icacls (win2k8) scripting examples

nov 23, 2021
admin

Efter cacls, xcacls.vbs, har vi nu icacls för att ställa in fil- och mappbehörigheter.

Här kommer några praktiska exempel.

Skapa ett gäng kataloger


md d:\appsmd d:\profilesmd d:\users

Dela katalogerna. Observera offline-cachelagring; användare får aktivera offline-cachelagring för sina hemkataloger, andra kataloger är inaktiverade för offline-cachelagring.


net share apps=d:\apps /grant:everyone,FULL /CACHE:Nonenet share profiles=d:\profiles /grant:everyone,FULL /CACHE:Nonenet share users=d:\users /grant:everyone,FULL /CACHE:Manual

Nu skriver vi ntfs-behörigheterna för app-frekvensen:
– ”(OI)(CI):F” betyder full kontroll ”Den här mappen, undermappar och filer”
– ”(OI)(CI):M” betyder Modify ”This Folder, Subfolders and files”
– ”/inheritance:r” betyder remove all inherited ACL’s from parent

(OI) This folder and files
(CI) This folder and subfolders.
(OI)(CI) Denna mapp, undermappar och filer.
(OI)(CI)(IO) Endast undermappar och filer.
(CI)(IO) Endast undermappar.
(OI)(IO) Endast filer.

och behörighetsmöjligheterna

perm är en behörighetsmask och kan anges i en av två former:
en sekvens av enkla rättigheter:
N – ingen åtkomst
F – fullständig åtkomst
M – modifieringsåtkomst
RX – läs- och körningsåtkomst
R – skrivåtkomst
W – skrivåtkomst
D – raderingsåtkomst
en kommaseparerad lista inom parentes med specifika rättigheter: generisk skrivning
GE – generisk exekvering
GA – generisk alla
RD – läser data/listar katalog
WD – skriver data/tillägger fil
AD – lägger till data/tillägger underkatalog
REA – skriver data/tillägger underkatalog
REA – skriver data/tillägger fil
REA – skriver data/tillägger fil läser utökade attribut
WEA – skriver utökade attribut
X – utför/genomgång
DC – tar bort barn
RA – läser attribut
WA – tar bort barn
RA – läser attribut
WA – tar bort barn
RA – tar bort barn
RA – tar bort barn write attributes

Här beskrivs alla möjliga NTFS-behörigheter

Permission Description

Traverse Folder/Execute File

För mappar: Traverse Folder tillåter eller nekar förflyttning genom mappar för att nå andra filer eller mappar, även om användaren inte har några behörigheter för de mappar som genomkorsas. (Gäller endast mappar.) Traversera mapp träder endast i kraft när gruppen eller användaren inte har beviljats användarrätten Bypass traverse checking user right i snapin-modulen Group Policy. (Som standard har gruppen Alla fått användarrätten Bypass traverse checking user right.)

För filer: Execute File tillåter eller nekar körning av programfiler. (Gäller endast filer).

Om du ställer in behörigheten Traverse Folder på en mapp ställer du inte automatiskt in behörigheten Execute File på alla filer i den mappen.

List Folder/Read Data

List Folder tillåter eller nekar visning av filnamn och namn på undermappar i mappen. List Folder påverkar endast mappens innehåll och påverkar inte om den mapp som du ställer in behörigheten för kommer att listas. (Gäller endast mappar.)

Läs data tillåter eller nekar visning av data i filer. (Gäller endast filer.)

Läs attribut

Tillåter eller nekar visning av attribut för en fil eller mapp, t.ex. skrivskyddad och dold. Attributen definieras av NTFS.

Läs utökade attribut

Tillåter eller nekar visning av de utökade attributen för en fil eller mapp. Utökade attribut definieras av program och kan variera beroende på program.

Skapa filer/skriva data

Skapa filer tillåter eller nekar skapande av filer i mappen. (Gäller endast mappar).

Write Data tillåter eller nekar ändringar i filen och överskrivning av befintligt innehåll. (Gäller endast filer.)

Skapa mappar/tillfoga data

Skapa mappar tillåter eller nekar skapande av mappar inom mappen. (Gäller endast mappar.)

Append Data tillåter eller nekar ändringar i slutet av filen, men inte ändring, radering eller överskrivning av befintliga data. (Gäller endast filer.)

Skriv attribut

Tillåter eller nekar ändring av attribut för en fil eller mapp, t.ex. skrivskyddad eller dold. Attributen definieras av NTFS.

Behörigheten Write Attributes innebär inte att man skapar eller raderar filer eller mappar, utan endast att man får ändra attributen för en fil eller mapp. För att tillåta (eller neka) skapande eller raderande åtgärder, se Skapa filer/skriva data, Skapa mappar/lägga till data, Ta bort undermappar och filer samt Ta bort.

Skriv utökade attribut

Tillåter eller nekar ändring av de utökade attributen för en fil eller mapp. Utökade attribut definieras av program och kan variera beroende på program.

Behörigheten Write Extended Attributes innebär inte att man skapar eller raderar filer eller mappar, utan endast att man får ändra attributen för en fil eller mapp. För att tillåta (eller neka) skapande eller raderande åtgärder, se Skapa filer/skriva data, Skapa mappar/lägga till data, Ta bort undermappar och filer samt Ta bort.

Ta bort undermappar och filer

Tillåter eller nekar radering av undermappar och filer, även om behörigheten Ta bort inte har beviljats för undermappen eller filen. (Gäller mappar.)

Ta bort

Tillåter eller nekar radering av filen eller mappen. Om du inte har behörighet att ta bort en fil eller mapp kan du ändå ta bort den om du har behörighet att ta bort undermappar och filer i den överordnade mappen.

Läsbehörighet

Tillåter eller nekar läsbehörighet för filen eller mappen, t.ex. full kontroll, läsa och skriva.

Ändra behörigheter

Tillåter eller nekar ändring av behörigheter för filen eller mappen, t.ex. full kontroll, läsning och skrivning.

Överta äganderätt

Tillåter eller nekar övertagande av äganderätt för filen eller mappen. Ägaren av en fil eller mapp kan alltid ändra behörigheter för den, oavsett befintliga behörigheter som skyddar filen eller mappen.

Synkronisera

Tillåter eller nekar olika trådar att vänta på handtaget för filen eller mappen och synkronisera med en annan tråd som kan signalera den. Denna behörighet gäller endast för program med flera trådar och flera processer.

Example:
icacls "d:\apps" /grant "domain admins":(OI)(CI)F /inheritance:ricacls "d:\apps" /grant "everyone":(OI)(CI)M /inheritance:r

På profildelningen bör endast ”domänadministratörer” ha rätt att gå in i alla ”mappar, undermappar och filer” (därav (OI)(CI):F) , alla andra bör kunna göra sig redo för ”endast denna mapp”.
Så utan en kombination av (CI) och/eller (OI) betyder det ”endast denna mapp”


icacls "d:\profiles" /grant "domain admins":(OI)(CI)F /inheritance:ricacls "d:\profiles" /grant "everyone":R /inheritance:r

När en ny användare skapas ska domänadministratören manuellt skapa en profilmapp för användaren och lägga till användaren med lämpliga rättigheter.

Det samma gäller för användarnas delning som innehåller alla användares hemkataloger


icacls "d:\users" /grant "domain admins":(OI)(CI)F /inheritance:ricacls "d:\users" /grant "everyone":R /inheritance:r

Använd nu din egen fantasi 🙂

Lämna ett svar

Din e-postadress kommer inte publiceras.