none
Create Folder with ACL RRS feed

  • Frage

  • Hello,

    kennt jemand ein Script das folgendes ausführt.

    1. Folder erstellen zB (Max Mustermann)

    2. Es sollte nur der User (Max Mustermann) r/w auf den Folder haben. Keine anderen User sollten Zugriff auf den Folder haben

    Die User sind alle AD User

    Vielleicht könnte mir jemand dabei helfen

    Mittwoch, 13. August 2014 07:52

Antworten

  • Hallo,

    das kannst Du so machen, das Script muss als Admin laufen.

    $Folder = 'C:\Temp\Test'
    $User = 'domain\testuser'
    $Null = New-Item -Type Directory -Path $Folder
    $Acl = Get-Acl $Folder
    $Acl.SetAccessRuleProtection($True, $True)
    Set-Acl $Folder $Acl
    $Acl = Get-Acl $Folder
    $Rule1 = New-Object System.Security.AccessControl.FileSystemAccessRule("$User","Write, ReadAndExecute, Synchronize","None","None","Allow")
    $acl.Access | Foreach-Object {
    		$Acl.RemoveAccessRuleAll($_)
    }
    $acl.AddAccessRule($Rule1)
    Set-Acl $Folder $Acl
     

    Ich wuerde das so aber beddenklich finden, weil Du so Aeste abschneidest, wenn das Verzeichnis mal wieder geloescht werden muss, der User nicht mehr existiert ...

    Ich wuerde also immer noch eine Admin Gruppe hinzufuegen, die entsprechende Rechte hat. eventuell ist die Gruppe normal leer, d.h. niemand hat die Rechte und es wird nur bei Bedarf im vier Augen Prinzip eine User voruebergehend zu geordnet, der dann zb.: ein solches Verzeichnis loeschen darf, andere Rechte setzen,  ...

    Natuerlich kann ein Admin das Verzeichnis auch ohne diese Gruppe loeschen, aber es ist aufwendiger ...

    Beste Gruesse
    brima


    Mittwoch, 13. August 2014 09:07

Alle Antworten

  • Guten Morgen,

    new-item -path c:\ -name logfiles -itemtype directory

    kannst du hier

    nachlesen.(Bsp : 2)

    Da du in der AD arbeitest sollten die Rechte, meiner Meinung nach, per

    Access-based Enumeration

    Erklärung 2

    vergeben werden.

    Ich hoffe das hilft dir?


    Gruß Toni




    • Bearbeitet tonibert Mittwoch, 13. August 2014 08:18
    Mittwoch, 13. August 2014 08:08
  • Hallo,

    das kannst Du so machen, das Script muss als Admin laufen.

    $Folder = 'C:\Temp\Test'
    $User = 'domain\testuser'
    $Null = New-Item -Type Directory -Path $Folder
    $Acl = Get-Acl $Folder
    $Acl.SetAccessRuleProtection($True, $True)
    Set-Acl $Folder $Acl
    $Acl = Get-Acl $Folder
    $Rule1 = New-Object System.Security.AccessControl.FileSystemAccessRule("$User","Write, ReadAndExecute, Synchronize","None","None","Allow")
    $acl.Access | Foreach-Object {
    		$Acl.RemoveAccessRuleAll($_)
    }
    $acl.AddAccessRule($Rule1)
    Set-Acl $Folder $Acl
     

    Ich wuerde das so aber beddenklich finden, weil Du so Aeste abschneidest, wenn das Verzeichnis mal wieder geloescht werden muss, der User nicht mehr existiert ...

    Ich wuerde also immer noch eine Admin Gruppe hinzufuegen, die entsprechende Rechte hat. eventuell ist die Gruppe normal leer, d.h. niemand hat die Rechte und es wird nur bei Bedarf im vier Augen Prinzip eine User voruebergehend zu geordnet, der dann zb.: ein solches Verzeichnis loeschen darf, andere Rechte setzen,  ...

    Natuerlich kann ein Admin das Verzeichnis auch ohne diese Gruppe loeschen, aber es ist aufwendiger ...

    Beste Gruesse
    brima


    Mittwoch, 13. August 2014 09:07
  • Hallo,

    mit ABE setzt man keine Rechte, sondern ABE sorgt dafuer dass man nur dass sieht, wo man auch tatseachlich Rechte hat.

    Es gibt z.B.: einen Share auf dem es pro Abteilung einen Folder gibt, die fuer die jeweiligen Abt. berechtigt wurden, sieht man per ABE nur noch die Folder, auf die die eigene Abt. Rechte hat.

    Beste Gruesse
    brima

    Mittwoch, 13. August 2014 09:11