我需要通过Powershell根据组成员身份管理 NTFS 访问条件。挖掘有关 DAC 的 MS 文档,我发现了一堆 cmdlet [Get/New/Set/Remove]-[ADClaimType/ADCentralAccessPolicy/ADCentralAccessRule],但我使用 GUI 创建的条件(设置屏幕截图)没有弹出那里。即使它可以正常运行,也只能限制对指定组成员的访问。
我觉得我在这里遗漏了一些要点......它与声明无关(因为组成员不是 AD 用户记录属性),所以我希望我创建的条件显示在规则/策略中列表,但两者似乎都是空的。
最终目标是为了自动化而通过 PS 管理这些类型的条件的方式。如果有人指出我正确的方向,那将非常有帮助。
阿列克谢·帕诺夫 - 德累斯顿
回答我自己的问题以防有人需要它...屏幕截图中的访问规则不是中心规则(因此它没有显示在 AD DAC 中)但似乎是对常规 ACL 的扩展。
我发现修改它的唯一方法是通过 SDDL。
$acl = Get-Acl -Path $FolderPath$acl.SddlX部分)。0x1301bf;(Member_of_any {SID(S-1-5-21-XXX-XXX-XXX-1619)})通过检查来自 GUI 对象的不同 SDDL,可以了解更多示例。
$acl.SetSecurityDescriptorSddlForm($NewSddl)Set-Acl -Path $FolderPath -AclObject $acl如果有人知道更方便的方法 - 请回复:)
阿列克谢·帕诺夫 - 德累斯顿