icacls (win2k8) przykłady skryptów
Po cacls, xcacls.vbs, teraz mamy icacls do ustawiania uprawnień do plików i folderów.
Oto kilka praktycznych przykładów.
Utwórz kilka katalogów
md d:\appsmd d:\profilesmd d:\users
Wspólne korzystanie z katalogów. Zwróć uwagę na buforowanie offline; użytkownicy mogą włączyć buforowanie offline dla swoich katalogów domowych, inne katalogi są wyłączone dla buforowania offline.
net share apps=d:\apps /grant:everyone,FULL /CACHE:Nonenet share profiles=d:\profiles /grant:everyone,FULL /CACHE:Nonenet share users=d:\users /grant:everyone,FULL /CACHE:Manual
Teraz wykonajmy skrypt uprawnień ntfs dla udziału apps:
– „(OI)(CI):F” oznacza pełną kontrolę „Ten folder, podfoldery i pliki”
– „(OI)(CI):M” oznacza Modyfikuj „Ten Folder, Podfoldery i pliki”
– „/inheritance:r” oznacza usuń wszystkie odziedziczone ACL od rodzica
(OI) Ten folder i pliki
(CI) Ten folder i podfoldery.
(OI)(CI) Ten folder, podfoldery i pliki.
(OI)(CI)(IO) Tylko podfoldery i pliki.
(CI)(IO) Tylko podfoldery.
(OI)(IO) Tylko pliki.
i możliwości uprawnień
perm to maska uprawnień i może być określona w jednej z dwóch postaci:
sekwencja prostych uprawnień:
N – brak dostępu
F – pełny dostęp
M – dostęp do modyfikacji
RX – dostęp do odczytu i wykonywania
R – dostęp tylko do odczytu
W – dostęp tylko do zapisu
D – dostęp do usuwania
a oddzielona przecinkami lista w nawiasach praw szczegółowych:
DE – delete
RC – read control
WDAC – write DAC
WO – write owner
S – synchronize
AS – access system security
MA – maximum allowed
GR – generic read
GW – ang. generic write
GE – generic execute
GA – generic all
RD – read data/list directory
WD – write data/add file
AD – append data/add subdirectory
REA – read extended attributes
WEA – write extended attributes
X – execute/traverse
DC – delete child
RA – read attributes
WA – write attributes write attributes
Tutaj opis wszystkich możliwych uprawnień NTFS
| Permission | Description |
|---|---|
|
Traverse Folder/Execute File |
Dla folderów: Traverse Folder umożliwia lub odmawia przechodzenia przez foldery w celu dotarcia do innych plików lub folderów, nawet jeśli użytkownik nie ma uprawnień do przemierzanych folderów. (Dotyczy tylko folderów.) Trawersowanie folderu działa tylko wtedy, gdy grupa lub użytkownik nie ma przyznanego prawa użytkownika Bypass traverse checking w Group Policy snap-in. (Domyślnie grupa Everyone otrzymuje prawo użytkownika Bypass traverse checking.) Dla plików: Execute File zezwala lub odmawia uruchamiania plików programów. (Dotyczy tylko plików). Ustawienie uprawnienia Traverse Folder na folderze nie powoduje automatycznego ustawienia uprawnienia Execute File na wszystkich plikach w tym folderze. |
|
List Folder/Read Data |
List Folder zezwala lub odmawia przeglądania nazw plików i nazw podfolderów w folderze. List Folder wpływa tylko na zawartość tego folderu i nie ma wpływu na to, czy folder, dla którego ustawiane jest to uprawnienie, będzie wyświetlany na liście. (Dotyczy tylko folderów.) Odczytaj dane umożliwia lub zabrania przeglądanie danych w plikach. (Dotyczy tylko plików.) |
|
Odczytaj atrybuty |
Zezwala lub odmawia przeglądania atrybutów pliku lub folderu, takich jak tylko do odczytu i ukryte. Atrybuty są definiowane przez system NTFS. |
|
Odczytaj atrybuty rozszerzone |
Zezwala lub odmawia przeglądania atrybutów rozszerzonych pliku lub folderu. Atrybuty rozszerzone są definiowane przez programy i mogą się różnić w zależności od programu. |
|
Create Files/Write Data |
