Recupero del descrittore di sicurezza e recupero del numero per FileSystemRights

Question

Utilizzo di Get-Acl Sto cercando di ottenere i diritti di accesso su una cartella. Il fatto è che per alcuni gruppi ottengo un numero invece di un tipo di accesso. Esempio sotto:

get-acl "C:\TestFolder" | % {$_.access} 
FileSystemRights : -536805376 
AccessControlType : Allow 
IdentityReference : TestDomain\Support 
IsInherited  : False 
InheritanceFlags : ObjectInherit 
PropagationFlags : InheritOnly 

C'è un modo per tradurre questo numero di nuovo al suo nome?

Answer 1

rapido e sporco tanslation:

268435456 - FullControl

-536.805.376 - Modificare, Sincronizza

-1610612736 - ReadAndExecute, Sincronizza

Se si vuole conoscere il processo di traduzione questo è stato il meglio che ho potuto trovare al momento: Link

Answer 2

Il valore della proprietà FileSystemRights è un numero intero a 32 bit senza segno, in cui ogni bit rappresenta una particolare autorizzazione di accesso. La maggior parte delle autorizzazioni sono elencate nello Win32_ACE class documentation, ad eccezione delle autorizzazioni "generiche" (bit 28-31) e del diritto di accesso ai SACL (bit   23). Maggiori dettagli possono essere trovati here e here.

Se si vuole abbattere una maschera di accesso ACE nei suoi diritti di accesso specifici (vulgo "autorizzazioni estese") si potrebbe fare qualcosa di simile:

$accessMask = [ordered]@{ 
    [uint32]'0x80000000' = 'GenericRead' 
    [uint32]'0x40000000' = 'GenericWrite' 
    [uint32]'0x20000000' = 'GenericExecute' 
    [uint32]'0x10000000' = 'GenericAll' 
    [uint32]'0x02000000' = 'MaximumAllowed' 
    [uint32]'0x01000000' = 'AccessSystemSecurity' 
    [uint32]'0x00100000' = 'Synchronize' 
    [uint32]'0x00080000' = 'WriteOwner' 
    [uint32]'0x00040000' = 'WriteDAC' 
    [uint32]'0x00020000' = 'ReadControl' 
    [uint32]'0x00010000' = 'Delete' 
    [uint32]'0x00000100' = 'WriteAttributes' 
    [uint32]'0x00000080' = 'ReadAttributes' 
    [uint32]'0x00000040' = 'DeleteChild' 
    [uint32]'0x00000020' = 'Execute/Traverse' 
    [uint32]'0x00000010' = 'WriteExtendedAttributes' 
    [uint32]'0x00000008' = 'ReadExtendedAttributes' 
    [uint32]'0x00000004' = 'AppendData/AddSubdirectory' 
    [uint32]'0x00000002' = 'WriteData/AddFile' 
    [uint32]'0x00000001' = 'ReadData/ListDirectory' 
} 

$fileSystemRights = Get-Acl -LiteralPath 'C:\some\folder_or_file' | 
        Select-Object -Expand Access | 
        Select-Object -Expand FileSystemRights -First 1 

$permissions = $accessMask.Keys | 
       Where-Object { $fileSystemRights.value__ -band $_ } | 
       ForEach-Object { $accessMask[$_] } 

Le semplici permessi FullControl, Modify, ReadAndExecute ecc. sono solo combinazioni specifiche di queste autorizzazioni estese. ReadAndExecute per esempio è una combinazione delle seguenti autorizzazioni estese:

• ReadData/ListDirectory
• Execute/Traverse
• ReadAttributes
• ReadExtendedAttributes
• ReadControl

così la maschera di accesso per ReadAndExecute avrebbe t ha valore 131241.

Se si desidera che il risultato sia una combinazione di autorizzazione semplice e le autorizzazioni estese rimanenti, si potrebbe fare qualcosa di simile:

$accessMask = [ordered]@{ 
    ... 
} 

$simplePermissions = [ordered]@{ 
    [uint32]'0x1f01ff' = 'FullControl' 
    [uint32]'0x0301bf' = 'Modify' 
    [uint32]'0x0200a9' = 'ReadAndExecute' 
    [uint32]'0x02019f' = 'ReadAndWrite' 
    [uint32]'0x020089' = 'Read' 
    [uint32]'0x000116' = 'Write' 
} 

$fileSystemRights = Get-Acl -LiteralPath 'C:\some\folder_or_file' | 
        Select-Object -Expand Access | 
        Select-Object -Expand FileSystemRights -First 1 

$fsr = $fileSystemRights.value__ 

$permissions = @() 

# get simple permission 
$permissions += $simplePermissions.Keys | ForEach-Object { 
        if (($fsr -band $_) -eq $_) { 
        $simplePermissions[$_] 
        $fsr = $fsr -band (-bnot $_) 
        } 
       } 

# get remaining extended permissions 
$permissions += $accessMask.Keys | 
       Where-Object { $fsr -band $_ } | 
       ForEach-Object { $accessMask[$_] }