Как предоставить доступ к папкам доменного пользователя через Powershell?

Question

[Исмат Гайибов]

Всем привет. Цель скрипта дать доступ к папке для определенного пользователя. Уже мучаюсь 2 дня. Разные варианты нашел. Но все выдает ошибку, типо не правильный аргумент и т.д.

Схема такая. Есть файлобменник ( папка Obmen ) . Дальше создается под папки. Общий путь к личной папки пользователя такой.

C:\Obmen\Sklad\Иванов Иван Иванович\Личное.

Хочется права дать таким способом что бы у пользователя на эти папки C:\Obmen\Sklad был доступ только для чтение.

........Иванов Иван Иванович\Личное к этим папка полный доступ и кроме него у других пользователей кроме чтение не было доступа.

$newuser = (get-eventlog -log Security -InstanceID 4720 -newest 1).ReplacementStrings[9]

mkdir C:\obmen\$newou\$newfolder\Личное

# Считываем текущие параметры ACL для нашей папки
$acl = Get-Acl C:\obmen\$newou\$newfolder\Личное
# Посмотрим полученный ACL
$acl | fl *

# Создаем набор разрешений, который мы назначим папке
$permission = “ADTEST0\$newuser”,”read,write",”containerinherit,objectinherit”,”none”,”allow”

# Смотрим текущие ACE
$acl.Access

# Создаем новый объект ACE на основе ранее записанных разрешений
$ace = new-object security.accesscontrol.filesystemaccessrule $permission

# Вносим сделанные изменения в исходный ACL
$acl.setaccessrule($ace)
# Назначаем ACL на выбранную папку
$acl | set-aclC:\obmen\$newou\$newfolder\Личное

Comments

[MaxKozlov]

У меня ваш код исправно добавляет доступ для указанного пользователя.
Правда, после того, как я правильно расставил кавычки и пробел между set-acl и путём
Не жмитесь на пробелы, понятнее будет

mkdir C:\obmen\$newou\$newfolder\Личное
$acl = Get-Acl C:\obmen\$newou\$newfolder\Личное
$permission = "MSK\$newuser",  "read,write",  "containerinherit,objectinherit",  "none",  "allow"
$ace = new-object security.accesscontrol.filesystemaccessrule $permission
$acl.setaccessrule($ace)
$acl | set-acl C:\obmen\$newou\$newfolder\Личное

Для справки: убрать наследование (может пригодиться)
$acl.SetAccessRuleProtection($true, $false)

P.S.
если у вас есть ошибки и вы хотите чтобы вам помогли их исправить, текст ошибок должен присутствовать в вопросе

[Исмат Гайибов]

MaxKozlov, А как правильно убрать доступ всем пользователям домена к определенный папки? Либо делать так что бы к папке был доступ у остальных пользователей домена только для чтение?

[Владимир]

Исмат Гайибов, если это все не для саморазвития, то лучше воспользоваться советом Alexey Dmitriev .
Для NTFSSecurity есть достаточно подробное описание с примерами.

P.S. - Powershell позволит автоматизировать задачи назначения прав, но саму задачу надо "решить" без него. Есть графический интерфейс, который наглядно представляет текущие разрешения, унаследованные в том числе. Это позволит подойти к ответу на вопросы "как правильно убрать доступ всем пользователям?" и т.п. А потом уже можно описывать это все на Powershell.

[MaxKozlov]

делать так что бы к папке был доступ у остальных пользователей домена только для чтение?

права readonly на папку более высокого уровня и правильное наследование

...Однако даже совет Alexey Dmitriev не поможет если автор вообще не представляет принципов раздачи прав и их наследования.
Поэтому, да, хотя бы GUI+эксперименты. а потом, по результату, уже скрипты

[Исмат Гайибов]

У меня сервер 2008 r2, powershell v1.0. Думаю не работает NTFSSecurity

[MaxKozlov]

в 2008R2 встроен 2.0
лучше поставить 5.1 если там нет exchange или sharepoint

[Исмат Гайибов]

MaxKozlov,

Это не обозначает что версия 1.0?

[Alexey Dmitriev]

Исмат Гайибов, нет, не означает. Загуглите "how to identify powershell version"

[MaxKozlov]

Исмат Гайибов, Когда-то в далёком 2005 году они примерно так и хотели. мечталось о сосуществовании разных версий на одной машине

Но, так как 146% админов решили вызывать в своих скриптах powershell.exe по полному пути, а требования совместимости тогда ещё что-то значили, то приняли решения все PS ставить туда (зачем-то. как раз тогда, пока ещё ps был мало распространён, можно было двигать, а проблему путей решить через линки)

$PSVersionTable завезли только в версии 2.0
а версии 6+ ставятся уже в другое место

[Исмат Гайибов]

Нашел. Версия 2.0.

Answer 1

[Morrowind]

Привет.

Вот попробуй этот скрипт:

$a = Get-Acl -Path C:\Temp\TestPS
$fileSystemAccessRuleArgumentList 
# Тут Указываем пользователя
$identity = "NT AUTHORITY\Прошедшие проверку"
# тут доступ
$fileSystemRights = "Read"
$type = "Allow"
$fileSystemAccessRuleArgumentList = $identity, $fileSystemRights, $type
$fileSystemAccessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $fileSystemAccessRuleArgumentList

$a.SetAccessRule($fileSystemAccessRule)
Set-Acl -Path C:\Temp\TestPS -AclObject $a

Взял с офф мануала и проверил на ноуте своем. Вроде работает.

Comments

[Исмат Гайибов]

Спасибо за ответ. Решил уже задачу. Может конечно не грамотно, но то что хотел получил.

$acl = Get-Acl C:\obmen
$acl | fl *
$permission = “BUILTIN\Пользователи”,”Read”,"ContainerInherit,ObjectInherit","None",”allow”
$ace = New-Object System.Security.AccessControl.FileSystemAccessRule $permission
$acl.SetAccessRule($ace)
$acl | Set-Acl C:\obmen

Answer 2

[Alexey Dmitriev]

Используйте сторонние модули, чтобы не мучаться.
https://github.com/raandree/NTFSSecurity
https://github.com/alphaleonis/AlphaFS

Либо эту стороннюю утилитку командной строки - она отлично в Powershell себя чувствует.
https://helgeklein.com/setacl/

Comments

[Исмат Гайибов]

Спасибо за ответ. Но все таки хотелось бы через powershell делать. со скриптом.