Hallo,
Ich möchte mit diesem Script
$path = ".\"
$colRights = [System.Security.AccessControl.FileSystemRights]"ReadData, ExecuteFile, ReadPermissions, Synchronize"
$InheritanceFlag = [System.Security.AccessControl.InheritanceFlags]::ContainerInherit
$PropagationFlag = [System.Security.AccessControl.PropagationFlags]::InheritOnly
$objType =[System.Security.AccessControl.AccessControlType]:Allow
$objUser = New-Object System.Security.Principal.NTAccount("DOMAIN\GROUP")
$objACE = New-Object System.Security.AccessControl.FileSystemAccessRule `
($objUser, $colRights, $InheritanceFlag, $PropagationFlag, $objType)
$objACL = Get-ACL $path
$objACL.AddAccessRule($objACE)
Set-ACL $path $objACLeiner Gruppe ein spezielles Recht einräumen: Sie soll schreibgeschützt alle Ordner-ACLs eines Verzeichnisbaums einsehen, aber keine Dateien lesen/öffnen dürfen. In der GUI habe ich das schon fertig modelliert, hierfür werden 2 ACEs benötigt.
Der erste verweigert "Ordner durchsuchen / Dateien ausführen" und "Ordner auflisten / Daten lesen", Übernehmen für "nur Dateien". Der zweite erlaubt "Ordner durchsuchen / Dateien ausführen", "Ordner auflisten / Daten lesen" und "Berechtigungen lesen", Übernehmen für "diesen Ordner, Unterordner".
Wenn ich mir diese Konfig nun über get-acl ausgeben lasse kommt folgende Ausgabe:
Access : DOMAIN\GROUP Deny ReadData, ExecuteFile
DOMAIN\GROUP Allow ReadData, ExecuteFile, ReadPermissions, SynchronizeDies habe ich ins Script übertragen und ausgeführt, es kommt dabei aber das hier raus:
Im Netz habe ich etwas über die FileSystemRights gesehen, kann es sein dass es nur darüber geht und nicht mit set-acl ? Wie geht es denn richtig?
Vielen Dank für Eure Hilfe! :-)
P.S.: der Thread hängt mit dem Problem http://social.technet.microsoft.com/Forums/en-US/powershell_de/thread/a0c3c6ec-e2c5-4445-9b72-db995eaffb57 zusammen