Come posso utilizzare cmdlet GPO PowerShell per impostare la protezione dei file?

Ho bisogno di automatizzare la creazione di più gruppi di protezione, quindi creare e applicare un object Criteri di gruppo che include le autorizzazioni di file specifici per il gruppo OU / Security e il controllo.

Ho l'OU e la creazione del gruppo è stata fatta. Posso fare il permesso / audit come ACL, ma ho bisogno di applicarli come un object Criteri di gruppo. Posso collegarmi alle UO / Gruppi e posso copiare gli oggetti Criteri di gruppo esistenti, ma ho ancora bisogno di sostituire alcuni gruppi di sicurezza. Ho la creazione di chiavi di registro per gruppo di sicurezza, ma non riesco a trovare alcuna documentazione sulla creazione di autorizzazioni di file / audit.

  • L'eliminazione del file ZFS e la sua relazione con lo spazio su disco
  • File (FRM) non trovato? Non vedo le tabelle?
  • Bloccare un dispositivo di networking per comunicare con un altro dispositivo sulla LAN
  • È meglio mappare gli azionamenti e le printingnti agli utenti o ai computer?
  • Su Windows 2003 Server come File Server cosa è meglio creare i gruppi per directory o per profilo?
  • Hai bisogno di aiuto per determinare l'origine dell'email spam
  • Caso Ex: estendiamo i server web virtuali assegnati a specifici client. Abbiamo uno script PS che crea i nuovi gruppi di protezione e di protezione per il nuovo server. Anziché wherer nuovamente applicare uno script PS con ACL se abbiamo bisogno di ritriggersre la VM, vorremmo automatizzare la creazione dell'object Criteri di gruppo che contiene le ACL per le cartelle predefinite in modo da non wherer toccare nulla su un riposizionare una volta che il VM viene eseguito il backup.

    Ho lo script ACL e questo funziona bene, ma in questo caso non è buono per l'automazione.

    2 Solutions collect form web for “Come posso utilizzare cmdlet GPO PowerShell per impostare la protezione dei file?”

    Quindi, non è ansible impostare direttamente le autorizzazioni di file in un object Criteri di gruppo utilizzando Powershell. (Computer / Politiche / Impostazioni di Windows / Impostazioni di sicurezza / File System)

    Tuttavia, sono stato in grado di lavorare intorno a questo creando un object Criteri di gruppo e manualmente il backup (cosa una volta). Per quanto riguarda la risposta specifica che stavo cercando, ci sono 3 file che devono essere modificati nel backup degli oggetti Criteri di gruppo.

    • {} SOME_GUID \ Backup.xml
    • {} SOME_GUID \ gpreport.xml
    • {SOME_GUID} \ DomainSysvol \ GPO \ macchina \ microsoft \ windows nt \ SecEdit \ GptTmpl.inf

    Dovresti sostituire i nomi utente e gli SID del gruppo di utenti con i segnaposti [GROUP_NAME] e [GROUP_SID] (potrebbe anche essere USER) in tutti e tre i file. Inoltre, dovrai aggiornare il tag {Nome} in gpreport.xml e il {DisplayName} nel backup.XML al nuovo nome dell'object Criteri di gruppo. Lo ho fatto con un altro titolare di posto [GPO_NAME].

    Ora, questa è stata la parte difficile che ci volle un po 'per capire. Non puoi solo Import-GPO questo nuovo object. In realtà è necessario creare un nuovo GPO vuoto, eseguire il backup e submit i file aggiornati dal model in questo backup.

    Ecco il codice che ho usato. Qui ci sono alcuni segnaposti. Sostituite queste se necessario per l'ambiente. Sembra che la formattazione di Stack sugli script di Powershell sia un po 'fuori. Funziona come incollato.

