Compartir a través de


Set-Acl

Cambia el descriptor de seguridad de un elemento especificado, como un archivo o una clave del Registro.

Sintaxis

Set-Acl
   [-Path] <String[]>
   [-AclObject] <Object>
   [-ClearCentralAccessPolicy]
   [-PassThru]
   [-Filter <String>]
   [-Include <String[]>]
   [-Exclude <String[]>]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]
Set-Acl
   [-InputObject] <PSObject>
   [-AclObject] <Object>
   [-PassThru]
   [-Filter <String>]
   [-Include <String[]>]
   [-Exclude <String[]>]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]
Set-Acl
   -LiteralPath <String[]>
   [-AclObject] <Object>
   [-ClearCentralAccessPolicy]
   [-PassThru]
   [-Filter <String>]
   [-Include <String[]>]
   [-Exclude <String[]>]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]

Description

Este cmdlet solo está disponible en la plataforma Windows.

El cmdlet Set-Acl cambia el descriptor de seguridad de un elemento especificado, como un archivo o una clave del Registro, para que coincida con los valores de un descriptor de seguridad que proporcione.

Para usar Set-Acl, utilice el parámetro de ruta de o el parámetro InputObject de para identificar el elemento cuyo descriptor de seguridad desea cambiar. A continuación, use los parámetros AclObject o SecurityDescriptor para proporcionar un descriptor de seguridad que tenga los valores que desea aplicar. Set-Acl aplica el descriptor de seguridad proporcionado. Usa el valor del parámetro AclObject como modelo y cambia los valores del descriptor de seguridad del elemento para que coincidan con los valores del parámetro AclObject.

Ejemplos

Ejemplo 1: Copiar un descriptor de seguridad de un archivo a otro

$DogACL = Get-Acl -Path "C:\Dog.txt"
Set-Acl -Path "C:\Cat.txt" -AclObject $DogACL

Estos comandos copian los valores del descriptor de seguridad del archivo Dog.txt al descriptor de seguridad del archivo Cat.txt. Cuando se completan los comandos, los descriptores de seguridad de los archivos Dog.txt y Cat.txt son idénticos.

El primer comando usa el cmdlet Get-Acl para obtener el descriptor de seguridad del archivo Dog.txt. El operador de asignación (=) almacena el descriptor de seguridad en el valor de la variable $DogACL.

El segundo comando usa Set-Acl para cambiar los valores de la ACL de Cat.txt a los valores de $DogACL.

El valor del parámetro Path es la ruta de acceso al archivo Cat.txt. El valor del parámetro AclObject es la ACL del modelo, en este caso, la ACL de Dog.txt como se guarda en la variable $DogACL.

Ejemplo 2: Uso del operador de canalización para pasar un descriptor

Get-Acl -Path "C:\Dog.txt" | Set-Acl -Path "C:\Cat.txt"

Este comando es casi el mismo que el comando del ejemplo anterior, salvo que usa un operador de canalización (|) para enviar el descriptor de seguridad desde un comando Get-Acl a un comando Set-Acl.

El primer comando usa el cmdlet Get-Acl para obtener el descriptor de seguridad del archivo Dog.txt. El operador de canalización (|) pasa un objeto que representa el descriptor de seguridad Dog.txt al cmdlet Set-Acl.

El segundo comando usa Set-Acl para aplicar el descriptor de seguridad de Dog.txt a Cat.txt. Cuando se completa el comando, las ACL de los archivos Dog.txt y Cat.txt son idénticos.

Ejemplo 3: Aplicación de un descriptor de seguridad a varios archivos

$NewAcl = Get-Acl File0.txt
Get-ChildItem -Path "C:\temp" -Recurse -Include "*.txt" -Force | Set-Acl -AclObject $NewAcl

Estos comandos aplican los descriptores de seguridad del archivo File0.txt a todos los archivos de texto del directorio C:\Temp y todos sus subdirectorios.

El primer comando obtiene el descriptor de seguridad del archivo File0.txt en el directorio actual y usa el operador de asignación (=) para almacenarlo en la variable $NewACL.

El primer comando de la canalización usa el cmdlet Get-ChildItem para obtener todos los archivos de texto del directorio C:\Temp. El parámetro Recurse extiende el comando a todos los subdirectorios de C:\temp. El parámetro Include limita los archivos recuperados a aquellos con la extensión de nombre de archivo .txt. El parámetro Force obtiene archivos ocultos, que de lo contrario se excluirían. (No se puede usar c:\temp\*.txt, porque el parámetro recurse funciona en directorios, no en archivos).

El operador de canalización (|) envía los objetos que representan los archivos recuperados al cmdlet Set-Acl, que aplica el descriptor de seguridad en el parámetro AclObject a todos los archivos de la canalización.

