powershell:system:acls
Dies ist eine alte Version des Dokuments!
Inhaltsverzeichnis
ACLs
NTFS-Berechtigungen
Bei NTFS-Berechtigungen gibt einfache und erweiterte Berechtigungen. Man kann jede Berechtigung auf „Allow“ oder „Deny“ setzen.
Der folgende Powershell-Befehl listet alle Berechtigungen auf:
[system.enum]::getnames([System.Security.AccessControl.FileSystemRights])
Einfache Berechtigungen
| Berechtigung | Auswirkung |
|---|---|
| Full Controll | Objekte können hinzugefügt, geändert oder entfernt werden (auch die Objekteinstellungen). Zusätzlich können die Berechtigungen für untergeordnete Objekte geändert werden |
| Modify | Objekte können hinzugefügt, geändert oder entfernt werden (auch die Objekteinstellungen). |
| Read & Execute | Objekte (und ihre Eigenschaften) sind sichtbar, Dateien können geöffnet und ausgeführt werden (auch Skripte) |
| Read | Objekte und ihre Einstellungen sind sichtbar |
| Write | Objekte können angelegt und geändert werden. |
Erweiterte Berechtigungen
| Berechtigung | Auswirkung |
|---|---|
| Traverse Folder/Execute File | In einer Struktur \\KEINE_BERECHTIGUNG_VORHANDEN\BERECHTIGUNG_VORHANDEN können die untergeordneten Verzeichnisse geöffnet werden, obwohl in dem übergeordneten Objekt Rechte fehlen. Auch ausführbare Dateien können geöffnet werden. Diese Berechtigung greift nur, wenn die berechtigte Gruppe der Benutzer _nicht_ die „Bypass Traverse Checking“ Berechtigung im Group-Policy-SnapIn hat. |
| List Folder / Read Data | Der Verzeichnisinhalt ist sichtbar und Dateiinhalte können gelesen werden |
| Read Attributes | Objekt-Attribute können angesehen werden (read-only, hidden,…) |
| Write Attributes | Objekt-Attribute können geändert werden |
| Read Extended Attributes | Erweiterte Objektattribute können eingesehen werden (Berechtigungen, Zeitstempel) |
| Write Extended Attributes | Erweiterte Objektattribute können bearbeitet werden |
| Create Files / Write Data | (nur an Verzeichnissen) Dateien können in diesem Verzeichnis angelegt, geändert und überschrieben werden. |
| Create Folders / Append Data | (nur an Verzeichnissen) Verzeichnisse können angelegt werden. Dateien können geändert werden, vorhandene Inhalte aber nicht entfernt oder überschrieben |
| Delete | Objekte können gelöscht werden. Auch ohne diese explizite Berechtigung können Objekte gelöscht werden, wenn am übergeordneten Verzeichnis die Berechtigung „Delete Subfolders and Files“ besteht |
| Read Permissions | Objektberechtigungen können gelesen werden |
| Change Permission | Objektberechtigungen können geändert werden |
| Take Ownership | Der Objektbesitz kann übernommen werden.  Der Besitzer an eines Objekts kann kann die Objektberechtigungen auch ändern, wenn er nicht über diese Berechtigung verfügt |
| Synchronize | Das Objekt kann synchronisiert werden. Dadurch wird ein Prozess initialisiert, der auf einen bestimmten Zustand des Objekts wartet. Diese Berechtigung existiert nicht im ACL-Editor. |
Vererbung
NTFS-Berechtigungen können entweder an dem Objekt selbst gesetzt (explicit) oder vom übergeordneten Objekt geerbt (inherited) worden sein.
Die Hirarchie der gesetzten Berechtigungen ist dabei wie folgt:
- Explizit am Objekt verboten
- Explizit am Objekt erlaubt
- geerbtes verboten
- geerbtes erlaubt
Ein explzites „verboten“ würde also ein geerbtes „erlaubt“ überschreiben.
powershell/system/acls.1596097134.txt.gz · Zuletzt geändert: 2024/05/27 08:34 (Externe Bearbeitung)