Set-Acl

  • Referentie
Module:
Microsoft.PowerShell.Security

Hiermee wijzigt u de beveiligingsdescriptor van een opgegeven item, zoals een bestand of een registersleutel.

Syntax

Set-Acl
   [-Path] <String[]>
   [-AclObject] <Object>
   [-ClearCentralAccessPolicy]
   [-Passthru]
   [-Filter <String>]
   [-Include <String[]>]
   [-Exclude <String[]>]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]
Set-Acl
   [-InputObject] <PSObject>
   [-AclObject] <Object>
   [-Passthru]
   [-Filter <String>]
   [-Include <String[]>]
   [-Exclude <String[]>]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]
Set-Acl
   -LiteralPath <String[]>
   [-AclObject] <Object>
   [-ClearCentralAccessPolicy]
   [-Passthru]
   [-Filter <String>]
   [-Include <String[]>]
   [-Exclude <String[]>]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]

Description

Deze cmdlet is alleen beschikbaar op het Windows-platform.

De Set-Acl cmdlet wijzigt de beveiligingsdescriptor van een opgegeven item, zoals een bestand of een registersleutel, zodat deze overeenkomt met de waarden in een beveiligingsdescriptor die u opgeeft.

Als u wilt gebruiken Set-Acl, gebruikt u de parameter Path of InputObject om het item te identificeren waarvan u de beveiligingsdescriptor wilt wijzigen. Gebruik vervolgens de parameters AclObject of SecurityDescriptor om een beveiligingsdescriptor op te geven met de waarden die u wilt toepassen. Set-Acl past de beveiligingsdescriptor toe die wordt opgegeven. Hierbij wordt de waarde van de parameter AclObject als model gebruikt en worden de waarden in de beveiligingsdescriptor van het item gewijzigd zodat deze overeenkomt met de waarden in de parameter AclObject .

Voorbeelden

Voorbeeld 1: Een beveiligingsdescriptor kopiëren van het ene bestand naar het andere

$DogACL = Get-Acl -Path "C:\Dog.txt"
Set-Acl -Path "C:\Cat.txt" -AclObject $DogACL

Met deze opdrachten worden de waarden uit de beveiligingsdescriptor van het Dog.txt-bestand gekopieerd naar de beveiligingsdescriptor van het Cat.txt-bestand. Wanneer de opdrachten zijn voltooid, zijn de beveiligingsdescriptors van de Dog.txt en Cat.txt bestanden identiek.

De eerste opdracht gebruikt de Get-Acl cmdlet om de beveiligingsdescriptor van het Dog.txt-bestand op te halen. De toewijzingsoperator (=) slaat de beveiligingsdescriptor op in de waarde van de $DogACL variabele.

De tweede opdracht gebruikt Set-Acl om de waarden in de ACL van Cat.txt te wijzigen in de waarden in $DogACL.

De waarde van de parameter Path is het pad naar het bestand Cat.txt. De waarde van de parameter AclObject is de model-ACL, in dit geval de ACL van Dog.txt als opgeslagen in de $DogACL variabele.

Voorbeeld 2: De pijplijnoperator gebruiken om een descriptor door te geven

Get-Acl -Path "C:\Dog.txt" | Set-Acl -Path "C:\Cat.txt"

Deze opdracht is bijna hetzelfde als de opdracht in het vorige voorbeeld, behalve dat er een pijplijnoperator (|) wordt gebruikt om de beveiligingsdescriptor van een Get-Acl opdracht naar een Set-Acl opdracht te verzenden.

De eerste opdracht gebruikt de Get-Acl cmdlet om de beveiligingsdescriptor van het Dog.txt-bestand op te halen. De pijplijnoperator (|) geeft een object door dat de Dog.txt beveiligingsdescriptor aan de Set-Acl cmdlet vertegenwoordigt.

De tweede opdracht gebruikt Set-Acl om de beveiligingsdescriptor van Dog.txt toe te passen op Cat.txt. Wanneer de opdracht is voltooid, zijn de ACL's van de Dog.txt- en Cat.txt-bestanden identiek.

Voorbeeld 3: Een beveiligingsdescriptor toepassen op meerdere bestanden

$NewAcl = Get-Acl File0.txt
Get-ChildItem -Path "C:\temp" -Recurse -Include "*.txt" -Force | Set-Acl -AclObject $NewAcl

Met deze opdrachten worden de beveiligingsdescriptors in het File0.txt-bestand toegepast op alle tekstbestanden in de C:\Temp map en alle bijbehorende submappen.

Met de eerste opdracht wordt de beveiligingsdescriptor van het File0.txt-bestand in de huidige map opgehaald en wordt de toewijzingsoperator (=) gebruikt om het op te slaan in de $NewACL variabele.

