Изменение параметров безопасности папки для конкретного пользователя - VBScript/JScript - Ответ 5635003
13.01.2014, 21:46. Показов 7379. Ответов 6
 Сообщение было отмечено как решение
Решение
Сообщение от mutex
... как вообще в js и vbs изменять параметры безопасности папок и файлов. Хорошо бы примеры или источник где это хорошо описано...
В MSDN есть вся необходимая информация (в том числе и примеры на VBS).
В качестве "наглядного пособия" могу предложить такой сценарий:
Кликните здесь для просмотра всего текста
| Visual Basic | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
| 'Изменение списка управления доступом (DACL) дескриптора безопасности NTFS
'указанного каталога текущего компьютера БЕЗ НАРУШЕНИЯ НАСЛЕДОВАНИЯ настроект от "родителя".
'Необходимо задать только NetBIOS-имя объекта.
'Можно указать имя объекта либо доменного, либо локального (для текущего компьютера) уровня.
'Допустимо указание имён ряда встроенных локальных объектов: "System" (или "Система"), "Все",
'"Администратор(ы)", "Гост(ь)(и)" и т.п.
'Имена объектов можно задавать как в кавычках, так и без них.
'Сценарий позволяет задать тип записи, область её действия и маску доступа.
'Имя каталога выбирается с помощью метода BrowseForFolder объекта Shell.Application.
'Сценарий ориентирован на работу в графическом режиме.
'Сценарий не проверяет ни рациональности, ни, тем более, осмысленности заданного действия
Option Explicit
Dim objWsNet, strDomain, strComputer, strAccount, blnIsDomain
Dim objShell, objFolder, strPath, xResult, intTemp, strTemp
Dim objWMI, objCollection, objItem, intOSVersion
Dim arrACEMasks, arrACEScopes, intACEType, intACEScope, lngACEMask
Const ACCESS_ALLOWED_ACE_TYPE = 0 'Флаг-признак записи типа "РАЗРЕШЕНИЕ"
Const ACCESS_DENIED_ACE_TYPE = 1 'Флаг-признак записи типа "ЗАПРЕТ"
Const OBJECT_INHERIT_ACE = 1 'Флаг-признак области действия записи на текущий каталог и его файлы
Const CONTAINER_INHERIT_ACE = 2 'Флаг-признак области действия записи на текущий каталог и его подкаталоги
Const REMOVE_ACE = 0 'Значение маски для удаления записи из DACL
'--- Допустимые значения для указания областей действия записи
Const ANY_SCOPE = -1 'Любая область действия записи
Const FOLDER_ONLY = 0 'Только текущая папка
Const FOLDER_AND_FILES = 1 'Текущая папка и её файлы
Const FOLDER_AND_SUBFOLDERS = 2 'Текущая папка и её подпапки
Const FOLDER_SUBFOLDERS_FILES = 3 'Текущая папка её подпапки и файлы
Const FILES_ONLY = 9 'Только файлы текущей папки
Const SUBFOLDERS_ONLY = 10 'Только подпапки текущей папки
Const SUBFOLDERS_AND_FILES = 11 'Подпапки и файлы текущей папки
'--- Набор типичных значений масок доступа
Const WRITE_ONLY = 278
Const READ_ONLY = 131209
Const READ_AND_EXECUTE = 131241
Const READ_WRITE = 131487
Const READ_WRITE_EXECUTE = 131519
Const MODIFY = 197055
Const MODIFY_AND_REMOVE_CHILDREN = 197119
Const CHANGE_DACL = 262144
Const ACCESS_WITHOUT_CHANGE_OWNER = 459263
Const CHANGE_OWNER = 524288
Const CHANGE_DACL_AND_OWNER = 786432
Const FULL_ACCESS = 983551
'---
Const FLAG_SYNCHRONIZE = 1048576 'Значение флага синхронизации доступа к объекту файловой системы
'(применим только для записей типа "РАЗРЕШЕНИЕ")