En la práctica, es mejor usar el parámetro WhatIf con todos los comandos Set-Acl que pueden afectar a más de un elemento. En este caso, el segundo comando del pipeline sería Set-Acl -AclObject $NewAcl -WhatIf. Este comando enumera los archivos que se verían afectados por el comando. Después de revisar el resultado, puede volver a ejecutar el comando sin el parámetro WhatIf.

Ejemplo 4: Deshabilitar la herencia y conservar las reglas de acceso heredadas

$NewAcl = Get-Acl -Path "C:\Pets\Dog.txt"
$isProtected = $true
$preserveInheritance = $true
$NewAcl.SetAccessRuleProtection($isProtected, $preserveInheritance)
Set-Acl -Path "C:\Pets\Dog.txt" -AclObject $NewAcl

Estos comandos deshabilitan la herencia de acceso de las carpetas primarias, a la vez que conservan las reglas de acceso heredadas existentes.

El primer comando usa el cmdlet Get-Acl para obtener el descriptor de seguridad del archivo Dog.txt.

A continuación, se crean variables para convertir las reglas de acceso heredadas en reglas de acceso explícitas. Para proteger las reglas de acceso asociadas frente a la herencia, configure la variable $isProtected en $true. Para permitir la herencia, establezca $isProtected en $false. Para más información, consulte Establecer protección de normas de acceso.

Establezca la variable $preserveInheritance en $true para conservar las reglas de acceso heredadas o $false para quitar las reglas de acceso heredadas. A continuación, la protección de reglas de acceso se actualiza mediante el método SetAccessRuleProtection().

El último comando usa Set-Acl para aplicar el descriptor de seguridad de a Dog.txt. Cuando se complete el comando, las ACL del Dog.txt que se heredaron de la carpeta Pets se aplicarán directamente a Dog.txty las nuevas directivas de acceso agregadas a Pets no cambiarán el acceso a Dog.txt.

Ejemplo 5: Conceder a los administradores el control total del archivo

$NewAcl = Get-Acl -Path "C:\Pets\Dog.txt"
# Set properties
$identity = "BUILTIN\Administrators"
$fileSystemRights = "FullControl"
$type = "Allow"
# Create new rule
$fileSystemAccessRuleArgumentList = $identity, $fileSystemRights, $type
$newParams = @{
  TypeName     = 'System.Security.AccessControl.FileSystemAccessRule'
    ArgumentList = $fileSystemAccessRuleArgumentList
}
$fileSystemAccessRule = New-Object @newParams
# Apply new rule
$NewAcl.SetAccessRule($fileSystemAccessRule)
Set-Acl -Path "C:\Pets\Dog.txt" -AclObject $NewAcl

Este comando concederá al grupo BUILTIN\Administrators Control total del archivo Dog.txt.

El primer comando usa el cmdlet Get-Acl para obtener el descriptor de seguridad del archivo Dog.txt.

Las siguientes variables se crearán para conceder al grupo BUILTIN\Administrators el control total del archivo Dog.txt. La variable $identity se ha establecido en el nombre de una cuenta de usuario . La variable $fileSystemRights se establece en FullControl y puede ser cualquiera de los valores de FileSystemRights que especifican el tipo de operación asociada con la regla de acceso. La variable $type configurada para "Permitir" especifica si se debe permitir o denegar la operación. La variable $fileSystemAccessRuleArgumentList es una lista de argumentos que se debe pasar al realizar el nuevo objeto FileSystemAccessRule. A continuación, se crea un nuevo objeto FileSystemAccessRule y el objeto FileSystemAccessRule se pasa al método SetAccessRule(), agrega la nueva regla de acceso.

El último comando usa Set-Acl para aplicar el descriptor de seguridad de a Dog.txt. Cuando se complete el comando, el grupo BUILTIN\Administrators tendrá control total del Dog.txt.

Parámetros

-AclObject

Especifica una ACL con los valores de propiedades deseados. Set-Acl cambia la ACL del elemento especificado por la ruta de acceso o del parámetro InputObject para que coincida con los valores del objeto de seguridad especificado.

Puede guardar la salida de un comando de Get-Acl en una variable y, a continuación, usar el parámetro AclObject para pasar la variable o escribir un comando Get-Acl.

Tipo:Object
Posición:1
Valor predeterminado:None
Requerido:True
Aceptar entrada de canalización:True
Aceptar caracteres comodín:False

-ClearCentralAccessPolicy

Quita la directiva de acceso central del elemento especificado.

A partir de Windows Server 2012, los administradores pueden usar Active Directory y directiva de grupo para establecer directivas de acceso central para usuarios y grupos. Para obtener más información, vea Control de acceso dinámico: Información general del escenario.

Este parámetro se introdujo en Windows PowerShell 3.0.

