Связывание безопасности папок с группами безопасности AD Сценарий Powershell

Я пытаюсь написать сценарий, который связывает разрешения безопасности папки с существующей группой AD. Мне еще предстоит найти скрипт или командлет (Set-Acl не может ссылаться на группы, только явные разрешения), которые позволили бы мне написать это.

В качестве примера у меня есть папка «FOLDER A» и группа безопасности AD «FOLDER A». Есть ли способ добавить группу AD в систему безопасности папки?

Пример разрешений для группы AD в папке:

Пример группы AD в пределах прав доступа к папке

РЕДАКТИРОВАТЬ: Возможно, я нашел решение проблемы с сервером. Я могу использовать командлет Get-ADGroup, чтобы найти SID каждой группы, а затем передать IdentityReference для Set-Acl. Проверим это и посмотрю, смогу ли я заставить его работать


powershell active-directory ntfs
person Casio FX-plus    schedule 03.09.2018    source источник
comment
Привет, хорошо, что ты нашел ответ на свой вопрос. Когда вы его протестировали, не стесняйтесь писать ответ на свой вопрос, в котором вы объясните, что вы сделали. Сначала взгляните сюда;): stackoverflow.com/help/how-to-answer   -  person Paxz    schedule 03.09.2018

Ответы (2)


arrow_upward
0
arrow_downward

Я всегда использую модуль NTFSSecurity при работе с разрешениями файловой системы. Команды в этом модуле намного легче понять, чем Set-Acl, поскольку они действуют так же, как и графический интерфейс.

Чтобы добавить разрешения к папке, достаточно одной команды:

Add-NTFSAccess -Path 'C:\Folder A' -Account 'Domain\Folder A' -AccessRights Read

Стоит прочитать ссылки на документацию, поскольку модуль может делать больше, чем просто добавлять разрешения!

Примечание. Вам необходимо установить модуль, если вы используете современную версию Powershell, это просто, так как вы можете просто использовать Install-Module -Name NTFSSecurity. Если это более старая версия, вам нужно будет загрузить и установить модуль вручную.

person James C.    schedule 03.09.2018

arrow_upward
0
arrow_downward

Наконец-то я нашел решение своей проблемы. Спасибо Джеймсу С. - хотя я не мог понять этого с помощью вашего метода, я считаю, что он указал мне правильное направление.

По сути, я использовал FileSystemAccessRuleconstructor. Момент ясности, который у меня был, заключался в осознании того, что я действительно могу ссылаться на группы AD. Я новичок в Powershell, поэтому мне это не сразу было очевидно. Вот реализация:

$acl = Get-Acl <PATH OF FOLDER>

$AccessRule = New-Object System.Security.AccessControl.FileSystemAccessRule('<NAME OF GROUP>','<PERMISSIONS>,'<Allow/Deny>')

$acl.SetAccessRule($AccessRule)

$acl | Set-Acl <PATH OF FOLDER>

Полную документацию конструктора можно найти на здесь. Затем я использовал сценарий Python для форматирования всех данных в CSV и перебрал их для создания групп.

Спасибо всем!

person Casio FX-plus    schedule 04.09.2018