【发布时间】:2020-01-15 05:49:20
【问题描述】:
长时间的听众,第一次来电????我正在尝试使用 PowerShell 设置文件夹的权限,但收效甚微。我首先按照此页面上标识的说明进行操作。 https://blog.netwrix.com/2018/04/18/how-to-manage-file-system-acls-with-powershell-scripts/ 我还阅读了在 Stackoverflow 上可以找到的尽可能多的帖子,但我似乎没有遇到其他人遇到的相同问题。 所以首先,这是我正在使用的代码
$myPath = 'C:\inetpub\website'
# get actual Acl entry
$myAcl = Get-Acl "$myPath"
$myAclEntry = "NT AUTHORITY\NETWORK SERVICE","FullControl","Allow"
$myAccessRule = New-Object System.Security.AccessControl.FileSystemAccessRule($myAclEntry)
# prepare new Acl
$myAcl.SetAccessRule($myAccessRule)
$myAcl | Set-Acl "$MyPath"
# check if added entry present
Get-Acl "$myPath" | fl
结果是用户被添加到文件夹中,如下所示,但没有设置任何实际权限。 screenshot of folder permissions
看起来它实际上可能正在尝试设置特殊权限,但这很难证明,因为特殊权限选项不可用。
Get-Acl "$myPath" | fl 产生以下结果
Path : Microsoft.PowerShell.Core\FileSystem::C:\inetpub\website
Owner : BUILTIN\Administrators
Group : DESKTOP-UKROSU8\None
Access : NT AUTHORITY\NETWORK SERVICE Allow FullControl
NT SERVICE\TrustedInstaller Allow FullControl
NT SERVICE\TrustedInstaller Allow 268435456
NT AUTHORITY\SYSTEM Allow FullControl
NT AUTHORITY\SYSTEM Allow 268435456
BUILTIN\Administrators Allow FullControl
BUILTIN\Administrators Allow 268435456
BUILTIN\Users Allow ReadAndExecute, Synchronize
BUILTIN\Users Allow -1610612736
CREATOR OWNER Allow 268435456
Audit :
Sddl : O:BAG:S-1-5-21-3999251487-2837792945-2014217647-513D:AI(A;;FA;;;NS)(A;ID;FA;;;S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464)(A;OICIIOID;GA;;;S-1-5-80-956008885-3418
522649-1831038044-1853292631-2271478464)(A;ID;FA;;;SY)(A;OICIIOID;GA;;;SY)(A;ID;FA;;;BA)(A;OICIIOID;GA;;;BA)(A;ID;0x1200a9;;;BU)(A;OICIIOID;GXGR;;;BU)(A;OICIIOID;GA;;;CO)
请注意,我在虚拟 Windows 10 机器上执行此操作是为了测试目的,所以那些觉得有必要告诉我我冒着风险发布 Get-Acl 输出的人,我认为风险很小在这种情况下。
我读到这个问题可能是由“NT AUTHORITY”域选项被截断引起的,并且首先查找用户可能是有价值的。但我还没有弄清楚如何在 PowerShell 中做到这一点。任何提示将非常感谢。
【问题讨论】:
标签: powershell