Tipo:SwitchParameter
Alias:PSPath, LP
Posición:Named
Valor predeterminado:False
Requerido:False
Aceptar entrada de canalización:False
Aceptar caracteres comodín:False

-Confirm

Le pide confirmación antes de ejecutar el cmdlet.

Tipo:SwitchParameter
Alias:cf
Posición:Named
Valor predeterminado:False
Requerido:False
Aceptar entrada de canalización:False
Aceptar caracteres comodín:False

-Exclude

Omite los elementos especificados. El valor de este parámetro especifica el parámetro Path. Escriba un elemento o patrón de ruta, como *.txt. Se permiten los caracteres comodín.

Tipo:String[]
Posición:Named
Valor predeterminado:None
Requerido:False
Aceptar entrada de canalización:False
Aceptar caracteres comodín:True

-Filter

Especifica un filtro en el formato o idioma del proveedor. El valor de este parámetro califica al parámetro Path. La sintaxis del filtro, incluido el uso de caracteres comodín, depende del proveedor. Los filtros son más eficaces que otros parámetros, ya que el proveedor los aplica al recuperar los objetos, en lugar de que PowerShell filtre los objetos una vez recuperados.

Tipo:String
Posición:Named
Valor predeterminado:None
Requerido:False
Aceptar entrada de canalización:False
Aceptar caracteres comodín:True

-Include

Solo cambia los elementos especificados. El valor de este parámetro califica al parámetro Path. Escriba un elemento de ruta de acceso o un patrón, como *.txt. Se permiten los caracteres comodín.

Tipo:String[]
Posición:Named
Valor predeterminado:None
Requerido:False
Aceptar entrada de canalización:False
Aceptar caracteres comodín:True

-InputObject

Cambia el descriptor de seguridad del objeto especificado. Escriba una variable que contenga el objeto o un comando que obtiene el objeto .

No se puede redireccionar el objeto a cambiar a Set-Acl. En su lugar, use el parámetro InputObject explícitamente en el comando .

Este parámetro se introdujo en Windows PowerShell 3.0.

Tipo:PSObject
Posición:0
Valor predeterminado:None
Requerido:True
Aceptar entrada de canalización:True
Aceptar caracteres comodín:False

-LiteralPath

Cambia el descriptor de seguridad del elemento especificado. A diferencia de Path, el valor del parámetro LiteralPath se usa exactamente como se escribe. Ninguno de los caracteres se interpreta como caracteres comodín. Si la ruta de acceso incluye caracteres de escape, escríbala entre comillas simples ('). Las comillas simples indican a PowerShell que no interprete ningún carácter como secuencias de escape.

Este parámetro se introdujo en Windows PowerShell 3.0.

Tipo:String[]
Alias:PSPath
Posición:Named
Valor predeterminado:None
Requerido:True
Aceptar entrada de canalización:True
Aceptar caracteres comodín:False

-PassThru

Devuelve un objeto que representa el descriptor de seguridad que se cambió. De forma predeterminada, este cmdlet no genera ninguna salida.

Tipo:SwitchParameter
Posición:Named
Valor predeterminado:None
Requerido:False
Aceptar entrada de canalización:False
Aceptar caracteres comodín:False

-Path

Cambia el descriptor de seguridad del elemento especificado. Escriba la ruta de acceso a un elemento, como una ruta de acceso a un archivo o una clave del Registro. Se permiten los caracteres comodín.

Si pasa un objeto de seguridad a Set-Acl (ya sea mediante los parámetros AclObject o SecurityDescriptor, o pasando un objeto de seguridad de Get-Acl a Set-Acl), y omite el parámetro Path (nombre y valor), Set-Acl usa la ruta de acceso que se incluye en el objeto de seguridad.

Tipo:String[]
Posición:0
Valor predeterminado:None
Requerido:True
Aceptar entrada de canalización:True
Aceptar caracteres comodín:True

-WhatIf

Muestra lo que sucedería si el cmdlet se ejecuta. El cmdlet no se ejecuta.

Tipo:SwitchParameter
Alias:wi
Posición:Named
Valor predeterminado:False
Requerido:False
Aceptar entrada de canalización:False
Aceptar caracteres comodín:False

Entradas

ObjectSecurity

Puede canalizar un objeto ACL a este cmdlet.

CommonSecurityDescriptor

Puede canalizar un descriptor de seguridad a este cmdlet.

Salidas

None

De forma predeterminada, este cmdlet no devuelve ninguna salida.

FileSecurity

Cuando se usa el parámetro PassThru, este cmdlet devuelve un objeto de seguridad. El tipo del objeto de seguridad depende del tipo del elemento.

Notas

Este cmdlet solo está disponible en plataformas Windows.

El cmdlet Set-Acl es compatible con el sistema de archivos de PowerShell y los proveedores del registro. Por lo tanto, puede usarlo para cambiar los descriptores de seguridad de archivos, directorios y claves del Registro.