Set-Acl
Ändert die Sicherheitsbeschreibung für ein angegebenes Element, z. B. eine Datei oder einen Registrierungsschlüssel.
Syntax
Set-Acl
[-Path] <String[]>
[-AclObject] <Object>
[-ClearCentralAccessPolicy]
[-PassThru]
[-Filter <String>]
[-Include <String[]>]
[-Exclude <String[]>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
Set-Acl
[-InputObject] <PSObject>
[-AclObject] <Object>
[-PassThru]
[-Filter <String>]
[-Include <String[]>]
[-Exclude <String[]>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
Set-Acl
-LiteralPath <String[]>
[-AclObject] <Object>
[-ClearCentralAccessPolicy]
[-PassThru]
[-Filter <String>]
[-Include <String[]>]
[-Exclude <String[]>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
Beschreibung
Dieses Cmdlet ist nur auf der Windows-Plattform verfügbar.
Das Set-Acl
Cmdlet ändert den Sicherheitsdeskriptor eines angegebenen Elements, z. B. einer Datei oder eines Registrierungsschlüssels, um die Werte in einem von Ihnen bereitgestellten Sicherheitsdeskriptor abzugleichen.
Verwenden Sie zum Verwenden Set-Acl
den Parameter "Path " oder "InputObject ", um das Element zu identifizieren, dessen Sicherheitsdeskriptor Sie ändern möchten. Verwenden Sie dann die Parameter "AclObject " oder "SecurityDescriptor ", um einen Sicherheitsdeskriptor mit den Werten zu liefern, die Sie anwenden möchten. Set-Acl
wendet den bereitgestellten Sicherheitsdeskriptor an. Er verwendet den Wert des AclObject-Parameters als Modell und ändert die Werte im Sicherheitsdeskriptor des Elements so, dass er den Werten im AclObject-Parameter entspricht.
Beispiele
Beispiel 1: Kopieren einer Sicherheitsbeschreibung aus einer Datei in eine andere
$DogACL = Get-Acl -Path "C:\Dog.txt"
Set-Acl -Path "C:\Cat.txt" -AclObject $DogACL
Diese Befehle kopieren die Werte aus der Sicherheitsbeschreibung der Datei „Dog.txt“ in die Sicherheitsbeschreibung der Datei „Cat.txt“. Wenn die Befehle abgeschlossen sind, stimmen die Sicherheitsbeschreibungen von Dog.txt und Cat.txt überein.
Der erste Befehl verwendet das Get-Acl
Cmdlet, um den Sicherheitsdeskriptor der datei Dog.txt abzurufen.
Der Zuordnungsoperator (=
) speichert den Sicherheitsdeskriptor im Wert der $DogACL Variablen.
Der zweite Befehl verwendet Set-Acl
, um die Werte in der ACL von Cat.txt in die Werte in $DogACL
.
Der Wert des Path-Parameters ist der Pfad zur Cat.txt Datei. Der Wert des AclObject-Parameters ist die Modell-ACL, in diesem Fall die ACL von Dog.txt, wie in der $DogACL
Variablen gespeichert.
Beispiel 2: Verwenden des Pipelineoperators zum Übergeben eines Deskriptors
Get-Acl -Path "C:\Dog.txt" | Set-Acl -Path "C:\Cat.txt"
Dieser Befehl ist fast identisch mit dem Befehl im vorherigen Beispiel, mit der Ausnahme, dass er einen Pipelineoperator (|
) verwendet, um den Sicherheitsdeskriptor von einem Get-Acl
Befehl an einen Set-Acl
Befehl zu senden.
Der erste Befehl verwendet das Get-Acl
Cmdlet, um den Sicherheitsdeskriptor der datei Dog.txt abzurufen. Der Pipelineoperator (|
) übergibt ein Objekt, das den Dog.txt Sicherheitsdeskriptor an das Set-Acl
Cmdlet darstellt.
Der zweite Befehl verwendet Set-Acl
, um die Sicherheitsbeschreibung von Dog.txt auf Cat.txt anzuwenden.
Wenn der Befehl abgeschlossen ist, stimmen die ACLs von Dog.txt und Cat.txt überein.
Beispiel 3: Anwenden eines Sicherheitsdeskriptors auf mehrere Dateien
$NewAcl = Get-Acl File0.txt
Get-ChildItem -Path "C:\temp" -Recurse -Include "*.txt" -Force | Set-Acl -AclObject $NewAcl
Diese Befehle wenden die Sicherheitsdeskriptoren in der File0.txt Datei auf alle Textdateien im C:\Temp
Verzeichnis und alle unterverzeichnisse an.
