icacls (win2k8) scripting examples
Efter cacls, xcacls.vbs, har vi nu icacls för att ställa in fil- och mappbehörigheter.
Här kommer några praktiska exempel.
Skapa ett gäng kataloger
md d:\appsmd d:\profilesmd d:\users
Dela katalogerna. Observera offline-cachelagring; användare får aktivera offline-cachelagring för sina hemkataloger, andra kataloger är inaktiverade för offline-cachelagring.
net share apps=d:\apps /grant:everyone,FULL /CACHE:Nonenet share profiles=d:\profiles /grant:everyone,FULL /CACHE:Nonenet share users=d:\users /grant:everyone,FULL /CACHE:Manual
Nu skriver vi ntfs-behörigheterna för app-frekvensen:
– ”(OI)(CI):F” betyder full kontroll ”Den här mappen, undermappar och filer”
– ”(OI)(CI):M” betyder Modify ”This Folder, Subfolders and files”
– ”/inheritance:r” betyder remove all inherited ACL’s from parent
(OI) This folder and files
(CI) This folder and subfolders.
(OI)(CI) Denna mapp, undermappar och filer.
(OI)(CI)(IO) Endast undermappar och filer.
(CI)(IO) Endast undermappar.
(OI)(IO) Endast filer.
och behörighetsmöjligheterna
perm är en behörighetsmask och kan anges i en av två former:
en sekvens av enkla rättigheter:
N – ingen åtkomst
F – fullständig åtkomst
M – modifieringsåtkomst
RX – läs- och körningsåtkomst
R – skrivåtkomst
W – skrivåtkomst
D – raderingsåtkomst
en kommaseparerad lista inom parentes med specifika rättigheter: generisk skrivning
GE – generisk exekvering
GA – generisk alla
RD – läser data/listar katalog
WD – skriver data/tillägger fil
AD – lägger till data/tillägger underkatalog
REA – skriver data/tillägger underkatalog
REA – skriver data/tillägger fil
REA – skriver data/tillägger fil läser utökade attribut
WEA – skriver utökade attribut
X – utför/genomgång
DC – tar bort barn
RA – läser attribut
WA – tar bort barn
RA – läser attribut
WA – tar bort barn
RA – tar bort barn
RA – tar bort barn write attributes
Här beskrivs alla möjliga NTFS-behörigheter
Permission | Description |
---|---|
Traverse Folder/Execute File |
För mappar: Traverse Folder tillåter eller nekar förflyttning genom mappar för att nå andra filer eller mappar, även om användaren inte har några behörigheter för de mappar som genomkorsas. (Gäller endast mappar.) Traversera mapp träder endast i kraft när gruppen eller användaren inte har beviljats användarrätten Bypass traverse checking user right i snapin-modulen Group Policy. (Som standard har gruppen Alla fått användarrätten Bypass traverse checking user right.) För filer: Execute File tillåter eller nekar körning av programfiler. (Gäller endast filer). Om du ställer in behörigheten Traverse Folder på en mapp ställer du inte automatiskt in behörigheten Execute File på alla filer i den mappen. |
List Folder/Read Data |
List Folder tillåter eller nekar visning av filnamn och namn på undermappar i mappen. List Folder påverkar endast mappens innehåll och påverkar inte om den mapp som du ställer in behörigheten för kommer att listas. (Gäller endast mappar.) Läs data tillåter eller nekar visning av data i filer. (Gäller endast filer.) |
Läs attribut |
Tillåter eller nekar visning av attribut för en fil eller mapp, t.ex. skrivskyddad och dold. Attributen definieras av NTFS. |
Läs utökade attribut |
Tillåter eller nekar visning av de utökade attributen för en fil eller mapp. Utökade attribut definieras av program och kan variera beroende på program. |
Skapa filer/skriva data |
Skapa filer tillåter eller nekar skapande av filer i mappen. (Gäller endast mappar). Write Data tillåter eller nekar ändringar i filen och överskrivning av befintligt innehåll. (Gäller endast filer.) |
Skapa mappar/tillfoga data |
Skapa mappar tillåter eller nekar skapande av mappar inom mappen. (Gäller endast mappar.) Append Data tillåter eller nekar ändringar i slutet av filen, men inte ändring, radering eller överskrivning av befintliga data. (Gäller endast filer.) |
Skriv attribut |
Tillåter eller nekar ändring av attribut för en fil eller mapp, t.ex. skrivskyddad eller dold. Attributen definieras av NTFS. Behörigheten Write Attributes innebär inte att man skapar eller raderar filer eller mappar, utan endast att man får ändra attributen för en fil eller mapp. För att tillåta (eller neka) skapande eller raderande åtgärder, se Skapa filer/skriva data, Skapa mappar/lägga till data, Ta bort undermappar och filer samt Ta bort. |
Skriv utökade attribut |
Tillåter eller nekar ändring av de utökade attributen för en fil eller mapp. Utökade attribut definieras av program och kan variera beroende på program. Behörigheten Write Extended Attributes innebär inte att man skapar eller raderar filer eller mappar, utan endast att man får ändra attributen för en fil eller mapp. För att tillåta (eller neka) skapande eller raderande åtgärder, se Skapa filer/skriva data, Skapa mappar/lägga till data, Ta bort undermappar och filer samt Ta bort. |
Ta bort undermappar och filer |
Tillåter eller nekar radering av undermappar och filer, även om behörigheten Ta bort inte har beviljats för undermappen eller filen. (Gäller mappar.) |
Ta bort |
Tillåter eller nekar radering av filen eller mappen. Om du inte har behörighet att ta bort en fil eller mapp kan du ändå ta bort den om du har behörighet att ta bort undermappar och filer i den överordnade mappen. |
Läsbehörighet |
Tillåter eller nekar läsbehörighet för filen eller mappen, t.ex. full kontroll, läsa och skriva. |
Ändra behörigheter |
Tillåter eller nekar ändring av behörigheter för filen eller mappen, t.ex. full kontroll, läsning och skrivning. |
Överta äganderätt |
Tillåter eller nekar övertagande av äganderätt för filen eller mappen. Ägaren av en fil eller mapp kan alltid ändra behörigheter för den, oavsett befintliga behörigheter som skyddar filen eller mappen. |
Synkronisera |
Tillåter eller nekar olika trådar att vänta på handtaget för filen eller mappen och synkronisera med en annan tråd som kan signalera den. Denna behörighet gäller endast för program med flera trådar och flera processer. |
Example:
icacls "d:\apps" /grant "domain admins":(OI)(CI)F /inheritance:ricacls "d:\apps" /grant "everyone":(OI)(CI)M /inheritance:r
På profildelningen bör endast ”domänadministratörer” ha rätt att gå in i alla ”mappar, undermappar och filer” (därav (OI)(CI):F) , alla andra bör kunna göra sig redo för ”endast denna mapp”.
Så utan en kombination av (CI) och/eller (OI) betyder det ”endast denna mapp”
icacls "d:\profiles" /grant "domain admins":(OI)(CI)F /inheritance:ricacls "d:\profiles" /grant "everyone":R /inheritance:r
När en ny användare skapas ska domänadministratören manuellt skapa en profilmapp för användaren och lägga till användaren med lämpliga rättigheter.
Det samma gäller för användarnas delning som innehåller alla användares hemkataloger
icacls "d:\users" /grant "domain admins":(OI)(CI)F /inheritance:ricacls "d:\users" /grant "everyone":R /inheritance:r
Använd nu din egen fantasi 🙂