De eerste opdracht in de pijplijn maakt gebruik van de cmdlet Get-ChildItem om alle tekstbestanden in de C:\Temp map op te halen. De parameter Recurse breidt de opdracht uit naar alle submappen van C:\temp. De parameter Include beperkt de bestanden die zijn opgehaald aan bestanden met de .txt bestandsnaamextensie. De parameter Force haalt verborgen bestanden op, die anders worden uitgesloten. (U kunt niet gebruiken c:\temp\*.txt, omdat de parameter Recurse werkt in mappen, niet op bestanden.)

De pijplijnoperator (|) verzendt de objecten die de opgehaalde bestanden vertegenwoordigen naar de Set-Acl cmdlet, waarmee de beveiligingsdescriptor in de parameter AclObject wordt toegepast op alle bestanden in de pijplijn.

In de praktijk is het raadzaam om de WhatIf-parameter te gebruiken met alle Set-Acl opdrachten die meer dan één item kunnen beïnvloeden. In dit geval is Set-Acl -AclObject $NewAcl -WhatIfde tweede opdracht in de pijplijn. Met deze opdracht worden de bestanden vermeld die worden beïnvloed door de opdracht. Nadat u het resultaat hebt bekeken, kunt u de opdracht opnieuw uitvoeren zonder de parameter WhatIf .

Voorbeeld 4: Overname uitschakelen en overgenomen toegangsregels behouden

$NewAcl = Get-Acl -Path "C:\Pets\Dog.txt"
$isProtected = $true
$preserveInheritance = $true
$NewAcl.SetAccessRuleProtection($isProtected, $preserveInheritance)
Set-Acl -Path "C:\Pets\Dog.txt" -AclObject $NewAcl

Met deze opdrachten wordt de overname van toegang vanuit bovenliggende mappen uitgeschakeld, terwijl de bestaande overgenomen toegangsregels nog steeds behouden blijven.

De eerste opdracht gebruikt de Get-Acl cmdlet om de beveiligingsdescriptor van het Dog.txt-bestand op te halen.

Vervolgens worden variabelen gemaakt om de overgenomen toegangsregels te converteren naar expliciete toegangsregels. Als u de toegangsregels wilt beveiligen die aan deze overname zijn gekoppeld, stelt u de $isProtected variabele in op $true. Als u overname wilt toestaan, stelt u in op $isProtected$false. Zie Beveiliging voor toegangsregels instellen voor meer informatie.

Stel de $preserveInheritance variabele in om $true overgenomen toegangsregels te behouden of $false overgenomen toegangsregels te verwijderen. Vervolgens wordt de beveiliging van de toegangsregel bijgewerkt met behulp van de methode SetAccessRuleProtection().

Met de laatste opdracht Set-Acl wordt de beveiligingsdescriptor van Dog.txt toegepast. Wanneer de opdracht is voltooid, worden de ACL's van de Dog.txt die zijn overgenomen van de map Huisdieren rechtstreeks toegepast op Dog.txt en worden nieuwe toegangsbeleidsregels die zijn toegevoegd aan Huisdieren, de toegang tot Dog.txt niet gewijzigd.

Voorbeeld 5: Beheer istrators volledig beheer van het bestand verlenen

$NewAcl = Get-Acl -Path "C:\Pets\Dog.txt"
# Set properties
$identity = "BUILTIN\Administrators"
$fileSystemRights = "FullControl"
$type = "Allow"
# Create new rule
$fileSystemAccessRuleArgumentList = $identity, $fileSystemRights, $type
$fileSystemAccessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $fileSystemAccessRuleArgumentList
# Apply new rule
$NewAcl.SetAccessRule($fileSystemAccessRule)
Set-Acl -Path "C:\Pets\Dog.txt" -AclObject $NewAcl

Met deze opdracht wordt de groep BUILTIN\Beheer istrators volledig beheer van het Dog.txt-bestand verleend.

De eerste opdracht gebruikt de Get-Acl cmdlet om de beveiligingsdescriptor van het Dog.txt-bestand op te halen.

Volgende variabelen worden gemaakt om de GROEP BUILTIN\Beheer istrators volledig beheer van het Dog.txt-bestand te verlenen. De $identity variabele is ingesteld op de naam van een gebruikersaccount. De $fileSystemRights variabele is ingesteld op FullControl en kan een van de FileSystemRights-waarden zijn waarmee het type bewerking wordt opgegeven dat is gekoppeld aan de toegangsregel . De $type variabele die is ingesteld op Toestaan, geeft aan of de bewerking moet worden toegestaan of geweigerd. De $fileSystemAccessRuleArgumentList variabele is een lijst met argumenten die moet worden doorgegeven bij het maken van het nieuwe FileSystemAccessRule-object . Vervolgens wordt een nieuw FileSystemAccessRule-object gemaakt en wordt het FileSystemAccessRule-object doorgegeven aan de methode SetAccessRule(), wordt de nieuwe toegangsregel toegevoegd.

Met de laatste opdracht Set-Acl wordt de beveiligingsdescriptor van Dog.txt toegepast. Wanneer de opdracht is voltooid, heeft de groep BUILTIN\Beheer istrators volledige controle over de Dog.txt.