Der erste Befehl ruft den Sicherheitsdeskriptor der File0.txt Datei im aktuellen Verzeichnis ab und verwendet den Zuordnungsoperator (=
) zum Speichern in der $NewACL
Variablen.
Der erste Befehl in der Pipeline verwendet das Cmdlet Get-ChildItem, um alle Textdateien im C:\Temp
Verzeichnis abzurufen. Der Parameter Recurse erweitert den Befehl auf alle Unterverzeichnisse von C:\temp
. Der Parameter Include beschränkt die dateien, die mit der .txt
Dateinamenerweiterung abgerufen wurden. Der Parameter Force ruft ausgeblendete Dateien ab, die andernfalls ausgeschlossen werden. (Sie können nicht verwenden c:\temp\*.txt
, da der Recurse-Parameter in Verzeichnissen und nicht in Dateien funktioniert.)
Der Pipelineoperator (|
) sendet die Objekte, die die abgerufenen Dateien an das Set-Acl
Cmdlet darstellen, wodurch der Sicherheitsdeskriptor im Parameter "AclObject " auf alle Dateien in der Pipeline angewendet wird.
In der Praxis empfiehlt es sich, den WhatIf-Parameter mit allen Set-Acl
Befehlen zu verwenden, die sich auf mehrere Elemente auswirken können. In diesem Fall wäre Set-Acl -AclObject $NewAcl -WhatIf
der zweite Befehl in der Pipeline . Dieser Befehl listet die Dateien auf, die von dem Befehl betroffen wären. Nach der Überprüfung des Ergebnisses können Sie den Befehl erneut ohne den WhatIf-Parameter ausführen.
Beispiel 4: Deaktivieren der Vererbung und Beibehalten von geerbten Zugriffsregeln
$NewAcl = Get-Acl -Path "C:\Pets\Dog.txt"
$isProtected = $true
$preserveInheritance = $true
$NewAcl.SetAccessRuleProtection($isProtected, $preserveInheritance)
Set-Acl -Path "C:\Pets\Dog.txt" -AclObject $NewAcl
Mit diesen Befehlen wird die Zugriffsvererbung von übergeordneten Ordnern deaktiviert, während weiterhin die vorhandenen geerbten Zugriffsregeln beibehalten werden.
Der erste Befehl verwendet das Get-Acl
Cmdlet, um den Sicherheitsdeskriptor der datei Dog.txt abzurufen.
Als Nächstes werden Variablen erstellt, um die geerbten Zugriffsregeln in explizite Zugriffsregeln zu konvertieren. Legen Sie $isProtected
die Variable auf " fest, um $true
die zugriffsregeln zu schützen, die dieser Vorvererbung zugeordnet sind. Um die Vererbung zuzulassen, legen Sie den Satzes $isProtected
auf $false
. Weitere Informationen finden Sie unter Festlegen des Zugriffsregelschutzes.
Legen Sie die $preserveInheritance
Variable fest, um $true
geerbte Zugriffsregeln beizubehalten oder $false
geerbte Zugriffsregeln zu entfernen. Anschließend wird der Zugriffsregelschutz mithilfe der SetAccessRuleProtection()- Methode aktualisiert.
Der letzte Befehl verwendet Set-Acl
, um den Sicherheitsdeskriptor für Dog.txt anzuwenden. Nach Abschluss des Befehls werden die ACLs der Dog.txt, die vom Ordner "Haustiere" geerbt wurden, direkt auf Dog.txt angewendet, und neue Zugriffsrichtlinien, die zu Haustieren hinzugefügt wurden, ändern nicht den Zugriff auf Dog.txt.
Beispiel 5: Vollzugriff auf die Datei durch Administratoren erteilen
$NewAcl = Get-Acl -Path "C:\Pets\Dog.txt"
# Set properties
$identity = "BUILTIN\Administrators"
$fileSystemRights = "FullControl"
$type = "Allow"
# Create new rule
$fileSystemAccessRuleArgumentList = $identity, $fileSystemRights, $type
$fileSystemAccessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $fileSystemAccessRuleArgumentList
# Apply new rule
$NewAcl.SetAccessRule($fileSystemAccessRule)
Set-Acl -Path "C:\Pets\Dog.txt" -AclObject $NewAcl
Mit diesem Befehl wird der Gruppe BUILTIN\Administrators die vollständige Kontrolle über die Dog.txt Datei gewährt.
