icacls (win2k8) exemple de scripting
După cacls, xcacls.vbs, acum avem icacls pentru a seta permisiunile de fișiere și foldere.
Iată câteva exemple practice.
Creează o grămadă de directoare
md d:\appsmd d:\profilesmd d:\users
Împărtășește directoarele. Rețineți memoria cache offline; utilizatorii au voie să activeze memoria cache offline pentru directoarele lor de domiciliu, celelalte directoare sunt dezactivate pentru memoria cache offline.
net share apps=d:\apps /grant:everyone,FULL /CACHE:Nonenet share profiles=d:\profiles /grant:everyone,FULL /CACHE:Nonenet share users=d:\users /grant:everyone,FULL /CACHE:Manual
Acum haideți să scriptăm permisiunile ntfs pentru partajarea aplicațiilor:
– „(OI)(CI):F” înseamnă control total „Acest folder, subfoldere și fișiere”
– „(OI)(CI):M” înseamnă Modificare „Acest dosar, subfoldere și fișiere”
– „/inheritance:r” înseamnă eliminarea tuturor ACL-urilor moștenite de la părintele
(OI) Acest dosar și fișiere
(CI) Acest dosar și subfoldere.
(OI)(CI) Acest folder, subfoldere și fișiere.
(OI)(CI)(IO) Numai subfoldere și fișiere.
(CI)(IO) Numai subfoldere.
(OI)(IO) Numai fișiere.
și posibilitățile de permisiune
perm este o mască de permisiune și poate fi specificată în una dintre cele două forme:
o secvență de drepturi simple:
N – acces interzis
F – acces complet
M – acces de modificare
RX – acces de citire și execuție
R – acces numai de citire
W – acces numai de scriere
D – acces de ștergere
o listă între paranteze, separată prin virgulă, de drepturi specifice:
DE – ștergere
RC – control de citire
WDAC – scriere DAC
WO – scriere proprietar
S – sincronizare
AS – acces la securitatea sistemului
MA – maxim permis
GR – citire generică
GW – acces la sistemul de securitate. generic write
GE – generic execute
GA – generic all
RD – read data/list directory
WD – write data/add file
AD – append data/add subdirectory
REA – citește atribute extinse
WEA – scrie atribute extinse
X – execută/traversează
DC – șterge copilul
RA – citește atributele
WA – write attributes
Iată descrierea tuturor permisiunilor NTFS posibile
| Permission | Description |
|---|---|
|
Traverse Folder/Execute File |
Pentru foldere: Traverse Folder permite sau refuză deplasarea prin dosare pentru a ajunge la alte fișiere sau dosare, chiar dacă utilizatorul nu are permisiuni pentru dosarele traversate. (Se aplică numai la dosare.) Traverse folder are efect numai atunci când grupului sau utilizatorului nu i se acordă dreptul Bypass traversează verificarea utilizatorului în snap-in-ul Group Policy. (În mod implicit, grupului Everyone i se acordă dreptul Bypass traversează verificarea utilizatorului.) Pentru fișiere: Execute File (Executare fișier) permite sau refuză rularea fișierelor de program. (Se aplică numai fișierelor). Stabilirea permisiunii Traverse Folder pe un dosar nu stabilește automat permisiunea Execute File pe toate fișierele din acel dosar. |
|
List Folder/Read Data |
List Folder permite sau refuză vizualizarea numelor de fișiere și a numelor subfolderelor din cadrul dosarului. List Folder afectează numai conținutul acelui dosar și nu afectează dacă dosarul pentru care setați permisiunea va fi listat. (Se aplică numai la dosare.) Read Data (Citire date) permite sau refuză vizualizarea datelor din fișiere. (Se aplică numai la fișiere.) |
|
Read Attributes |
Permite sau refuză vizualizarea atributelor unui fișier sau dosar, cum ar fi read-only și hidden. Atributele sunt definite de NTFS. |
|
Read Extended Attributes |
Permite sau refuză vizualizarea atributelor extinse ale unui fișier sau dosar. Atributele extinse sunt definite de programe și pot varia în funcție de program. |
|
Create Files/Write Data |
Create Files permite sau refuză crearea de fișiere în cadrul dosarului. (Se aplică numai la dosare). Write Data permite sau refuză efectuarea de modificări în dosar și suprascrierea conținutului existent. (Se aplică numai fișierelor.) |
