如何使用 Active Directory/NTFS 模拟 WORM 环境

Question 1

经过多次反复尝试后，这个 powershell 脚本似乎可以做到这一点：

$worm="C:\WORM"
mkdir -Force $worm
cd $worm

<#  https://serverfault.com/a/17869

SYSTEM - Full Control - Apply onto: This folder, subfolders, and files
Administrators - Full Control - Apply onto: This folder, subfolders, and files
Authenticated Users - Read - Apply onto: This folder, subfolders, and files
Authenticated Users - Create Files / Write Data - Apply onto: This folder and subfolders

#>

$acl  = Get-Acl $worm
$ace1 = New-Object Security.AccessControl.FileSystemAccessRule 'Users', `
        'CreateDirectories, CreateFiles, ListDirectory, Read', `
        'ContainerInherit, ObjectInherit', `
        'None', `
        'Allow'
$acl.AddAccessRule($ace1)
Set-Acl -AclObject $acl -Path $worm

$acl  = Get-Acl $worm
$ace1 = New-Object Security.AccessControl.FileSystemAccessRule 'Users', `
        'DeleteSubdirectoriesAndFiles,Delete', `
        'ContainerInherit, ObjectInherit', `
        'None', `
        'Deny'
$acl.AddAccessRule($ace1)
Set-Acl -AclObject $acl -Path $worm

$acl  = Get-Acl $worm
$ace1 = New-Object Security.AccessControl.FileSystemAccessRule 'Users', `
        'WriteData', `
        'ObjectInherit', `
        'InheritOnly', `
        'Deny'
$acl.AddAccessRule($ace1)
Set-Acl -AclObject $acl -Path $worm

但它并不是万无一失的，因为管理员可以通过以下方式重新夺回控制权：

icacls C:\WORM /T /Q /C /RESET

我想说的是，如果您需要符合 SEC 合规性或其他要求的工业级解决方案，您可能必须投资 NetApp 和 SnapLock：

https://library.netapp.com/ecmdocs/ECMP1196889/html/GUID-7334EEB5-94E9-4500-BA40-681DEC572420.html

Answer

经过多次反复尝试后，这个 powershell 脚本似乎可以做到这一点：

$worm="C:\WORM"
mkdir -Force $worm
cd $worm

<#  https://serverfault.com/a/17869

SYSTEM - Full Control - Apply onto: This folder, subfolders, and files
Administrators - Full Control - Apply onto: This folder, subfolders, and files
Authenticated Users - Read - Apply onto: This folder, subfolders, and files
Authenticated Users - Create Files / Write Data - Apply onto: This folder and subfolders

#>

$acl  = Get-Acl $worm
$ace1 = New-Object Security.AccessControl.FileSystemAccessRule 'Users', `
        'CreateDirectories, CreateFiles, ListDirectory, Read', `
        'ContainerInherit, ObjectInherit', `
        'None', `
        'Allow'
$acl.AddAccessRule($ace1)
Set-Acl -AclObject $acl -Path $worm

$acl  = Get-Acl $worm
$ace1 = New-Object Security.AccessControl.FileSystemAccessRule 'Users', `
        'DeleteSubdirectoriesAndFiles,Delete', `
        'ContainerInherit, ObjectInherit', `
        'None', `
        'Deny'
$acl.AddAccessRule($ace1)
Set-Acl -AclObject $acl -Path $worm

$acl  = Get-Acl $worm
$ace1 = New-Object Security.AccessControl.FileSystemAccessRule 'Users', `
        'WriteData', `
        'ObjectInherit', `
        'InheritOnly', `
        'Deny'
$acl.AddAccessRule($ace1)
Set-Acl -AclObject $acl -Path $worm

但它并不是万无一失的，因为管理员可以通过以下方式重新夺回控制权：

icacls C:\WORM /T /Q /C /RESET

我想说的是，如果您需要符合 SEC 合规性或其他要求的工业级解决方案，您可能必须投资 NetApp 和 SnapLock：

https://library.netapp.com/ecmdocs/ECMP1196889/html/GUID-7334EEB5-94E9-4500-BA40-681DEC572420.html

Question 2

据我所知，存在一个问题，如果脚本以用户身份运行，他们需要有写入 I 驱动器的权限。

也许您可以运行一个计划任务，在 I 驱动器上以写入权限运行，以提取文件。也许他们可以创建一个名为“readytocopy.txt”或类似的文件。当计划任务在用户目录中找到该文件时，它会复制文件（readytocopy.txt 除外）。

您要解决什么具体问题？

Answer

据我所知，存在一个问题，如果脚本以用户身份运行，他们需要有写入 I 驱动器的权限。

也许您可以运行一个计划任务，在 I 驱动器上以写入权限运行，以提取文件。也许他们可以创建一个名为“readytocopy.txt”或类似的文件。当计划任务在用户目录中找到该文件时，它会复制文件（readytocopy.txt 除外）。

您要解决什么具体问题？

Question 3

这可以通过脚本、计划任务和 NTFS 权限的组合来实现。

假设您没有子文件夹，只有单个文件夹中的文件，那么实现方法如下：

群组

设置用户组
设置管理员组

（如果愿意，可以使用内置的）

目标文件夹的 NTFS 权限 (I:)

读取、列出文件夹内容、执行、写入 - 仅限此文件夹，针对用户组
完全控制 - 此文件夹、子文件夹、文件属于管理员组

计划任务

删除每个具有写权限的文件的所有写权限的脚本
可以是使用 icacls.exe、Powershell、vbscript 等任何脚本的批处理脚本
将任务设置为手动启动
需要以对文件夹和文件具有完全控制权的用户身份运行（管理员组）
授予用户组适当的权限来启动计划任务（可以是本地计算机上的任务，也可以是远程计算机上的任务）

脚本

几乎可以是任何语言（PS 可能是首选）
仅当文件不存在时才复制
复制后，使用 Powershell 调用 Start-ScheduledTask，或者如果使用其他脚本语言，则使用 schtasks.exe 启动计划任务。可在本地或远程计算机上运行。

有一段时间文件仍然可以由用户写入，具体取决于脚本的编码方式、文件夹中有多少个文件等等，该时间最短为几毫秒。

Answer