    #root path for script and files. $scriptPath = "c:\GPO_Deployment" # Create new GPO write-host "Create new GPO" new-GPO -Name [GPO_NAME] # Backup New GPO to Named folder $backup = backup-gpo -Name [GPO_NAME] -Path $scriptPath # # Files that need to be updated: # GPO_TEMPLATE_FILES\Backup.xml # GPO_TEMPLATE_FILES\gpreport.xml # GPO_TEMPLATE_FILES\DomainSysvol\GPO\Machine\microsoft\windows nt\SecEdit\GptTmpl.inf # Create Output file strucures $newXMLpath = New-Item -Path ("{" + $backup.Id + "}") -ItemType Directory -Force $newGPOinfPath = New-Item -ItemType Directory -Path ("{" + $backup.Id + "}\\DomainSysvol\\GPO\\Machine\\microsoft\\windows nt\\SecEdit") -Force #get the Group SIDS for the groups we created above $GROUP_SID = (New-Object System.Security.Principal.NTAccount("DOMAIN", [GROUP_NAME])).Translate([System.Security.Principal.SecurityIdentifier]) write-host "Applying tranforms to template files" # read inf_template file, replace sids, and write out $inf_template = join-path -Path ($scriptPath + "\GPO_TEMPLATE_FILES\DomainSysvol\GPO\Machine\microsoft\windows nt\SecEdit") -ChildPath "GptTmpl.inf" $inf_outfile = Join-Path -Path $newGPOinfPath -ChildPath "GptTmpl.inf" (Get-Content $inf_template) | ForEach-Object { $_ -replace '\[GROUP_SID\]', $GROUP_SID } | Set-Content $inf_outfile # read Backup XML template file, replace sids, and write out $backup_template = join-path -Path ($scriptPath + "\GPO_TEMPLATE_FILES") -ChildPath "Backup.xml" $backup_outfile = Join-Path -Path $newXMLpath -ChildPath "Backup.xml" (Get-Content $backup_template) | ForEach-Object { $_ -replace '\[GROUP_SID\]', $GROUP_SID ` -replace '\[GPO_NAME\]', $hostedclient } | Set-Content $backup_outfile # read GPO Report XML template file, replace sids, and write out $gporeport_template = join-path -Path ($scriptPath + "\GPO_TEMPLATE_FILES") -ChildPath "gpreport.xml" $gporeport_outfile = Join-Path -Path $newXMLpath -ChildPath "gpreport.xml" (Get-Content $gporeport_template) | ForEach-Object { $_ -replace '\[GROUP_SID\]', $GROUP_SID ` -replace '\[GPO_NAME\]', $hostedclient } | Set-Content $gporeport_outfile Write-Host "Saving updated GPO, linking it to the new OU and moving traget web server to new OU." # Import GPO import-gpo -BackupId $backup.Id -Path $scriptPath -TargetName [GPO_NAME] -CreateIfNeeded $updatedGPO = get-gpo -Name [GPO_NAME] # Link GPO to OU ## NOTE: If you are updating an existing GPO Link, use Set-GPLink here New-GPLink -Guid $updatedGPO.Id -Target ("OU=[YOUR_OU],DC=domain,DC=local") -LinkEnabled Yes # Move web server to OU get-adcomputer [YOUR_SERVER] | Move-ADObject -TargetPath ("OU=[YOUR_OU],DC=domain,DC=local") # Add another wait for GPO to settle before forcing update. Write-Host "Pausing again to allow DC to catch-up again." start-sleep -seconds 15 write-host "Forcing a GP Update on target webserver." Invoke-GPUpdate -Computer [YOUR_SERVER] 

    Devi fare nella configuration del computer. Vai a:

    Configurazione del computer \ Policies \ Impostazioni di Windows \ Impostazioni di sicurezza \ File System

    Fare clic con il button destro del mouse nello spazio vuoto nel riquadro destro e scegliere "Aggiungi file". Se qualsiasi sistema in uso non abbia la cartella desiderata, puoi crearla in questo browser di file. Dopo aver selezionato la cartella, assegnare le autorizzazioni NTFS.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.