Set-Acl
Ändert die Sicherheitsbeschreibung für ein angegebenes Element, z. B. eine Datei oder einen Registrierungsschlüssel.
Syntax
Set-Acl
[-Path] <String[]>
[-AclObject] <Object>
[-ClearCentralAccessPolicy]
[-Passthru]
[-Filter <String>]
[-Include <String[]>]
[-Exclude <String[]>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]Set-Acl
[-InputObject] <PSObject>
[-AclObject] <Object>
[-Passthru]
[-Filter <String>]
[-Include <String[]>]
[-Exclude <String[]>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]Set-Acl
-LiteralPath <String[]>
[-AclObject] <Object>
[-ClearCentralAccessPolicy]
[-Passthru]
[-Filter <String>]
[-Include <String[]>]
[-Exclude <String[]>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]Beschreibung
Dieses Cmdlet ist nur auf der Windows-Plattform verfügbar.
Das Set-Acl Cmdlet ändert den Sicherheitsdeskriptor eines angegebenen Elements, z. B. einer Datei oder eines Registrierungsschlüssels, so, dass er den Werten in einem von Ihnen angegebenen Sicherheitsdeskriptor entspricht.
Um zu verwenden Set-Acl, verwenden Sie den Parameter Path oder InputObject , um das Element zu identifizieren, dessen Sicherheitsbeschreibung Sie ändern möchten. Verwenden Sie dann die Parameter AclObject oder SecurityDescriptor, um eine Sicherheitsbeschreibung mit den Werten anzugeben, die Sie anwenden möchten. Set-Acl wendet den angegebenen Sicherheitsdeskriptor an. Es verwendet den Wert des AclObject-Parameters als Modell und ändert die Werte in der Sicherheitsbeschreibung des Elements, sodass sie den Werten im AclObject-Parameter entsprechen.
Beispiele
Beispiel 1: Kopieren eines Sicherheitsdeskriptors aus einer Datei in eine andere
$DogACL = Get-Acl -Path "C:\Dog.txt"
Set-Acl -Path "C:\Cat.txt" -AclObject $DogACLDiese Befehle kopieren die Werte aus der Sicherheitsbeschreibung der Datei „Dog.txt“ in die Sicherheitsbeschreibung der Datei „Cat.txt“. Wenn die Befehle abgeschlossen sind, stimmen die Sicherheitsbeschreibungen von Dog.txt und Cat.txt überein.
Der erste Befehl verwendet das Get-Acl Cmdlet, um den Sicherheitsdeskriptor der Dog.txt-Datei abzurufen.
Der Zuweisungsoperator (=) speichert den Sicherheitsdeskriptor im Wert der variablen $DogACL.
Der zweite Befehl verwendet Set-Acl , um die Werte in der ACL von Cat.txt in die Werte in $DogACLzu ändern.
Der Wert des Path-Parameters ist der Pfad zur Datei „Cat.txt“. Der Wert des AclObject-Parameters ist die Modell-ACL, in diesem Fall die ACL von Dog.txt, wie in der $DogACL Variablen gespeichert.
Beispiel 2: Verwenden des Pipelineoperators zum Übergeben eines Deskriptors
Get-Acl -Path "C:\Dog.txt" | Set-Acl -Path "C:\Cat.txt"Dieser Befehl entspricht fast dem Befehl im vorherigen Beispiel, mit dem Unterschied, dass er einen Pipelineoperator (|) verwendet, um die Sicherheitsbeschreibung von einem Get-Acl Befehl an einen Set-Acl Befehl zu senden.
Der erste Befehl verwendet das Get-Acl Cmdlet, um den Sicherheitsdeskriptor der Dog.txt-Datei abzurufen. Der Pipelineoperator (|) übergibt ein -Objekt, das die Dog.txt Sicherheitsdeskriptor darstellt, an das Set-Acl Cmdlet.
Der zweite Befehl verwendet Set-Acl , um die Sicherheitsbeschreibung von Dog.txt auf Cat.txt anzuwenden.
