2008 - автоматизация разграничения прав файлового сервера в АД

El Scorpio · Отправлено: **01:24, 12-04-2016** | #2

1. Создайте в домене потребное количество групп пользователей.
2. Пропишите в каталогах права доступа для этих групп
3. Внесите в эти группы нужных пользователей (или группы пользователей)
4. PROFIT!!!

Для автоматизации п.2 можно использовать команды FOR и CACLS командной строки CMD

Keraberos · Отправлено: **10:00, 12-04-2016** | #3

Спасибо за быстрый ответ, собственно проблемма именно в автоматизации п.2.
Если обобщить, то группе 2 примерно до 3го уровня в любом случае нельзя ничего кроме чтения. И вот в конце уровней есть четыре папки, они всегда имеют одинаковое название во всех подкаталогах - папка1 папка2 папка3 папка4, возможно где-то есть ещё папка5 и далее по необходимости, и вот внутри этих папок уже могут действовать другие пользователи. (папки5 могут создавать пользователи из группы1) но к созданным ими папкам в идеале должны бы применяться права аналогичные структуре.
Не понимаю как такое можно сделать через cacls и for?
Возможно есть какое-то программное решение, которое можно поставить на сервер?

Keraberos · Отправлено: **10:52, 12-04-2016** | #4

Прошу прощения. Сейчас посидел подумал, всё на деле обстоит немного иначе. Идеальным вариантом было бы сделать как-то так:
1 - на весь файловый сервер ставится право на чтение и редактирование для группы1, и только чтение для группы 2
2 - скриптом или ПО на этом сервере находится 4 папки которые находятся на разных уровнях но неизменно носят одинаковые названия - папка1 папка2 папка3 папка4
3 - на все эти найденные папки и всё их содержимое права удаляются и устанавливаются новые - на разрешения чтения и редактирования для группы1 и 2 ( ну или можно просто поменять права для группы2)
Собственно вопрос, как воплотить пункт 2, нужна помощь или с советом по ПО, которое может это сделать или с составлением скрипта который сможет выполнить такую задачу.

Keraberos · Отправлено: **17:06, 18-04-2016** | #5

Так как народ, сможет кто помочь со скриптом или ПО которое задает права для всех папок и подпапок с определенным именем?

Keraberos · Отправлено: **18:02, 26-04-2016** | #6

И вопрос всё ещё актуален

nokogerra · Отправлено: **09:36, 27-04-2016** | #7

Используйте Posh.

Код:

Import-Csv "C:\folder_user" -Delimiter ";" | foreach{
    $acl = Get-Acl $_.folder
    $usr = $_.usrgg.trim()
    $acl.AddAccessRule((New-Object System.Security.AccessControl.FileSystemAccessRule("$usr","Read, ExecuteFile", "ContainerInherit, ObjectInherit", "None", "Allow")))
    $acl | Set-Acl
        }

где в csv (юникод) список каталогов и пользователей или групп в таком формате:

Код:

folder;usergg
E:\folder1;domain\user1
E:\folder2;domain\group1

О разрешениях можно здесь подробнее прочитать например тут http://coolcode.ru/razdacha-prav-na-ntfs-iz-powershell/

Keraberos · Отправлено: **12:07, 29-04-2016** | #8

Спасибо, я уже почти близок к пониманию. Один момент, тут же нужно вручную указывать на конкретную папку? --->>
E:\folder1;domain\user1
E:\folder2;domain\group1

А можно как-то задать для всех папок и её подпапок с одинаковым именем, где бы они не находились. Есть ли какая-то переменная для обозначения подобного? аля --->
E:\xxx\xxx\xxx\folder1
E:\xxx\xxx\folder1
E:\xxx\folder1

Keraberos · Отправлено: **18:48, 03-05-2016** | #9

nokogerra Большое Большое ПРИБОЛЬШОЕ спасибо! За основу был взят ваш скрипт.
Пришлось подменить вместо usrgg - вставь usergg , наверное опечатка была. Далее вопрос относительно расположения папок - решение пришло после долгого стучания головой об стену.
С помощью какой-нибудь программы, которая может выгружать результаты поиска вместе с расположением искомого ( в моём случае был сделан поиск папки folder1 и делал при помощи ПО ThreeSize - так как она уже была у нас приобретена ( из встроеного поиска винды результат выгрузить похоже нельзя)) Так вот, эту выгрузку открывал в екселе ( я ещё добавлял в конце строки нужную папку с помощью формулы =A1&"Folder1") ну и по такому же принципу ( либо автозаменой потом) все нужные папки - Folder2 Folder3 и т.д, благоу меня их всего 6 было. Затем получившийся список сохранял в csv ( сначала скрипт бил кирилицу, пришлось пересохранить csv файл с кодировкой UTF-8 почему-то сразу оно не отработало при первом сохранении) И затем уже скрипт пошёл в работу. Сейчас база выгружается, врядли будут ещё какие-то проблемы.
Ещё раз огромное-огромное спасибо nokogerra - без этого скрипта ничего бы не вышло.

nokogerra · Отправлено: **07:14, 04-05-2016** | #10

хм, я слишком долго плавал.
Да, с usrgg опечаточка вышла. Я не совсем понял по поводу выгрузки папок, но я создавал список каталогов с помощью get-childitem командлета, например:

Код:

PS C:\Users\xxx> Get-ChildItem  -Path C:\ -Force | ?{$_.psiscontainer} | select fullname

FullName
--------
C:\$Recycle.Bin
C:\Boot
C:\Documents and Settings
C:\downloads
C:\FirefoxPortable30
C:\ftp
C:\Games
C:\Intel
C:\MSOCache
C:\PerfLogs
C:\Program Files
C:\Program Files (x86)
C:\ProgramData
C:\Recovery
C:\System Volume Information
C:\temp
C:\Users
C:\Windows

можно добавить "-recurse" для рекурсивного выбора элементов, ?{$_.psiscontainer} - поиск только каталогов.