Parameters

-AclObject

Hiermee geeft u een ACL met de gewenste eigenschapswaarden. Set-Acl wijzigt de ACL van het item dat is opgegeven door de parameter Path of InputObject zodat deze overeenkomt met de waarden in het opgegeven beveiligingsobject.

U kunt de uitvoer van een Get-Acl opdracht in een variabele opslaan en vervolgens de parameter AclObject gebruiken om de variabele door te geven of een Get-Acl opdracht typen.

Type:Object
Position:1
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-ClearCentralAccessPolicy

Hiermee verwijdert u het centrale toegangsbeleid uit het opgegeven item.

Vanaf Windows Server 2012 kunnen beheerders Active Directory en groepsbeleid gebruiken om centraal toegangsbeleid in te stellen voor gebruikers en groepen. Zie Dynamisch toegangsbeheer voor meer informatie: Scenariooverzicht.

Deze parameter is geïntroduceerd in Windows PowerShell 3.0.

Type:SwitchParameter
Position:Named
Default value:False
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-Confirm

Hiermee wordt u gevraagd om bevestiging voordat u de cmdlet uitvoert.

Type:SwitchParameter
Aliases:cf
Position:Named
Default value:False
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-Exclude

Hiermee worden de opgegeven items weggelaten. De waarde van deze parameter komt in aanmerking voor de path-parameter . Voer een padelement of patroon in, zoals *.txt. Jokertekens zijn toegestaan.

Type:String[]
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:True

-Filter

Hiermee geeft u een filter in de indeling of taal van de provider. De waarde van deze parameter komt in aanmerking voor de path-parameter . De syntaxis van het filter, inclusief het gebruik van jokertekens, is afhankelijk van de provider. Filters zijn efficiënter dan andere parameters, omdat de provider deze toepast bij het ophalen van de objecten in plaats van PowerShell de objecten te laten filteren nadat ze zijn opgehaald.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:True

-Include

Alleen de opgegeven items worden gewijzigd. De waarde van deze parameter komt in aanmerking voor de path-parameter . Voer een padelement of patroon in, zoals *.txt. Jokertekens zijn toegestaan.

Type:String[]
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:True

-InputObject

Hiermee wijzigt u de beveiligingsdescriptor van het opgegeven object. Voer een variabele in die het object of een opdracht bevat waarmee het object wordt opgehaald.

U kunt het object niet doorsluisen Set-Aclnaar . Gebruik in plaats daarvan de parameter InputObject expliciet in de opdracht.

Deze parameter is geïntroduceerd in Windows PowerShell 3.0.

Type:PSObject
Position:0
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-LiteralPath

Hiermee wijzigt u de beveiligingsdescriptor van het opgegeven item. In tegenstelling tot Path wordt de waarde van de parameter LiteralPath precies gebruikt zoals deze is getypt. Er worden geen tekens geïnterpreteerd als jokertekens. Als het pad escapetekens bevat, plaatst u het tussen enkele aanhalingstekens ('). Enkele aanhalingstekens geven PowerShell aan dat er geen tekens als escapereeksen moeten worden geïnterpreteerd.

Deze parameter is geïntroduceerd in Windows PowerShell 3.0.

Type:String[]
Aliases:PSPath
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-Passthru

Hiermee wordt een object geretourneerd dat de beveiligingsdescriptor vertegenwoordigt die is gewijzigd. Deze cmdlet genereert standaard geen uitvoer.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-Path

Hiermee wijzigt u de beveiligingsdescriptor van het opgegeven item. Voer het pad naar een item in, zoals een pad naar een bestand of registersleutel. Jokertekens zijn toegestaan.

Als u een beveiligingsobject doorgeeft (met behulp van de parameters AclObject of SecurityDescriptor of door een beveiligingsobject door te Set-Acl geven van Get-Acl) Set-Aclen u de parameter Path weglaat (naam en waarde), Set-Acl gebruikt u het pad dat is opgenomen in het beveiligingsobject.

Type:String[]
Position:0
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:True

-WhatIf

Hiermee wordt weergegeven wat er zou gebeuren als u de cmdlet uitvoert. De cmdlet wordt niet uitgevoerd.

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:False
Required:False
Accept pipeline input:False
Accept wildcard characters:False

Invoerwaarden

ObjectSecurity

U kunt een ACL-object doorsluisen naar deze cmdlet.

CommonSecurityDescriptor

U kunt een beveiligingsdescriptor doorsluisen naar deze cmdlet.

Uitvoerwaarden

None

Deze cmdlet retourneert standaard geen uitvoer.

FileSecurity

Wanneer u de parameter PassThru gebruikt, retourneert deze cmdlet een beveiligingsobject. Het type van het beveiligingsobject is afhankelijk van het type item.

Notities

Deze cmdlet is alleen beschikbaar op Windows-platforms.

De Set-Acl cmdlet wordt ondersteund door de PowerShell-bestandssysteem- en registerproviders. Als zodanig kunt u deze gebruiken om de beveiligingsdescriptors van bestanden, mappen en registersleutels te wijzigen.