arrACEMasks = Array(REMOVE_ACE, WRITE_ONLY, READ_ONLY, READ_AND_EXECUTE, READ_WRITE, READ_WRITE_EXECUTE, MODIFY, _
MODIFY_AND_REMOVE_CHILDREN, CHANGE_DACL, ACCESS_WITHOUT_CHANGE_OWNER, CHANGE_OWNER, _
CHANGE_DACL_AND_OWNER, FULL_ACCESS)
arrACEScopes = Array(ANY_SCOPE, FOLDER_ONLY, FOLDER_AND_FILES, FOLDER_AND_SUBFOLDERS, FOLDER_SUBFOLDERS_FILES, _
FILES_ONLY, SUBFOLDERS_ONLY, SUBFOLDERS_AND_FILES)
strAccount = InputBox("Имя учётной записи:", "Настройка безопасности NTFS")
If Len(strAccount) > 0 Then
If StrComp(strAccount, "Система", vbTextCompare) = 0 Then strAccount = "System"
Set objShell = CreateObject("Shell.Application")
Set objFolder = objShell.BrowseForFolder(0, "Выбор каталога", &H10 + &H200, &H11)
If Not objFolder Is Nothing Then
strPath = objFolder.Self.Path
Set objWsNet = CreateObject("WScript.Network")
strDomain = objWsNet.UserDomain
strComputer = objWsNet.ComputerName
Set objWsNet = Nothing
Set objWMI = GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
'--- Определение версии ОС
Set objCollection = objWMI.ExecQuery("SELECT Version FROM Win32_OperatingSystem")
For Each objItem In objCollection
intOSVersion = CInt(Replace(Left(objItem.Version, 3), ".", ""))
Next
Set objItem = Nothing
Set objCollection = Nothing
Set objWMI = Nothing
'------
strAccount = Replace(strAccount, """", "")
'--- Настройка правильного наименования "учётки" локальной ОС в зависимости от версии ОС
If intOSVersion < 61 Then
strAccount = Replace(strAccount, "Система", "System", 1, -1, vbTextCompare)
Else
strAccount = Replace(strAccount, "System", "Система", 1, -1, vbTextCompare)
End If
'------
If StrComp(strDomain, strComputer, vbTextCompare) <> 0 Then blnIsDomain = True
If StrComp(strAccount, "System", vbTextCompare) = 0 Or StrComp(strAccount, "Система", vbTextCompare) = 0 Or _
StrComp(strAccount, "Все", vbTextCompare) = 0 Then
strDomain = vbNullString
Else
If blnIsDomain Then
If MsgBox("Задана доменная учётная запись?", vbYesNo + vbQuestion, "Настройка безопасности NTFS") = vbNo Then
strDomain = strComputer
End If
Else
strDomain = strComputer
End If
End If
intTemp = Trim(InputBox("Тип доступа и маска доступа в формате" & vbNewLine & _
"+ЧИСЛО (разрешить) или -ЧИСЛО (запретить)," & vbNewLine & _
"где ЧИСЛО:" & vbNewLine & _
"1 - запись;" & vbNewLine & _
"2 - только чтение;" & vbNewLine & _
"3 - чтение и выполнение;" & vbNewLine & _
"4 - чтение и запись (без выполнения);" & vbNewLine & _
"5 - чтение, запись, выполнение;" & vbNewLine & _
"6 - изменение (без удаления подпапок и файлов);" & vbNewLine & _
"7 - изменение (с удалением подпапок и файлов);" & vbNewLine & _
"8 - смена разрешений;" & vbNewLine & _
"9 - почти полный доступ (без смены владельца);" & vbNewLine & _
"10 - смена владельца;" & vbNewLine & _
"11 - смена разрешений и владельца;" & vbNewLine & _
"12 - полный доступ." & vbNewLine & vbNewLine & _
"Если знак типа доступа (+/-) отсутствует," & vbNewLine & _
"то предполагается разрешение." & vbNewLine & vbNewLine & _
"Для удаления записи из списка" & vbNewLine & _
"в качестве значения маски укажите:" & vbNewLine & _
"+0 - для записи типа ""РАЗРЕШЕНИЕ"";" & vbNewLine & _
"-0 - для записи типа ""ЗАПРЕТ"";" & vbNewLine & _
"0 - для записи любого типа.", "Настройка безопасности NTFS"))
