xcacls.vbs令另格式:

使用cscript.exe 去編譯 xcacls.vbs 檔案。

格式如下:

CACLS filename [/T] [/E] [/C] [/G user:perm] [/R user [...]]

[/P user:perm [...]] [/D user [...]]

filename 顯示 ACL。

/T 變更指定檔案的 ACL 於

現有的目錄或所有子目錄中。

/E 編輯 ACL 而非將它取代。

/C 拒絕存取的錯誤繼續發生。

/G user:perm 授與指定的使用者存取權限。

Perm 的值可以是: R 讀取

C 變更 (寫入)

F 完全控制

/R user 撤銷已指定的使用者存取權限 (只有當 /E 存在時才有效)。

/P user:perm 取代已指定的使用者存取權限。

Perm 的值可以是: N 沒有權限

R 讀取

C 變更 (寫入)

F 完全控制

/D user 拒絕已指定的使用者存取。

您可以在命令中使用萬用字元一次指定數個檔案。

您可以在命令中指定數個使用者。

縮寫:

CI - 容器繼承。

ACE 將被目錄繼承。

OI - 物件繼承。

ACE 將被檔案繼承。

IO - 僅供繼承。

ACE 不可套用到目前的檔案/目錄。

==================================================================================================

移除C:\test 的 everyone 權限(一定要加 /E 權限才不會被覆蓋)

\\pc032\c$\windows\system32\cscript.exe \\sbipbdc\c$\winnt\xcacls.vbs c:\test /r everyone /e /t

開啟EVERYONE 所有權限(粗略參數可參考XP下cacls.exe有中文說明,但是Xcacle.vbs是進階用)

\\pc032\c$\windows\system32\cscript.exe \\sbipbdc\c$\winnt\xcacls.vbs c:\test /g everyone:f /e /t

開啟通過驗證的使用者群組 authenticated users 權限

\\pc032\c$\windows\system32\cscript.exe \\sbipbdc\c$\winnt\xcacls.vbs c:\test /g "nt authority/authenticated users:f" /e /t

==================================================================================================

一、新增新的GPO原則 “開啟D槽AUTHUSER權限”

二、進入 “開啟D槽AUTHUSER權限” GPO內設定 è 改電腦設定 è 2電腦設定指令碼(啟動/關機) è 3登入 è 4新增 è 5瀏覽 è 6自行建立 “開啟D槽AUTH權限.bat” 並編輯(註一) è 7選 開啟 è 然後按確定後退出即可套用。(下圖設定為使用者設定,請改成電腦設定)

clip_image002

三、預設全部使用者都會套用,我們要排除admin與mis相關人員不去套用此規則。連線到172.20.3.3

到AD使用者及電腦內對根目錄按右鍵選內容

clip_image003

點 “開啟D槽AUTHUSER權限” 然後按 “內容”

clip_image004

將不套用的人加入,然後在 “套用群組原則” 勾選 “拒絕”,即可排除該使用者登入時會套用。

clip_image005

註一:

開啟D槽AUTH權限.bat 內容

rem 判定D槽是否存在authuser.txt,判定是否有D槽的存在,都符合條件就開始執行權限設定

if not exist d:\authuser.txt if exist d:\*.* \\rogerlin\addauthuser\cscript.exe \\rogerlin\addauthuser\xcacls.vbs d:\ /g "nt authority/authenticated users:f" /e /t

rem 寫入紀錄到\\rogerlin\addauthuser\addauthuser.txt

if not exist d:\authuser.txt if exist d:\*.* echo 電腦名稱:%COMPUTERNAME% 使用者帳號:%UserName% >> \\rogerlin\addauthuser\addauthuser.txt

rem 讓執行過的電腦會在D槽複製authuser.txt檔案,可用來判定避免執行過的電腦再次執行,如需再次執行,只需把D槽 authuser.txt 檔案刪除即可。

copy \\rogerlin\addauthuser\authuser.txt d:\

arrow
arrow
    全站熱搜

    NoMoney NoHoney 發表在 痞客邦 留言(3) 人氣()