Manage NTFS Permission
Mithilfe der Powershell lassen sich viele Aufgaben und Probleme lösen.
Hier eine kleine Einführung, wie man Dateiberechtigungen setzt und wieder entfernt.
Bevor wir beginnen ist es sinnvoll zu prüfen welche NTFS Berechtigungen es überhaupt gibt. Dieser Befehl gibt uns eine Liste von Rechten aus.
[system.enum]::getnames([System.Security.AccessControl.FileSystemRights])
Auf Laufwerk E: befindet sich ein Ordner namens Daten. In diesem Ordner liegt eine Datei und Manfred soll diese Datei lesen dürfen.
$Berechtigung = Get-ACL -Path “E:\Daten\Rechnung.txt”
$NEUBerechtigung = New-Object System.Security.AccessControl.FileSystemAccessRule(“VMWIN1020H2\Manfred”,”Read”,”Allow”)
$Berechtigung.SetAccessRule($NEUBerechtigung)
$Berechtigung | Set-Acl -Path “E:\Daten\Rechnung.txt”
Die aktuellen Berechtigungen auf diese Datei lassen sich wie folgt abfragen.
Get-Acl -Path ‘E:\Daten\Rechnung.txt’ | Select-Object -ExpandProperty Access | Format-Table -Autosize
Nun entfernen wir Manfred wieder den Lesezugriff.
$Berechtigung = Get-ACL -Path “E:\Daten\Rechnung.txt”
$NEUBerechtigung = New-Object System.Security.AccessControl.FileSystemAccessRule(“VMWIN1020H2\Manfred”,”Read”,”Allow”)
$Berechtigung.RemoveAccessRule($NEUBerechtigung)
$Berechtigung | Set-Acl -Path “E:\Daten\Rechnung.txt”
Prüfen noch einmal die Berechtigungen.
Get-Acl -Path ‘E:\Daten\Rechnung.txt’ | Select-Object -ExpandProperty Access | Format-Table -Autosize
Optional:
Möchte man mehrere Berechtigungen vergeben, wie z.B. nur das Lesen und Schreiben, dann lautet die Syntax wie folgt:
$NEUBerechtigung = New-Object System.Security.AccessControl.FileSystemAccessRule(“VMWIN1020H2\Manfred”,”ReadData,WriteData“,”Allow”)
Auflistung der dahinterliegenden Eigenschaften:
| AppendData | Daten anhängen |
| ChangePermissions | Berechtigungen ändern |
| CreateDirectories | Ordner erstellen |
| CreateFiles | Datei erstellen |
| Delete | Löschen |
| DeleteSubdirectoriesAndFiles | Unterordner und Daten löschen |
| ExecuteFile | Datei ausführen |
| FullControl | Vollzugriff |
| ListDirectory | Ordner listen |
| Modify | Ändern |
| Read | Lesen |
| ReadAndExecute | Lesen, Ausführen |
| ReadAttributes | Attribute lesen |
| ReadData | Daten lesen |
| ReadExtendedAttributes | Erweiterte Attribute lesen |
| ReadPermissions | Berechtigungen lesen |
| Synchronize | Das Recht, das Objekt für die Synchronisierung zu verwenden. Dadurch kann ein Thread warten, bis sich das Objekt im signalisierten Zustand befindet. Einige Objekttypen unterstützen dieses Zugriffsrecht nicht. |
| TakeOwnership | Besitz übernehmen |
| Traverse | Ordner durchsuchen |
| Write | Schreiben |
| WriteAttributes | Attribute schreiben |
| WriteData | Schreiben |
| WriteExtendedAttributes | Erweiterte Attribute schreiben |