我试图找到InheritanceFlags和PropagationFlags的正确组合,以便我的新文件夹不会继承该文件夹之前的权限,而是将权限传播到新文件夹中包含的文件夹/文件中。我下面有两个文件夹,但是只赋予了新文件夹与上面的文件夹相同的权限,并且没有应用我的新组...

如何正确设置标志以仅将权限应用于此文件夹下的所有文件/文件夹,而不从父文件夹中拉出权限?

我找到了this table,但似乎并没有完成我想要的...

function New-Ace {
  [CmdletBinding()]
  Param(
    [Parameter(Mandatory=$true, Position=0)]
    [Security.Principal.NTAccount]$Account,
    [Parameter(Mandatory=$false, Position=1)]
    [Security.AccessControl.FileSystemRights]$Permissions = 'ReadAndExecute',
    [Parameter(Mandatory=$false, Position=2)]
    [Security.AccessControl.InheritanceFlags]$InheritanceFlags = 'ContainerInherit,ObjectInherit',
    [Parameter(Mandatory=$false, Position=3)]
    [Security.AccessControl.PropagationFlags]$PropagationFlags = 'None',
    [Parameter(Mandatory=$false, Position=4)]
    [Security.AccessControl.AccessControlType]$Type = 'Allow'
  )

  New-Object Security.AccessControl.FileSystemAccessRule(
    $Account, $Permissions, $InheritanceFlags, $PropagationFlags, $Type
  )
}

$domain = 'TestDomain'

$administrators = ([wmi]"Win32_Sid.Sid='S-1-5-32-544'").AccountName

$acl = Get-Acl $path

$administrators, "$domain\Domain Admins" | ForEach-Object {
  $acl.AddAccessRule((New-Ace $_ 'FullControl'))
}
$acl.AddAccessRule((New-Ace $ADNameRW 'Modify'))
$acl.AddAccessRule((New-Ace $ADNameRO 'ReadAndExecute'))

Set-Acl $path $acl

最佳答案

调用$acl.SetAccessRuleProtection($true, $false)应该可以防止该目录或文件从其父目录继承权限,第二个参数指定应删除先前继承的权限。启用保护=禁用继承。

New-Ace函数中, InheritanceFlags 指定权限可以应用于哪种子对象(文件,目录或两者),而 PropagationFlags 控制权限是否应用于该对象和/或仅应用于直接子对象。这些属性都不影响此文件或目录从其父级继承的方式。

顺便说一句,PowerShell是基于.NET构建的,因此您可以使用相同的类,方法等,并且在某些情况下,这是完成cmdlet所不能完成的工作的唯一方法。

10-06 14:50