助けて!リダイレクトされたフォルダー/ホームディレクトリの権限悪夢を継承しました
私の新しい雇用主は何百人ものユーザーのためにフォルダリダイレクトを設定しており、それを設定した人は自分が何をしているのか本当に知りませんでした。その結果、 リダイレクトされたフォルダー/ホームディレクトリのアクセス許可のベストプラクティス には従いませんでした。
リダイレクトされたフォルダの場所にアクセスできるようにするソリューションは、代わりにFull Control権限(もちろん「共有」権限ではなくNTFS権限)をルートディレクトリ(「ホーム」)でEveryoneに付与し、ルートの下のすべてのサブフォルダとファイルに伝達します。
何がうまくいかないのでしょう? CEOがMy Documentsフォルダ、または誰かがCryptoWallに感染し、他のすべてのユーザーのファイルを暗号化します。正しい?
とにかく、とにかく、CryptoWall感染が削除され、バックアップが復元されたので、多くの人が現在のアクセス許可をそれほどひどくないものに置き換えてほしいと思っています。いくつかのアクセス許可ダイアログをクリックする必要はありません百のフォルダ。
PowerShellを使用してこの問題を解決し、人生をやり直す価値のある方法を教えてください。
JScottのおかげで を紹介してくれてSystem.Security.Principal...クラスまたはメソッドなど、PowerShellを使用して、一連のサブフォルダーのACLをユーザーのホームディレクトリに適したものに置き換えます。
$Root = "Path to the root folder that holds all the user home directories"
$Paths = Get-ChildItem $Root | Select-Object -Property Name,FullName
$DAAR = New-Object system.security.accesscontrol.filesystemaccessrule("MyDomain\Domain Admins","FullControl","ContainerInherit, ObjectInherit","None","Allow")
#Domain Admin Access Rule.
$SysAR = New-Object system.security.accesscontrol.filesystemaccessrule("SYSTEM","FullControl","ContainerInherit, ObjectInherit","None","Allow")
#SYSTEM Access Rule.
foreach ($Folder in $Paths)
{
Write-Host "Generating ACL for $($folder.FullName) ... "
#For error handling purposes - not all folders will map to a user of the exact same name, this makes them easier to handle when viewing the output.
$ACL = New-Object System.Security.AccessControl.DirectorySecurity
#Creates a blank ACL object to add access rules into, also blanks out the ACL for each iteration of the loop.
$objUser = New-Object System.Security.Principal.NTAccount("MyDomain\"+$folder.name)
#Creating the right type of User Object to feed into our ACL, and populating it with the user whose folder we're currently on.
$UserAR = New-Object system.security.accesscontrol.filesystemaccessrule( $objuser ,"FullControl","ContainerInherit, ObjectInherit","None","Allow")
#Access Rule for the user whose folder we're dealing with during this iteration.
$acl.SetOwner($objUser)
$acl.SetAccessRuleProtection($true, $false)
#Change the inheritance/propagation settings of the folder we're dealing with
$acl.SetAccessRule($UserAR)
$acl.SetAccessRule($DAAR)
$acl.SetAccessRule($SysAR)
Write-Host "Changing ACL on $($folder.FullName) to:"
$acl | fl
#For error handling purposes - not all folders will map to a user of the exact same name, this makes them easier to handle when viewing the output.
Set-Acl -Path $Folder.Fullname -ACLObject $acl
}
前の回答は機能しません[〜#〜] if [〜#〜]ホームフォルダー/リダイレクトされたフォルダーが「ユーザーを許可する」で設定されました独占権」。これは、このオプションが選択されている場合が推奨されないため、SYSTEMおよびTHE USERのみがフォルダーに対する権限を持っているためです。その後、フォルダーの所有権を取得せずに、(管理者としても)権限を変更することはできません。
これは、IS所有権を取得せずにこれを回避する方法です。2段階のプロセスです。
フォルダーとサブフォルダーの権限を変更するためにICACLSを実行するPowerShellスクリプトを作成します。
pSexecを実行してPowershellスクリプトを開始します。
1 powershellスクリプトを作成/コピー/スティール(PS 3.0以降が必要)
#ChangePermissions.ps1
# CACLS rights are usually
# F = FullControl
# C = Change
# R = Readonly
# W = Write
$StartingDir= "c:\shares\users" ##Path to root of users home dirs
$Principal="domain\username" #or "administrators"
$Permission="F"
$Verify=Read-Host `n "You are about to change permissions on all" `
"files starting at"$StartingDir.ToUpper() `n "for security"`
"principal"$Principal.ToUpper() `
"with new right of"$Permission.ToUpper()"."`n `
"Do you want to continue? [Y,N]"
if ($Verify -eq "Y") {
foreach ($FOLDER in $(Get-ChildItem -path $StartingDir -directory -recurse)) {
$temp = $Folder.fullname
CACLS `"$temp`" /E /P `"${Principal}`":${Permission} >$NULL
#write-Host $Folder.FullName
}
}
- pSEXECを実行すると、SYSTEMアカウントとして動作するため、SYSTEMとユーザーのみがアクセスできるフォルダーの権限を変更できます。 PSexecをインストールして実行します。 https://technet.Microsoft.com/en-us/sysinternals/bb897553.aspx
コマンドラインから:
psexec -s -i powershell -noexit "& 'C:\Path\To\ChangePermissions.ps1'"