HALP! Я наследовал кошмар полномочий для перенаправленных папок/корневых каталогов
У моего нового работодателя есть установка перенаправления папки для ее сотен пользователей, и человек, который настроил ее, действительно не знал то, что он делал. В результате лучшие методы для полномочий на перенаправленных папках/корневых каталогах не были применены.
Решение позволить людям получить доступ к своим перенаправленным местоположениям папки состояло в том, чтобы вместо этого применяться Full Control полномочия (полномочия NTFS, не "совместно используют" полномочия, конечно) к Everyone в корневом каталоге ("Домой") и распространяют это вниз ко всем подпапкам и файлам ниже корня.
Что могло возможно пойти не так, как надо, правильно? Это не похоже на генерального директора, имеет конфиденциальную информацию в его My Documents папка или чья-либо попытка быть зараженной CryptoWall и шифрует всех файлы else.Правильно?
Так, так или иначе, теперь, когда заражение CryptoWall было удалено, и резервные копии были восстановлены, много людей хотели бы, чтобы мы заменили текущие полномочия чем-то менее ужасным, и я хотел бы не должным быть нажать вокруг диалогов полномочий в нескольких сотнях папок.
Как PowerShell может решить эту проблему для меня и сделать жизнь стоящей проживания снова?
Спасибо JScott за ссылку на System.Security.Principal... класс или метод или что-то в этом роде, некоторые PowerShell для замены ACL на кучу подпапок на те, которые подходят для домашних каталогов пользователей:
$Root = "Path to the root folder that holds all the user home directories"
$Paths = Get-ChildItem $Root | Select-Object -Property Name,FullName
$DAAR = New-Object system.security.accesscontrol.filesystemaccessrule("MyDomain\Domain Admins","FullControl","ContainerInherit, ObjectInherit","None","Allow")
#Domain Admin Access Rule.
$SysAR = New-Object system.security.accesscontrol.filesystemaccessrule("SYSTEM","FullControl","ContainerInherit, ObjectInherit","None","Allow")
#SYSTEM Access Rule.
foreach ($Folder in $Paths)
{
Write-Host "Generating ACL for $($folder.FullName) ... "
#For error handling purposes - not all folders will map to a user of the exact same name, this makes them easier to handle when viewing the output.
$ACL = New-Object System.Security.AccessControl.DirectorySecurity
#Creates a blank ACL object to add access rules into, also blanks out the ACL for each iteration of the loop.
$objUser = New-Object System.Security.Principal.NTAccount("MyDomain\"+$folder.name)
#Creating the right type of User Object to feed into our ACL, and populating it with the user whose folder we're currently on.
$UserAR = New-Object system.security.accesscontrol.filesystemaccessrule( $objuser ,"FullControl","ContainerInherit, ObjectInherit","None","Allow")
#Access Rule for the user whose folder we're dealing with during this iteration.
$acl.SetOwner($objUser)
$acl.SetAccessRuleProtection($true, $false)
#Change the inheritance/propagation settings of the folder we're dealing with
$acl.SetAccessRule($UserAR)
$acl.SetAccessRule($DAAR)
$acl.SetAccessRule($SysAR)
Write-Host "Changing ACL on $($folder.FullName) to:"
$acl | fl
#For error handling purposes - not all folders will map to a user of the exact same name, this makes them easier to handle when viewing the output.
Set-Acl -Path $Folder.Fullname -ACLObject $acl
}
Предыдущий ответ не будет работать ЕСЛИ домашние папки / перенаправленные папки были настроены с помощью «Предоставить пользователю исключительные права». Это связано с тем, что при выборе этого параметра , который не рекомендуется , только СИСТЕМА и ПОЛЬЗОВАТЕЛЬ имеют права на папку. После этого вы не можете изменить права доступа (даже в качестве администратора), не приняв на себя ответственность за папку.
Это метод решения этой проблемы БЕЗ владения. Это двухэтапный процесс.
Создайте сценарий PowerShell, который запускает ICACLS для изменения разрешений в папках и подпапках.
Запустите PSexec, чтобы запустить скрипт Powershell.
взят и изменен из: https://mypkb.wordpress.com/2008/12/29/how-to-restore-administrators-access-to-redirected-my-documents-folder/
1 Создайте / скопируйте / украдите сценарий PowerShell (требуется PS 3.0 или выше)
#ChangePermissions.ps1
# CACLS rights are usually
# F = FullControl
# C = Change
# R = Readonly
# W = Write
$StartingDir= "c:\shares\users" ##Path to root of users home dirs
$Principal="domain\username" #or "administrators"
$Permission="F"
$Verify=Read-Host `n "You are about to change permissions on all" `
"files starting at"$StartingDir.ToUpper() `n "for security"`
"principal"$Principal.ToUpper() `
"with new right of"$Permission.ToUpper()"."`n `
"Do you want to continue? [Y,N]"
if ($Verify -eq "Y") {
foreach ($FOLDER in $(Get-ChildItem -path $StartingDir -directory -recurse)) {
$temp = $Folder.fullname
CACLS `"$temp`" /E /P `"${Principal}`":${Permission} >$NULL
#write-host $Folder.FullName
}
}
- запустите PSEXEC, он работает как учетная запись SYSTEM и, следовательно, может изменять разрешения в папке, к которой имеют доступ только SYSTEM и пользователь. Установите и запустите PSexec. https://technet.microsoft.com/en-us/sysinternals/bb897553.aspx
Из командной строки:
psexec -s -i powershell -noexit "& 'C:\Path\To\ChangePermissions.ps1'"