我试图找到InheritanceFlags和PropagationFlags的正确组合,以便我的新文件夹不会继承该文件夹之前的权限,而是将权限传播到新文件夹中包含的文件夹/文件中。我下面有两个文件夹,但是只赋予了新文件夹与上面的文件夹相同的权限,并且没有应用我的新组...
如何正确设置标志以仅将权限应用于此文件夹下的所有文件/文件夹,而不从父文件夹中拉出权限?
我找到了this table,但似乎并没有完成我想要的...
function New-Ace {
[CmdletBinding()]
Param(
[Parameter(Mandatory=$true, Position=0)]
[Security.Principal.NTAccount]$Account,
[Parameter(Mandatory=$false, Position=1)]
[Security.AccessControl.FileSystemRights]$Permissions = 'ReadAndExecute',
[Parameter(Mandatory=$false, Position=2)]
[Security.AccessControl.InheritanceFlags]$InheritanceFlags = 'ContainerInherit,ObjectInherit',
[Parameter(Mandatory=$false, Position=3)]
[Security.AccessControl.PropagationFlags]$PropagationFlags = 'None',
[Parameter(Mandatory=$false, Position=4)]
[Security.AccessControl.AccessControlType]$Type = 'Allow'
)
New-Object Security.AccessControl.FileSystemAccessRule(
$Account, $Permissions, $InheritanceFlags, $PropagationFlags, $Type
)
}
$domain = 'TestDomain'
$administrators = ([wmi]"Win32_Sid.Sid='S-1-5-32-544'").AccountName
$acl = Get-Acl $path
$administrators, "$domain\Domain Admins" | ForEach-Object {
$acl.AddAccessRule((New-Ace $_ 'FullControl'))
}
$acl.AddAccessRule((New-Ace $ADNameRW 'Modify'))
$acl.AddAccessRule((New-Ace $ADNameRO 'ReadAndExecute'))
Set-Acl $path $acl
最佳答案
调用$acl.SetAccessRuleProtection($true, $false)应该可以防止该目录或文件从其父目录继承权限,第二个参数指定应删除先前继承的权限。启用保护=禁用继承。
在New-Ace函数中, InheritanceFlags 指定权限可以应用于哪种子对象(文件,目录或两者),而 PropagationFlags 控制权限是否应用于该对象和/或仅应用于直接子对象。这些属性都不影响此文件或目录从其父级继承的方式。
顺便说一句,PowerShell是基于.NET构建的,因此您可以使用相同的类,方法等,并且在某些情况下,这是完成cmdlet所不能完成的工作的唯一方法。