icacls (win2k8) scripting voorbeelden
Na cacls, xcacls.vbs, hebben we nu icacls om bestand en map permissies in te stellen.
Hier volgen enkele praktische voorbeelden.
Maak een stel directories
md d:\appsmd d:\profilesmd d:\users
Deel de directories. Let op de offline caching; gebruikers mogen offline caching inschakelen voor hun homedirs, andere directories zijn uitgeschakeld voor offline caching.
net share apps=d:\apps /grant:everyone,FULL /CACHE:Nonenet share profiles=d:\profiles /grant:everyone,FULL /CACHE:Nonenet share users=d:\users /grant:everyone,FULL /CACHE:Manual
Nu gaan we de ntfs-toestemmingen voor de apps share scripten:
– “(OI)(CI):F” betekent Volledige controle “Deze map, submappen en bestanden”
– “(OI)(CI):M” betekent Wijzigen “Deze map, submappen en bestanden”
– “/inheritance:r” betekent Verwijder alle geërfde ACL’s van ouder
(OI) Deze map en bestanden
(CI) Deze map en submappen.
(OI)(CI) Deze map, submappen, en bestanden.
(OI)(CI)(IO) Alleen submappen en bestanden.
(CI)(IO) Alleen submappen.
(OI)(IO) Alleen bestanden.
en de permissie mogelijkheden
perm is een permissie masker en kan gespecificeerd worden in een van de twee vormen:
een opeenvolging van eenvoudige rechten:
N – geen toegang
F – volledige toegang
M – wijzigen toegang
RX – lezen en uitvoeren toegang
R – alleen-lezen toegang
W – alleen-schrijven toegang
D – verwijderen toegang
een door komma’s gescheiden lijst tussen haakjes van specifieke rechten:
DE – verwijderen
RC – leescontrole
WDAC – schrijven DAC
WO – schrijven eigenaar
S – synchroniseren
AS – toegang systeembeveiliging
MA – maximaal toegestaan
GR – generiek lezen
GW – generic write
GE – generic execute
GA – generic all
RD – lezen gegevens/lijst directory
WD – schrijven gegevens/toevoegen bestand
AD – toevoegen gegevens/toevoegen subdirectory
REA – lees uitgebreide attributen
WEA – schrijf uitgebreide attributen
X – uitvoeren/doorzoeken
DC – verwijder kind
RA – lees attributen
WA – schrijf attributen
Hier de beschrijving van alle mogelijke NTFS permissies
| Permission | Description |
|---|---|
|
Traverse Folder/Execute File |
Voor mappen: Doorkruis Map staat toe of ontkent het verplaatsen door mappen om andere bestanden of mappen te bereiken, zelfs als de gebruiker geen rechten heeft voor de doorkruiste mappen. (Geldt alleen voor mappen.) Traverseermap treedt alleen in werking als aan de groep of gebruiker niet het gebruikersrecht Traversecontrole omzeilen is toegekend in de Groepsbeleid-snap-in. (Standaard krijgt de groep Iedereen het gebruikersrecht Traversecontrole omzeilen.) Voor bestanden: Execute File staat het uitvoeren van programmabestanden toe of ontkent het. (Geldt alleen voor bestanden). Het instellen van de Traverse Map permissie op een map stelt niet automatisch de Execute File permissie in op alle bestanden in die map. |
|
Lijst Map/Read Data |
Lijst Map staat het bekijken van bestandsnamen en submapnamen binnen de map toe of staat dit niet toe. Lijst Map heeft alleen invloed op de inhoud van die map en heeft geen invloed op de vraag of de map waarop u de toestemming instelt in de lijst wordt opgenomen. (Geldt alleen voor mappen.) Read Data staat het bekijken van gegevens in bestanden toe of staat dit niet toe. (Geldt alleen voor bestanden.) |
|
Lees Attributen |
Hiermee kunt u de attributen van een bestand of map, zoals alleen-lezen en verborgen, wel of niet bekijken. Attributen worden gedefinieerd door NTFS. |
|
Read Extended Attributes |
Hiermee kunt u de uitgebreide attributen van een bestand of map wel of niet bekijken. Uitgebreide attributen worden door programma’s gedefinieerd en kunnen per programma verschillen. |
|
Bestanden maken/gegevens schrijven |
Bestanden maken staat het maken van bestanden binnen de map toe of staat dit niet toe. (Geldt alleen voor mappen). Write Data staat toe of verbiedt het aanbrengen van wijzigingen in het bestand en het overschrijven van bestaande inhoud. (Geldt alleen voor bestanden.) |
