(WIN2008, AD)Дан список папок по пользователям организации, необходимо как можно проще раздать права: всем только на просмотр и запись, а пользователю в честь которого назвали папку — полный.

Tagged with →  

28 Responses to (WIN2008, AD) раздать права

  1. IleSnow:

    нашел кое-что, только не умеет оно брать из АД пользователей

    $inheritCO = [system.security.accesscontrol.Inheritan ceFlags]»ContainerInherit, ObjectInherit»
    $propagationIO = [system.security.accesscontrol.Propagati onFlags]»InheritOnly»
    $propagationN = [system.security.accesscontrol.Propagati onFlags]»None»
    $colUserRights = [system.security.accesscontrol.FileSyste mRights]»ListDirectory, CreateFiles, CreateDirectories, AppendData»
    $colFullRights = [system.security.accesscontrol.FileSyste mRights]»FullControl»
    $colListRights = [system.security.accesscontrol.FileSyste mRights]»ListDirectory»
    $creator = New-Object System.Security.Principal.NTAccount(«CRE ATOR OWNER»)
    $system = New-Object System.Security.Principal.NTAccount(«NT AUTHORITYSYSTEM»)
    $admins = New-Object System.Security.Principal.NTAccount(«Dom ain Admins»)
    $users = New-Object System.Security.Principal.NTAccount(«DOM AIN users»)

    $ar = New-Object System.Security.AccessControl.FileSystem AccessRule( $creator, $colFullRights, $inheritCO, $propagationIO, «Allow»)
    $acl.SetAccessRule($ar)
    $ar = New-Object System.Security.AccessControl.FileSystem AccessRule( $system, $colFullRights, $inheritCO, $propagationN, «Allow»)
    $acl.SetAccessRule($ar)
    $ar = New-Object System.Security.AccessControl.FileSystem AccessRule( $admins, $colFullRights, $inheritCO, $propagationN, «Allow»)
    $acl.SetAccessRule($ar)
    $ar = New-Object System.Security.AccessControl.FileSystem AccessRule( $user, $colFullRights, $inheritCO, $propagationN, «Allow»)
    $acl.SetAccessRule($ar)
    $ar = New-Object System.Security.AccessControl.FileSystem AccessRule( $users, $colUserRights, $inheritCO, $propagationN, «Allow»)
    $acl.SetAccessRule($ar)

  2. AnaRU:

    бля, а шо в вашем виндоусе полный доступ если просмотр и запись это не полный?! 🙂

  3. IleSnow:

    неа, просмотр-запись есть, а удалениеизменение нету например

  4. XadMsk:

    чем отличается изменение от записи?

  5. XadMsk:

    бля полез смотреть действительно запись и изменить отдельные пункты

    размер 382x473, 40.86 kb

  6. IleSnow:

    удобно же, правда? )

  7. AnaRU:

    и как это работает? 🙂
    Ну всмысле, ты можешь открыть файл, изменить его в редакторе, но не сможешь сохранить? 🙂
    Так это тоже самое, что read-only.
    А вообще windows пиздец в этих вопросах, да. 🙂

  8. XadMsk:

    бляяя я работать не могу думаю в чем отличие.

  9. RewTunes:

    Ещё и вкладка «Дополнительно» есть).

  10. IleSnow:

    открыть посмотреть сможешь, сохранить нет, сможешь новый создать, но удалить его или изменить уже не сможешь

  11. YitZlo:

    отличие в английском переводе.

    размер 500x140, 28.35 kb

  12. TsiWin:

    На Поше заебенить скрипт.

  13. IleSnow:

    ну типа наверху в первом коментарии и есть часть скрипта. Не умеет он брать юзеров из АД, незнаю как научить

  14. AnaRU:

    но ведь это же пиздец! 🙂

  15. IleSnow:

    почему? нам вот именно такая схема нужна на данный момент.

  16. TsiWin:

    да это пиздец какой-то а не скрипт
    пош умеет брать все из ад

  17. Uloen:

    изменить — это поменять права доступа.

  18. XadMsk:

    Спасибо. а то я на работу выехал в 6 часов утра спать не мог.

  19. IleSnow:

    я понимаю что умеет, только не могу найти как (

  20. PitSwet:

    это — удобство использования и гибкость настроек. А не 755 и гуляй лесом

  21. PitSwet:

    А я даже представляю как должен выглядеть скрипт.
    foreach по пользователям
    создаём папку из name ад
    присваиваем ей нужные права.

  22. PitSwet:

    Весь скрипт, я думаю, в 10-15 действий.

  23. IleSnow:

    это все понятно, я залип на присвоении прав по name из АД

  24. TsiWin:

    Я пользуюсь с помощью вот этого http://www.quest.com/powershell/activero

    Там есть Get-QADUser

  25. AnaRU:

    ну мне, видимо, по долгу службы не попадались варианты «сделай, чтоб можно было создать файл, но нельзя было его удалить»
    Я вот сейчас пытаюсь себе представить ситуацию где бы это пригодилось и у меня пока что не получается. Видимо из-за того, что человек впринципе не может себе представить что-либо если не видел аналогов до этого.

  26. XadMsk:

    ну в принципе полно таких вариантов. но… когда надо удалить но нельзя можно изменить содержимое 😉 я так себя когда то из инета вычищал.

Добавить комментарий