作成するように求められたいくつかのフォルダ権限で、少し苦労しています。作成するのはかなり簡単だとは思いますが、私は苦労しています。
ディレクトリの各サブフォルダにセキュリティ グループを作成しました。社内の全員がフォルダを表示できる全体的なセキュリティ グループがあります。サブフォルダに権限を割り当てるときに問題が発生しています。「Everyone」グループを削除すると、サブフォルダを表示できなくなります。
アイデア:
トップレベルディレクトリ- 誰でも見ることができます
- ディレクトリ 1- 全員 (フォルダーは表示できますが、内容は表示できません) | グループ 1 - (読み取り/書き込み/実行)
- ディレクトリ 2- 全員 (フォルダは表示できますが、内容は表示できません) | グループ 2 - (読み取り/書き込み/実行)
- ディレクトリ 3- 全員 (フォルダは表示できますが、内容は表示できません) | グループ 3 - (読み取り/書き込み/実行)
ご協力いただければ幸いです。
ありがとう!
答え1
役に立つかもしれないコメント
どのグループがあなたにアクセス権を与えているかを調べ、あなた自身で質問に答えてください。
次の 2 種類のセキュリティ グループを区別する必要があります。
- リソースにアクセスするグループ通常、各リソース(ここでは管理ディレクトリ)のR/ExecとRWグループ。ユーザーにフルコントロールを付与しないでください。絶対に。
- グループの管理フル コントロール アクセスでどこにでも存在する必要があります。
管理者の場合は、1 つ以上の管理グループのメンバーである必要があります。例: ServiceDesk グループ、管理サーバー、管理ワークステーション グループ、ドメイン管理者 (そうです! すべての管理者がこのグループのメンバーになるべきではありません)
- 共有のアクセス権はどうでしょうか?気にしないでください。これをいじらないでください。Everyone フル コントロールまたはより安全な Domain Users または Authenticated Users フル コントロール。必要に応じて AD グループを配置できますが、その後は管理が非常に困難になります (場合によっては管理不可能になります)。
留意点:共有権限とNTFSアクセス許可の間で、最も小さいものが勝者です。 つまり、共有のアクセス権 - NTFS アクセス許可 - 結果読み取り - フル コントロール - 読み取り通常、考えてみると、ファイルにアクセスする前に共有を通過する必要があります。
NTFS 権限を迅速に監査/管理したい場合は、モジュール NTFSSecurity (PowerShell ギャラリー内) を使用します。
数行のコードを使用した使用例: $share = "\server\share" # 最初のレベルのディレクトリを収集します。複数レベルの場合は -Depth を使用します $Tree = Get-ChildItem -Path $share -Directory | Select-Object Name, FullName # モジュール NTFSSecurity をインポートします (Get-Acl コマンドレットを使用するのが最も便利です) Import-Module NTFSSecurity # 共有の NTFS アクセス許可を収集します $result = Get-NTFSAccess -Path $share # 各サブディレクトリの NTFS アクセス許可を収集します。 $result += foreach ($dir in $Tree) { Get-NTFSAccess -Path dir.fullName -ExcludeInherited # 出力ファイルを軽量化するためです。探しているものに応じて -ExcludeExplicit を使用することもできます。 } # .csv ファイルにエクスポートします $result | Export-Csv -Path c:\exportPath\NTFSPerms.csv -NoTypeInformation # 必要に応じて -Encoding -Delimiter を使用します
注意: これをスクリプトとして考えないでください。エラー処理はありません。単なる数行の記述で、それ以上のものではありません。
よろしくオリーブ