检查多个网络共享的文件权限？

Question

我们有多个 Windows 网络共享，位于托管一组公共文件的公共位置 (\\server-name\share)。这些共享被复制到大约 30000 台服务器上。我们已经完成了实际的复制，但遇到了一个意想不到的问题：远在半个地球之外的服务器管理员更改了我们共享上的文件权限，并以创造性的方式破坏了复制。

为了尽早检测到这一点，我们想编写一个脚本来检查每个服务器的网络共享，并确保共享文件夹和共享文件夹存在一些权限。其内容：

• 每个人都需要读取权限
• 用户 X 需要更改/修改
• 用户 Y 需要完全控制

现在，到目前为止，我已经有了一个很好的脚本，可以检查至少每个共享是否存在。复杂性源于这样一个事实：（由于良好的 Active Directory 树），服务器之间的用户名是一致的（始终采用“域/用户”的形式），但它们的 guid 号不同。

到目前为止，我一直在研究 cacls.exe 和较新版本的 Icacls。 exe，但选项很混乱，并且似乎集中在更改访问控制列表上，这是我不想做的。任何 Windows 内置的工具都是更好的，我只是不确定如何解决这个问题。

所以归结为：在某个任意服务器上，如果我只知道用户的名称，是否有办法找出他们对给定文件夹具有哪些文件权限？

Answer 1

icacls 允许使用“友好名称”形式来指定用户。这意味着您应该能够使用人类风格的名称。因此，“bob”应该指向您所有域中的同一个人。

您可以使用 /grant:r 向用户授予权限，而无需更改任何其他内容，这意味着“如果已经存在，则不执行任何操作，否则添加它”。因此，

每个人都需要读取权限
icacls \a\directory\somewhere /t /grant:r Everyday:(rd)

我假设您希望他们能够列出目录的内容并进行读取。

用户 X 需要更改/修改
icacls \a\directory\somewhere /t /grant:r bobX:m

等等。我认为“m”足以传达“修改”权限。

ACL 只是“权限”的别称。因此，如果您想更改权限，那么您需要更改 ACL。