Wenn der Befehl abgeschlossen ist, stimmen die ACLs von Dog.txt und Cat.txt überein.
Beispiel 3: Anwenden eines Sicherheitsdeskriptors auf mehrere Dateien
$NewAcl = Get-Acl File0.txt
Get-ChildItem -Path "C:\temp" -Recurse -Include "*.txt" -Force | Set-Acl -AclObject $NewAclDiese Befehle wenden die Sicherheitsbeschreibungen in der File0.txt-Datei auf alle Textdateien im C:\Temp Verzeichnis und alle zugehörigen Unterverzeichnisse an.
Der erste Befehl ruft die Sicherheitsbeschreibung der File0.txt-Datei im aktuellen Verzeichnis ab und verwendet den Zuweisungsoperator (=), um sie in der $NewACL Variablen zu speichern.
Der erste Befehl in der Pipeline verwendet das Cmdlet Get-ChildItem, um alle Textdateien im C:\Temp Verzeichnis abzurufen. Der Recurse-Parameter erweitert den Befehl auf alle Unterverzeichnisse von C:\temp. Der Include-Parameter beschränkt die abgerufenen Dateien auf die Dateien mit der .txt Dateinamenerweiterung. Der Force-Parameter ruft versteckte Dateien ab, die andernfalls ausgeschlossen würden. (Sie können nicht verwenden c:\temp\*.txt, da der Recurse-Parameter für Verzeichnisse und nicht für Dateien funktioniert.)
Der Pipelineoperator (|) sendet die Objekte, die die abgerufenen Dateien darstellen, an das Set-Acl Cmdlet, das den Sicherheitsdeskriptor im AclObject-Parameter auf alle Dateien in der Pipeline anwendet.
In der Praxis empfiehlt es sich, den WhatIf-Parameter mit allen Set-Acl Befehlen zu verwenden, die sich auf mehrere Elemente auswirken können. In diesem Fall wäre Set-Acl -AclObject $NewAcl -WhatIfder zweite Befehl in der Pipeline . Dieser Befehl listet die Dateien auf, die von dem Befehl betroffen wären. Nachdem Sie das Ergebnis überprüft haben, können Sie den Befehl ohne den WhatIf-Parameter erneut ausführen.
Beispiel 4: Deaktivieren der Vererbung und Beibehalten geerbter Zugriffsregeln
$NewAcl = Get-Acl -Path "C:\Pets\Dog.txt"
$isProtected = $true
$preserveInheritance = $true
$NewAcl.SetAccessRuleProtection($isProtected, $preserveInheritance)
Set-Acl -Path "C:\Pets\Dog.txt" -AclObject $NewAclMit diesen Befehlen wird die Zugriffsvererbung aus übergeordneten Ordnern deaktiviert, während die vorhandenen geerbten Zugriffsregeln beibehalten werden.
Der erste Befehl verwendet das Get-Acl Cmdlet, um den Sicherheitsdeskriptor der Dog.txt-Datei abzurufen.
Als Nächstes werden Variablen erstellt, um die geerbten Zugriffsregeln in explizite Zugriffsregeln zu konvertieren. Um die diesem zugeordneten Zugriffsregeln vor Vererbung zu schützen, legen Sie die $isProtected Variable auf fest $true. Um die Vererbung zuzulassen, legen Sie auf $falsefest$isProtected. Weitere Informationen finden Sie unter Festlegen des Zugriffsregelschutzes.
Legen Sie die $preserveInheritance Variable auf fest $true , um geerbte Zugriffsregeln beizubehalten oder $false geerbte Zugriffsregeln zu entfernen. Anschließend wird der Zugriffsregelschutz mithilfe der SetAccessRuleProtection()- Methode aktualisiert.