|
Mappen maken/gegevens toevoegen |
Mappen maken staat het maken van mappen binnen de map toe of staat dit niet toe. (Geldt alleen voor mappen.) Append Data staat toe of verbiedt het aanbrengen van wijzigingen aan het einde van het bestand, maar niet het wijzigen, verwijderen of overschrijven van bestaande gegevens. (Alleen van toepassing op bestanden.) |
|
Write Attributes |
Het wijzigen van de attributen van een bestand of map, zoals alleen-lezen of verborgen, wordt toegestaan of geweigerd. Attributen zijn gedefinieerd door NTFS. De Write Attributes permissie impliceert niet het maken of verwijderen van bestanden of mappen, het omvat alleen de permissie om wijzigingen aan te brengen in de attributen van een bestand of map. Om het maken of verwijderen van bestanden toe te staan (of te weigeren), zie Bestanden maken / Gegevens schrijven, Mappen maken / Gegevens toevoegen, submappen en bestanden verwijderen, en Verwijderen. |
|
Write Extended Attributes |
Hiermee kunt u het wijzigen van de uitgebreide attributen van een bestand of map toestaan of weigeren. Uitgebreide attributen worden door programma’s gedefinieerd en kunnen per programma verschillen. De Write Extended Attributes permissie impliceert niet het maken of verwijderen van bestanden of mappen, het omvat alleen de permissie om wijzigingen aan te brengen in de attributen van een bestand of map. Om het maken of verwijderen van bestanden toe te staan (of te weigeren), zie Bestanden maken / Gegevens schrijven, Mappen maken / Gegevens toevoegen, submappen en bestanden verwijderen, en Verwijderen. |
|
Submappen en bestanden verwijderen |
Hiermee kunt u het verwijderen van submappen en bestanden toestaan of weigeren, zelfs als de toestemming Verwijderen niet is verleend voor de submap of het bestand. (Geldt voor mappen.) |
|
Delete |
Hiermee kunt u het verwijderen van het bestand of de map toestaan of weigeren. Als u geen toestemming hebt om een bestand of map te verwijderen, kunt u het bestand of de map toch verwijderen als u in de bovenliggende map toestemming hebt gekregen om submappen en bestanden te verwijderen. |
|
Leesrechten |
Hiermee worden leesrechten voor het bestand of de map toegestaan of geweigerd, zoals Volledige controle, Lezen, en Schrijven. |
|
Machtigingen wijzigen |
Hiermee kunt u de machtigingen voor het bestand of de map wijzigen, zoals Volledige controle, Lezen en Schrijven |
|
Eigendom nemen |
Hiermee kunt u het eigendom van het bestand of de map overnemen of niet. De eigenaar van een bestand of map kan altijd de rechten erop wijzigen, ongeacht bestaande rechten die het bestand of de map beschermen. |
|
Synchroniseren |
Staat toe of ontkent dat verschillende threads wachten op de handle voor het bestand of de map en synchroniseren met een andere thread die het kan signaleren. Deze toestemming geldt alleen voor programma’s met meerdere threads en meerdere processen. |
Example:
icacls "d:\apps" /grant "domain admins":(OI)(CI)F /inheritance:ricacls "d:\apps" /grant "everyone":(OI)(CI)M /inheritance:r
Op de gedeelde profielen zouden alleen de “domain admins” toegang mogen hebben tot alle “mappen, submappen en bestanden” (vandaar de (OI)(CI):F) , alle anderen zouden alleen toegang mogen hebben tot “deze map”.
Dus zonder een combinatie van (CI) en/of (OI) betekent dit “alleen deze map”
icacls "d:\profiles" /grant "domain admins":(OI)(CI)F /inheritance:ricacls "d:\profiles" /grant "everyone":R /inheritance:r
Als een nieuwe gebruiker wordt aangemaakt, moet de domeinbeheerder handmatig een profielmap voor de gebruiker aanmaken en de gebruiker de juiste rechten geven.
Hetzelfde geldt voor de gebruikersdeling die de homedirectories van alle gebruikers bevat
icacls "d:\users" /grant "domain admins":(OI)(CI)F /inheritance:ricacls "d:\users" /grant "everyone":R /inheritance:r
Gebruik nu uw eigen fantasie 🙂