Der erste Befehl verwendet das Get-Acl
Cmdlet, um den Sicherheitsdeskriptor der datei Dog.txt abzurufen.
Nächste Variablen werden erstellt, um der GRUPPE BUILTIN\Administrators die vollständige Kontrolle über die Dog.txt Datei zu gewähren. Die $identity
Variable wird auf den Namen eines Benutzerkontos festgelegt. Die $fileSystemRights
Variable wird auf FullControl festgelegt und kann eine der FileSystemRights-Werte sein, die den Typ des Vorgangs angibt, der der Zugriffsregel zugeordnet ist. Die $type
Variable wird auf "Allow" festgelegt, um anzugeben, ob der Vorgang zugelassen oder verweigert werden soll. Die $fileSystemAccessRuleArgumentList
Variable ist eine Argumentliste, die beim Erstellen des neuen FileSystemAccessRule-Objekts übergeben werden soll. Anschließend wird ein neues FileSystemAccessRule-Objekt erstellt, und das FileSystemAccessRule-Objekt wird an die SetAccessRule() -Methode übergeben, fügt die neue Zugriffsregel hinzu.
Der letzte Befehl verwendet Set-Acl
, um den Sicherheitsdeskriptor für Dog.txt anzuwenden. Nach Abschluss des Befehls hat die Gruppe BUILTIN\Administratoren die vollständige Kontrolle über die Dog.txt.
Parameter
-AclObject
Gibt eine ACL mit den gewünschten Eigenschaftswerten an. Set-Acl
ändert die ACL des Elements, das durch den Parameter Path oder InputObject angegeben wird, um den Werten im angegebenen Sicherheitsobjekt zu entsprechen.
Sie können die Ausgabe eines Get-Acl
Befehls in einer Variablen speichern und dann den AclObject-Parameter verwenden, um die Variable zu übergeben, oder einen Get-Acl
Befehl eingeben.
Typ: | Object |
Position: | 1 |
Standardwert: | None |
Erforderlich: | True |
Pipelineeingabe akzeptieren: | True |
Platzhalterzeichen akzeptieren: | False |
-ClearCentralAccessPolicy
Entfernt die zentrale Zugriffsrichtlinie aus dem angegebenen Element.
Ab Windows Server 2012 können Administratoren Active Directory und Gruppenrichtlinien verwenden, um zentrale Zugriffsrichtlinien für Benutzer und Gruppen festzulegen. Weitere Informationen finden Sie unter Dynamic Access Control: Scenario Overview.
Dieser Parameter wurde in Windows PowerShell 3.0 eingeführt.
Typ: | SwitchParameter |
Position: | Named |
Standardwert: | False |
Erforderlich: | False |
Pipelineeingabe akzeptieren: | False |
Platzhalterzeichen akzeptieren: | False |
-Confirm
Hiermit werden Sie vor der Ausführung des Cmdlets zur Bestätigung aufgefordert.
Typ: | SwitchParameter |
Aliase: | cf |
Position: | Named |
Standardwert: | False |
Erforderlich: | False |
Pipelineeingabe akzeptieren: | False |
Platzhalterzeichen akzeptieren: | False |
-Exclude
Lässt die angegebenen Elemente aus. Der Wert dieses Parameters qualifiziert den Path-Parameter . Geben Sie ein Pfadelement oder Einmuster ein, z *.txt
. B. . Platzhalter sind zulässig.
Typ: | String[] |
Position: | Named |
Standardwert: | None |
Erforderlich: | False |
Pipelineeingabe akzeptieren: | False |
Platzhalterzeichen akzeptieren: | True |
-Filter
Gibt einen Filter im Format oder in der Sprache des Anbieters an. Der Wert dieses Parameters qualifiziert den Path-Parameter . Die Syntax des Filters einschließlich der Verwendung von Platzhaltern ist vom Anbieter abhängig. Filter sind effizienter als andere Parameter, da der Anbieter sie beim Abrufen der Objekte anwendet, anstatt powerShell nach dem Abrufen der Objekte zu filtern.
Typ: | String |
Position: | Named |
Standardwert: | None |
Erforderlich: | False |
Pipelineeingabe akzeptieren: | False |
Platzhalterzeichen akzeptieren: | True |
-Include
Ändert nur die angegebenen Elemente. Der Wert dieses Parameters qualifiziert den Path-Parameter .