Der letzte Befehl verwendet Set-Acl , um die Sicherheitsbeschreibung von auf Dog.txt anzuwenden. Nach Abschluss des Befehls werden die ACLs der Dog.txt, die aus dem Ordner "Haustiere" geerbt wurden, direkt auf Dog.txt angewendet, und die neuen Zugriffsrichtlinien, die Haustiere hinzugefügt wurden, ändern den Zugriff auf Dog.txt nicht.
Beispiel 5: Gewähren der vollständigen Kontrolle über die Datei
$NewAcl = Get-Acl -Path "C:\Pets\Dog.txt"
# Set properties
$identity = "BUILTIN\Administrators"
$fileSystemRights = "FullControl"
$type = "Allow"
# Create new rule
$fileSystemAccessRuleArgumentList = $identity, $fileSystemRights, $type
$fileSystemAccessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $fileSystemAccessRuleArgumentList
# Apply new rule
$NewAcl.SetAccessRule($fileSystemAccessRule)
Set-Acl -Path "C:\Pets\Dog.txt" -AclObject $NewAclDieser Befehl gewährt der Gruppe BUILTIN\Administrators die vollständige Kontrolle über die Dog.txt-Datei.
Der erste Befehl verwendet das Get-Acl Cmdlet, um den Sicherheitsdeskriptor der Dog.txt-Datei abzurufen.
Die nächsten Variablen werden erstellt, um der Gruppe BUILTIN\Administrators die vollständige Kontrolle über die Dog.txt Datei zu gewähren. Die $identity Variable wird auf den Namen eines Benutzerkontos festgelegt. Die $fileSystemRights Variable ist auf FullControl festgelegt und kann einer der FileSystemRights-Werte sein, der den Typ des Vorgangs angibt, der der Zugriffsregel zugeordnet ist. Die $type Auf "Zulassen" festgelegte Variable gibt an, ob der Vorgang zugelassen oder verweigert werden soll. Die $fileSystemAccessRuleArgumentList Variable ist eine Argumentliste, die beim Erstellen des neuen FileSystemAccessRule-Objekts übergeben werden soll. Anschließend wird ein neues FileSystemAccessRule-Objekt erstellt, und das FileSystemAccessRule-Objekt wird an die SetAccessRule() -Methode übergeben und fügt die neue Zugriffsregel hinzu.
Der letzte Befehl verwendet Set-Acl , um die Sicherheitsbeschreibung von auf Dog.txt anzuwenden. Nach Abschluss des Befehls hat die Gruppe BUILTIN\Administrators die volle Kontrolle über den Dog.txt.
Parameter
-AclObject
Gibt eine ACL mit den gewünschten Eigenschaftswerten an. Set-Acl ändert die ACL des durch den Path - oder InputObject-Parameter angegebenen Elements an die Werte im angegebenen Sicherheitsobjekt.
Sie können die Ausgabe eines Get-Acl Befehls in einer Variablen speichern und dann den Parameter AclObject verwenden, um die Variable zu übergeben, oder einen Get-Acl Befehl eingeben.
| Type: | Object |
| Position: | 1 |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-ClearCentralAccessPolicy
Entfernt die zentrale Zugriffsrichtlinie aus dem angegebenen Element.
Ab Windows Server 2012 können Administratoren Active Directory und Gruppenrichtlinie verwenden, um zentrale Zugriffsrichtlinien für Benutzer und Gruppen festzulegen. Weitere Informationen finden Sie unter Dynamische Access Control: Übersicht über das Szenario.
Dieser Parameter wurde in Windows PowerShell 3.0 eingeführt.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | False |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Confirm
Hiermit werden Sie vor der Ausführung des Cmdlets zur Bestätigung aufgefordert.
| Type: | SwitchParameter |
| Aliases: | cf |
| Position: | Named |
| Default value: | False |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Exclude
Lässt die angegebenen Elemente aus. Der Wert dieses Parameters qualifiziert den Path-Parameter. Geben Sie ein Pfadelement oder -muster ein, z. B *.txt. . Platzhalter sind zulässig.
| Type: | String[] |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | True |
-Filter
Gibt einen Filter im Format oder in der Sprache des Anbieters an. Der Wert dieses Parameters qualifiziert den Path-Parameter. Die Syntax des Filters einschließlich der Verwendung von Platzhaltern ist vom Anbieter abhängig. Filter sind effizienter als andere Parameter, da der Anbieter sie beim Abrufen der Objekte anwendet, anstatt die Objekte nach dem Abrufen von PowerShell filtern zu lassen.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | True |
-Include
Ändert nur die angegebenen Elemente. Der Wert dieses Parameters qualifiziert den Path-Parameter.
