ICACLS добавляет локальную группу в powershell

Привет, я делаю некоторые автоматические разрешения для папок на серверах, и я создал группу с тем же именем на удаленных машинах, и я пытаюсь предоставить группе доступ к папке, но icacls, похоже, не любит локальные группы, он может' добавить их в папку...

Например, он добавляет домен\пользователь, домен\группу, встроенный\администраторы.

но когда я пытаюсь использовать localmachine\localgroup, это задыхается... Есть идеи?

Я делаю это через powershell, но я не думаю, что это должно быть проблемой. Я бы получил SID, но я предполагаю, что это сложно, потому что я выполняю на удаленной машине через команду вызова

Любые идеи?

Спасибо!


batch-file icacls
person Bob Fishel    schedule 30.12.2013    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Попробуйте опустить localmachine\ из localmachine\localgroup. Вам не нужно указывать имя локального компьютера при развертывании команды icacls через PowerShell Remoting (в частности, Invoke-Command). Вы могли заметить в справке icacls, что она не требует имени компьютера в качестве префикса.

Examples:

        icacls c:\windows\* /save AclFile /T
        - Will save the ACLs for all files under c:\windows
          and its subdirectories to AclFile.

        icacls c:\windows\ /restore AclFile
        - Will restore the Acls for every file within
          AclFile that exists in c:\windows and its subdirectories.

        icacls file /grant Administrator:(D,WDAC)
        - Will grant the user Administrator Delete and Write DAC
          permissions to file.

        icacls file /grant *S-1-1-0:(D,WDAC)
        - Will grant the user defined by sid S-1-1-0 Delete and
          Write DAC permissions to file.
person Trevor Sullivan    schedule 30.12.2013
comment
Попробовал это, и никаких кубиков, похоже, он читает sids с локальной машины, а не с удаленной ... - person Bob Fishel; 31.12.2013
comment
Но вы развертываете скрипт через Invoke-Command, верно? icacls.exe должен выполняться на удаленном компьютере и не знать о вашем локальном компьютере. - person Trevor Sullivan; 31.12.2013