|
Create Folders/Append Data |
Create Folders permite sau refuză crearea de dosare în cadrul dosarului. (Se aplică numai la dosare.) Append Data permite sau refuză efectuarea de modificări la sfârșitul fișierului, dar nu și modificarea, ștergerea sau suprascrierea datelor existente. (Se aplică numai fișierelor.) |
|
Write Attributes |
Permite sau refuză modificarea atributelor unui fișier sau dosar, cum ar fi read-only (numai pentru citire) sau hidden (ascuns). Atributele sunt definite de NTFS. Permisiunea Write Attributes (Scriere atribute) nu implică crearea sau ștergerea de fișiere sau dosare, ci include doar permisiunea de a efectua modificări ale atributelor unui fișier sau dosar. Pentru a permite (sau a refuza) operațiile de creare sau ștergere, consultați Creare fișiere/scriere date, Creare dosare/adăugare date, Ștergere subdosare și fișiere și Ștergere. |
|
Write Extended Attributes |
Permite (sau refuză) modificarea atributelor extinse ale unui fișier sau dosar. Atributele extinse sunt definite de programe și pot varia în funcție de program. Permisiunea Write Extended Attributes (Scriere atribute extinse) nu implică crearea sau ștergerea de fișiere sau dosare, ci include doar permisiunea de a efectua modificări ale atributelor unui fișier sau dosar. Pentru a permite (sau a refuza) operațiile de creare sau ștergere, consultați Crearea fișierelor/scrierea datelor, Crearea dosarelor/adăugarea datelor, Ștergerea subfolderelor și a fișierelor și Ștergerea. |
|
Delete Subfolders and Files |
Permite (sau refuză) ștergerea subfolderelor și a fișierelor, chiar dacă permisiunea Delete nu a fost acordată pentru subfoldere sau fișier. (Se aplică la dosare.) |
|
Delete |
Permite sau refuză ștergerea fișierului sau a dosarului. Dacă nu aveți permisiunea de Ștergere pe un fișier sau dosar, îl puteți totuși șterge dacă vi s-a acordat permisiunea de Ștergere a subfolderelor și fișierelor pe dosarul părinte. |
|
Permisiuni de citire |
Permite sau refuză permisiunile de citire a fișierului sau dosarului, cum ar fi Control total, Citire și Scriere. |
|
Change Permissions |
Permite sau refuză modificarea permisiunilor fișierului sau dosarului, cum ar fi Full Control, Read și Write. |
|
Take Ownership |
Permite sau refuză preluarea proprietății asupra fișierului sau dosarului. Proprietarul unui fișier sau al unui dosar poate schimba întotdeauna permisiunile asupra acestuia, indiferent de orice permisiuni existente care protejează fișierul sau dosarul. |
|
Synchronize |
Permite sau refuză ca diferite fire de execuție să aștepte pe handle-ul pentru fișier sau dosar și să se sincronizeze cu un alt fir de execuție care îl poate semnala. Această permisiune se aplică numai programelor multithreaded, multiproces. |
Example:
icacls "d:\apps" /grant "domain admins":(OI)(CI)F /inheritance:ricacls "d:\apps" /grant "everyone":(OI)(CI)M /inheritance:r
În partajarea profilurilor, numai „administratorii de domeniu” ar trebui să aibă permisiunea de a intra în toate „Folderele, Subfolderele și fișierele” (de aici și (OI)(CI):F) , toți ceilalți ar trebui să poată pregăti „numai acest dosar”.
Deci, fără o combinație de (CI) și/sau (OI) înseamnă „doar acest dosar”
icacls "d:\profiles" /grant "domain admins":(OI)(CI)F /inheritance:ricacls "d:\profiles" /grant "everyone":R /inheritance:r
La crearea unui nou utilizator, administratorul de domeniu trebuie să creeze manual un dosar de profil pentru utilizator și să adauge utilizatorul cu drepturile corespunzătoare.
Același lucru este valabil și pentru partajarea utilizatorilor care conține directoarele de domiciliu ale tuturor utilizatorilor
icacls "d:\users" /grant "domain admins":(OI)(CI)F /inheritance:ricacls "d:\users" /grant "everyone":R /inheritance:r
Acum folosiți-vă imaginația 🙂
.