Geben Sie ein Pfadelement oder -muster ein, z. B *.txt. . Platzhalter sind zulässig.
| Type: | String[] |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | True |
-InputObject
Ändert die Sicherheitsbeschreibung für das angegebene Objekt. Geben Sie eine Variable ein, die das Objekt enthält, oder geben Sie einen Befehl ein, mit dem das Objekt abgerufen wird.
Sie können das zu ändernde Objekt nicht in pipen.Set-Acl Verwenden Sie stattdessen den InputObject-Parameter explizit im Befehl.
Dieser Parameter wurde in Windows PowerShell 3.0 eingeführt.
| Type: | PSObject |
| Position: | 0 |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-LiteralPath
Ändert die Sicherheitsbeschreibung für das angegebene Element. Im Gegensatz zu Path wird der Wert des LiteralPath-Parameters genauso verwendet, wie er eingegeben wurde. Es werden keine Zeichen als Platzhalter interpretiert. Wenn der Pfad Escapezeichen enthält, schließen Sie ihn in einfache Anführungszeichen (') ein.
Einzelne Anführungszeichen weisen PowerShell an, keine Zeichen als Escapesequenzen zu interpretieren.
Dieser Parameter wurde in Windows PowerShell 3.0 eingeführt.
| Type: | String[] |
| Aliases: | PSPath |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-Passthru
Gibt ein Objekt zurück, das die geänderte Sicherheitsbeschreibung darstellt. Standardmäßig wird von diesem Cmdlet keine Ausgabe generiert.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Path
Ändert die Sicherheitsbeschreibung für das angegebene Element. Geben Sie den Pfad zu einem Element ein, z. B. einen Pfad zu einer Datei oder einem Registrierungsschlüssel. Platzhalter sind zulässig.
Wenn Sie ein Sicherheitsobjekt an Set-Acl übergeben (entweder mithilfe des AclObject - oder SecurityDescriptor-Parameters oder durch Übergeben eines Sicherheitsobjekts von Get-Acl an Set-Acl), und Sie den Path-Parameter (Name und Wert) weglassen, Set-Acl verwendet den Pfad, der im Sicherheitsobjekt enthalten ist.
| Type: | String[] |
| Position: | 0 |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | True |
-WhatIf
Zeigt, was geschieht, wenn das Cmdlet ausgeführt wird. Das Cmdlet wird nicht ausgeführt.
| Type: | SwitchParameter |
| Aliases: | wi |
| Position: | Named |
| Default value: | False |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
Eingaben
System.Security.AccessControl.ObjectSecurity, System.Security.AccessControl.CommonSecurityDescriptor
Sie können ein ACL-Objekt oder eine Sicherheitsbeschreibung an übergeben Set-Acl.
Ausgaben
Standardmäßig Set-Acl wird keine Ausgabe generiert. Allerdings wird bei Verwendung des Passthru-Parameters ein Sicherheitsobjekt generiert. Der Typ des Sicherheitsobjekts hängt vom Typ des Elements ab.
Hinweise
Dieses Cmdlet ist nur auf Windows-Plattformen verfügbar.
Das Set-Acl Cmdlet wird vom PowerShell-Dateisystem und den Registrierungsanbietern unterstützt. Sie können es verwenden, um die Sicherheitsbeschreibungen von Dateien, Verzeichnissen und Registrierungsschlüsseln zu ändern.