Create Files Zezwala lub odmawia tworzenia plików w obrębie folderu. (Dotyczy tylko folderów). Write Data zezwala lub zaprzecza wprowadzaniu zmian w pliku i nadpisywaniu istniejącej zawartości. (Dotyczy tylko plików.) |
|
Create Folders/Append Data |
Create Folders zezwala lub odmawia tworzenia folderów w obrębie folderu. (Dotyczy tylko folderów.) Append Data umożliwia lub uniemożliwia wprowadzanie zmian na końcu pliku, ale nie zmienia, nie usuwa ani nie nadpisuje istniejących danych. (Dotyczy tylko plików.) |
|
Write Attributes |
Zezwala lub odmawia zmiany atrybutów pliku lub folderu, takich jak tylko do odczytu lub ukryte. Atrybuty są zdefiniowane przez NTFS. Uprawnienie Write Attributes nie implikuje tworzenia lub usuwania plików lub folderów, zawiera jedynie uprawnienie do dokonywania zmian w atrybutach pliku lub folderu. Aby zezwolić (lub odmówić) na operacje tworzenia lub usuwania, zobacz Tworzenie plików/Zapisywanie danych, Tworzenie folderów/Załączanie danych, Usuwanie podfolderów i plików oraz Usuwanie. |
|
Write Extended Attributes |
Zezwala lub odmawia zmiany atrybutów rozszerzonych pliku lub folderu. Rozszerzone atrybuty są definiowane przez programy i mogą się różnić w zależności od programu. Uprawnienie Write Extended Attributes nie oznacza tworzenia lub usuwania plików lub folderów, zawiera jedynie uprawnienie do dokonywania zmian w atrybutach pliku lub folderu. Aby zezwolić (lub odmówić) na operacje tworzenia lub usuwania, zobacz Tworzenie plików/Zapisywanie danych, Tworzenie folderów/Załączanie danych, Usuwanie podfolderów i plików oraz Usuwanie. |
|
Usuwanie podfolderów i plików |
Zezwala lub odmawia usuwania podfolderów i plików, nawet jeśli uprawnienie Usuń nie zostało przyznane na podfolderze lub pliku. (Dotyczy folderów.) |
|
Usuń |
Zezwala lub odmawia usunięcia pliku lub folderu. Jeśli użytkownik nie ma uprawnień do usuwania pliku lub folderu, nadal może go usunąć, jeśli ma uprawnienia do usuwania podfolderów i plików w folderze nadrzędnym. |
|
Uprawnienia do odczytu |
Zezwala lub odmawia uprawnień do odczytu pliku lub folderu, takich jak Pełna kontrola, Odczyt i Zapis. |
|
Zmień uprawnienia |
Zezwala lub odmawia zmiany uprawnień do pliku lub folderu, takich jak Pełna kontrola, Odczyt i Zapis. |
|
Przejmij prawo własności |
Zezwala lub odmawia przejęcia prawa własności do pliku lub folderu. Właściciel pliku lub folderu może zawsze zmienić uprawnienia na nim, niezależnie od wszelkich istniejących uprawnień, które chronią plik lub folder. |
|
Synchronizuj |
Zezwala lub odmawia różnym wątkom oczekiwania na uchwyt do pliku lub folderu i synchronizowania się z innym wątkiem, który może go sygnalizować. To uprawnienie dotyczy tylko programów wielowątkowych, wieloprocesowych. |
Example:
icacls "d:\apps" /grant "domain admins":(OI)(CI)F /inheritance:ricacls "d:\apps" /grant "everyone":(OI)(CI)M /inheritance:r
Na udziale profili, tylko „administratorzy domeny” powinni mieć prawo do wejścia do wszystkich „Folderów, Podfolderów i plików” (stąd (OI)(CI):F) , wszyscy inni powinni mieć możliwość „tylko do tego folderu”.
Więc bez kombinacji (CI) i/lub (OI) oznacza to „tylko ten folder”
icacls "d:\profiles" /grant "domain admins":(OI)(CI)F /inheritance:ricacls "d:\profiles" /grant "everyone":R /inheritance:r
Po utworzeniu nowego użytkownika, Administrator Domeny powinien ręcznie utworzyć folder profilu dla użytkownika i dodać użytkownika z odpowiednimi prawami.
To samo dotyczy udziału users zawierającego katalogi domowe wszystkich użytkowników
icacls "d:\users" /grant "domain admins":(OI)(CI)F /inheritance:ricacls "d:\users" /grant "everyone":R /inheritance:r
Teraz użyj własnej wyobraźni 🙂
.