Geben Sie ein Pfadelement oder Einmuster ein, z *.txt
. B. . Platzhalter sind zulässig.
Typ: | String[] |
Position: | Named |
Standardwert: | None |
Erforderlich: | False |
Pipelineeingabe akzeptieren: | False |
Platzhalterzeichen akzeptieren: | True |
-InputObject
Ändert die Sicherheitsbeschreibung für das angegebene Objekt. Geben Sie eine Variable ein, die das Objekt enthält, oder geben Sie einen Befehl ein, mit dem das Objekt abgerufen wird.
Das Objekt kann nicht weitergeleitet werden, in das geändert Set-Acl
werden soll. Verwenden Sie stattdessen den InputObject-Parameter explizit im Befehl.
Dieser Parameter wurde in Windows PowerShell 3.0 eingeführt.
Typ: | PSObject |
Position: | 0 |
Standardwert: | None |
Erforderlich: | True |
Pipelineeingabe akzeptieren: | True |
Platzhalterzeichen akzeptieren: | False |
-LiteralPath
Ändert die Sicherheitsbeschreibung für das angegebene Element. Im Gegensatz zu Path wird der Wert des LiteralPath-Parameters genau so verwendet, wie er eingegeben wird. Es werden keine Zeichen als Platzhalter interpretiert. Wenn der Pfad Escapezeichen enthält, schließen Sie ihn in einfache Anführungszeichen ('
) ein.
Einfache Anführungszeichen weisen PowerShell an, keine Zeichen als Escapesequenzen zu interpretieren.
Dieser Parameter wurde in Windows PowerShell 3.0 eingeführt.
Typ: | String[] |
Aliase: | PSPath |
Position: | Named |
Standardwert: | None |
Erforderlich: | True |
Pipelineeingabe akzeptieren: | True |
Platzhalterzeichen akzeptieren: | False |
-PassThru
Gibt ein Objekt zurück, das die geänderte Sicherheitsbeschreibung darstellt. Standardmäßig wird von diesem Cmdlet keine Ausgabe generiert.
Typ: | SwitchParameter |
Position: | Named |
Standardwert: | None |
Erforderlich: | False |
Pipelineeingabe akzeptieren: | False |
Platzhalterzeichen akzeptieren: | False |
-Path
Ändert die Sicherheitsbeschreibung für das angegebene Element. Geben Sie den Pfad zu einem Element ein, z. B. einen Pfad zu einer Datei oder einem Registrierungsschlüssel. Platzhalter sind zulässig.
Wenn Sie ein Sicherheitsobjekt Set-Acl
an (entweder mithilfe der Parameter "AclObject" oder "SecurityDescriptor" oder durch Übergeben eines Sicherheitsobjekts von "Get-Acl" an Set-Acl
) übergeben und den Path-Parameter (Name und Wert) weglassen, Set-Acl
wird der Pfad verwendet, der im Sicherheitsobjekt enthalten ist.
Typ: | String[] |
Position: | 0 |
Standardwert: | None |
Erforderlich: | True |
Pipelineeingabe akzeptieren: | True |
Platzhalterzeichen akzeptieren: | True |
-WhatIf
Zeigt, was geschieht, wenn das Cmdlet ausgeführt wird. Das Cmdlet wird nicht ausgeführt.
Typ: | SwitchParameter |
Aliase: | wi |
Position: | Named |
Standardwert: | False |
Erforderlich: | False |
Pipelineeingabe akzeptieren: | False |
Platzhalterzeichen akzeptieren: | False |
Eingaben
Sie können ein ACL-Objekt an dieses Cmdlet weiterleiten.
Sie können einen Sicherheitsdeskriptor an dieses Cmdlet weiterleiten.
Ausgaben
None
Standardmäßig gibt dieses Cmdlet keine Ausgabe zurück.
Wenn Sie den PassThru-Parameter verwenden, gibt dieses Cmdlet ein Sicherheitsobjekt zurück. Der Typ des Sicherheitsobjekts hängt vom Typ des Elements ab.
Hinweise
Dieses Cmdlet ist nur auf Windows-Plattformen verfügbar.
Das Set-Acl
Cmdlet wird vom PowerShell-Dateisystem und Registrierungsanbieter unterstützt. Sie können es verwenden, um die Sicherheitsbeschreibungen von Dateien, Verzeichnissen und Registrierungsschlüsseln zu ändern.