我正在尝试找到InheritanceFlags和PropagationFlags的正确组合,以便我的新文件夹不会继承该文件夹的权限,但会将权限传播到新文件夹中包含的文件夹/文件... I尝试将两者从我下面的内容中交换掉,但是这只给了新文件夹与上面的文件夹相同的权限并且没有应用我的新组...
如何正确设置标记以仅将权限应用于此文件夹下的所有文件/文件夹,而不是从父文件夹中提取?
我找到this table,但它似乎没有做我想要的......
function New-Ace {
[CmdletBinding()]
Param(
[Parameter(Mandatory=$true, Position=0)]
[Security.Principal.NTAccount]$Account,
[Parameter(Mandatory=$false, Position=1)]
[Security.AccessControl.FileSystemRights]$Permissions = 'ReadAndExecute',
[Parameter(Mandatory=$false, Position=2)]
[Security.AccessControl.InheritanceFlags]$InheritanceFlags = 'ContainerInherit,ObjectInherit',
[Parameter(Mandatory=$false, Position=3)]
[Security.AccessControl.PropagationFlags]$PropagationFlags = 'None',
[Parameter(Mandatory=$false, Position=4)]
[Security.AccessControl.AccessControlType]$Type = 'Allow'
)
New-Object Security.AccessControl.FileSystemAccessRule(
$Account, $Permissions, $InheritanceFlags, $PropagationFlags, $Type
)
}
$domain = 'TestDomain'
$administrators = ([wmi]"Win32_Sid.Sid='S-1-5-32-544'").AccountName
$acl = Get-Acl $path
$administrators, "$domain\Domain Admins" | ForEach-Object {
$acl.AddAccessRule((New-Ace $_ 'FullControl'))
}
$acl.AddAccessRule((New-Ace $ADNameRW 'Modify'))
$acl.AddAccessRule((New-Ace $ADNameRO 'ReadAndExecute'))
Set-Acl $path $acl
答案 0 :(得分:5)
调用$acl.SetAccessRuleProtection($true, $false)应该阻止该目录或文件从其父目录继承权限,第二个参数指定应删除以前继承的权限。启用保护=禁用继承。
在New-Ace函数中,InheritanceFlags指定权限可以应用于哪种类型的子对象(文件,目录或两者),PropagationFlags控制权限是否适用于此对象和/或只有直接的孩子。这些属性都不会影响此文件或目录从其父级继承的方式。
顺便说一句,PowerShell是基于.NET构建的,因此您可以使用相同的类,方法等,在某些情况下,这是实现cmdlet未涵盖的内容的唯一方法。