阅读数:440 评论数:0

一、概述

PowerShell能够完成权限管理的操作：

1、获取文件和目录权限

2、为文件和目录添加权限

3、移除文件和目录权限

4、修改文件和目录的权限

5、启用禁用目录的继承属性。

二、权限类型

1、基本权限

Full Control：用户可以修改、添加、移动和删除文件和目录以及相应的属性，换而言之，用户可以改变所有文件以及子目录的权限设定。
Modify：用户可以修改文件和文件属性，包括删除或添加文件到目录或者删除、添加属性到文件
Read & Execute：用户可以运行可执行文件，包括脚本
Read：用户能够查看文件、文件属性和目录
Write：用户能够写入新数据到文件并能将文件添加到目录

2、高级权限

Traverse Folder/Execute File：允许用户即使没有文件和目录的权限，也允许其浏览文件夹。此外，也允许执行文件
List Folder/Read Data：允许列出文件以及子目录，并能够访问文件中包含的内容
Read Attributes：查看文件或目录的属性
Write Attributes：更改文件或目录的属性
Read Extended Attributes：查看文件或目录的扩展属性
Write Extended Attributes：更改文件或目录的扩展属性
Create Files/Write Data：允许在目录中创建文件并能更改目录中的文件（change）
Create Folders/Append Data：允许在当前目录中创建目录，允许追加数据到文件，但是不允许更改(change)、删除或者覆盖替换文件中的内容
Delete：允许删除文件或目录
Read Permissions：用户可以读取文件或目录的权限设置
Change Permission：用户可以更改(change) 文件或目录的权限设置
Take Ownership：用户可以取得文件或目录的所有权
Synchronize：使用文件或目录进行同步。（原文是Allows or denies different threads to wait on the handle for the file or folder and synchronize with another thread that may signal it. This permission applies only to multithreaded, multiprocessing programs.）

三、获取权限

Get-ACL -Path "Folder1"

默认输出不易读，可以使用下面的方式

(Get-ACL -Path "Folder1").Access | Format-Table IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags -AutoSize

四、修改权限

一般流程

检索已存在的ACL规则
创建需要应用的目标规则，FileSystemAccessRule语法结构类似：Identity String,FileSystemRights,AccessControlType
添加新的ACL规则到已存在的规则集
使用Set-ACL将前面新建的ACL规则应用到目标文件或目录