinkronizáljanak egy másik, azt esetleg jelző szálzal. Ez a jogosultság csak többszálú, többfolyamatos programokra vonatkozik. |
Example:
icacls "d:\apps" /grant "domain admins":(OI)(CI)F /inheritance:ricacls "d:\apps" /grant "everyone":(OI)(CI)M /inheritance:r
A profilok megosztásán csak a “domain adminok” léphetnek be az összes “mappába, almappába és fájlba” (innen az (OI)(CI):F) , mindenki másnak csak “ezt a mappát” kell tudni készíteni.
A (CI) és/vagy (OI) kombináció nélkül tehát “csak ezt a mappát”
icacls "d:\profiles" /grant "domain admins":(OI)(CI)F /inheritance:ricacls "d:\profiles" /grant "everyone":R /inheritance:r
Új felhasználó létrehozásakor a tartományi rendszergazdának manuálisan létre kell hoznia egy profilmappát a felhasználó számára, és hozzá kell adnia a felhasználót a megfelelő jogokkal.
Az összes felhasználó főkönyvtárát tartalmazó felhasználói megosztásra ugyanez vonatkozik
icacls "d:\users" /grant "domain admins":(OI)(CI)F /inheritance:ricacls "d:\users" /grant "everyone":R /inheritance:r
Most használd a saját fantáziádat 🙂
.