如何在命令行中模拟高级安全设置“有效访问”选项卡(尤其是 Win10)?更喜欢内置工具,我即将评估是否系统内部访问检查可以做到这一点
icacls 仅显示被授予此文件夹权限的域组,那么我如何检查单个用户?一个合乎逻辑的答案可能是用来net user gregg /domain
验证相关用户是否属于被授予该文件夹权限的域组。这两个步骤会提供“有效访问”提供的所有信息吗?
背景信息:
- 我是一名系统管理员,拥有两个域帐户(一个普通/受限帐户,一个域管理员帐户)。因此,当有人说他们无法访问文件时,我必须远程访问服务器以获取管理员访问权限才能使用“有效访问权限”,这有点不方便。我可以用 RSAT 工具做到这一点吗?
- 我们的网络驱动器文件夹各自具有使用域用户组的独特权限。管理人员有时会将文件从安全位置移动到不太安全(每个人都可以访问)的文件夹,但安全权限会随之而来,给其他员工带来麻烦。复制与移动/剪切时权限的处理方式不同(请参阅kb310316或者这篇博文),但我很难向最终用户解释清楚,因为我才刚刚慢慢掌握这个概念
相关问题:
答案1
我首选的方法是使用非原生的 PowerShell 模块NTFS安全可在 PowerShell 库中获取。
您可以通过运行以下命令从大多数现代 Windows Powershell 窗口安装模块
Install-Module -Name NTFSSecurity -RequiredVersion 4.2.3
为了检索有效访问权限,您可以运行以下命令:
Get-NTFSEffectiveAccess -Path \\path\to\UNC\file -Account <samaccountname>
它也适用于本地路径;输出采用以下格式:
Path: \\path\to\UNC\file (Inheritance disabled)
Account Access Rights Applies to Type IsInherited InheritedFrom
------- ------------- ---------- ---- ----------- -------------
DOMAIN\user FullControl ThisFolderOnly Allow False