If IsNumeric(intTemp) Then
strTemp = Left(intTemp, 1)
intTemp = CInt(intTemp)
If Abs(intTemp) >= 0 And Abs(intTemp) <= 12 Then
lngACEMask = arrACEMasks(Abs(intTemp))
If intTemp < 0 Then
intACEType = 1
If intOSVersion >= 52 And lngACEMask = FULL_ACCESS Then
lngACEMask = lngACEMask + FLAG_SYNCHRONIZE
'Эта проверка позволяет учесть разницу между значениями маски "Полный доступ"
'у записей разных типов в ОС версий "2000/XP"
End If
ElseIf intTemp > 0 Then
intACEType = 0
lngACEMask = lngACEMask + FLAG_SYNCHRONIZE
Else
Select Case strTemp
Case "-": intACEType = 1
Case "+": intACEType = 0
Case Else: intACEType = -1
End Select
End If
intTemp = Trim(InputBox("Область действия записи:" & vbNewLine & _
"1 - только текущая папка;" & vbNewLine & _
"2 - текущая папка и её файлы;" & vbNewLine & _
"3 - текущая папка и её подпапки;" & vbNewLine & _
"4 - текущая папка, её подпапки и файлы;" & vbNewLine & _
"5 - только файлы текущей папки;" & vbNewLine & _
"6 - только подпапки текущей папки;" & vbNewLine & _
"7 - подпапки и файлы текущей папки." & vbNewLine & vbNewLine & _
"Для обработки записи с любой" & vbNewLine & _
"областью действия задайте значение 0", "Настройка безопасности NTFS"))
If IsNumeric(intTemp) Then
intTemp = CInt(intTemp)
If intTemp < 0 Or intTemp > 7 Then
intTemp = 4
MsgBox "Область действия задана неверно." & vbNewLine & _
"Будет использована стандартная область:" & vbNewLine & _
"ТЕКУЩАЯ ПАПКА, ЕЁ ПОДПАПКИ И ФАЙЛЫ.", _
vbExclamation, "Настройка безопасности NTFS"
End If
Else
intTemp = 4
MsgBox "Область действия не задана или задана неверно." & vbNewLine & _
"Будет использована стандартная область:" & vbNewLine & _
"ТЕКУЩАЯ ПАПКА, ЕЁ ПОДПАПКИ И ФАЙЛЫ.", _
vbExclamation, "Настройка безопасности NTFS"
End If
intACEScope = arrACEScopes(intTemp)
xResult = ModifyEx2_DACL(strDomain, strComputer, strAccount, strPath, intACEType, intACEScope, lngACEMask)
Else
xResult = "Маска доступа задана неверно."
End If
Else
xResult = "Тип доступа или маска доступа не заданы или заданы неверно."
End If
WScript.Echo xResult
Else
WScript.Echo "Каталог не выбран."
End If
Set objShell = Nothing
Set objFolder = Nothing
Else
WScript.Echo "Учётная запись не указана."
End If
WScript.Quit 0
'======
Function ModifyEx2_DACL(strDom, strWS, strSAN, strDir, intType, intScope, lngMask)
Dim objWMI, objSecSettings, objSD, blnHasInherited, blnHasACE, i
Dim xRes, arrACE, objCollection, objItem, strSID
Dim objSID, objTrustee, objACE
Const SE_DACL_PROTECTED = 4096 'Флаг-признак отключенного режима наследования управляемым каталогом безопасности NTFS от "родителя"
Const INHERITED_ACE = 16 'Флаг-признак того, что текущая запись DACL унаследована от "родителя"
On Error Resume Next
xRes = 0
Set objWMI = GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & strWS & "\root\cimv2")
If Err.Number = 0 Then
Set objSecSettings = objWMI.Get("Win32_LogicalFileSecuritySetting.Path='" & strDir & "'")
If Err.Number = 0 Then
If objSecSettings.GetSecurityDescriptor(objSD) = 0 Then
If Not IsNull(objSD.DACL) Then
'--- Поиск заданной "учётки" на локальном компьютере или в Active Directory
If Len(strDom) > 0 Then
Set objCollection = objWMI.ExecQuery("SELECT SID FROM Win32_Account WHERE Domain='" & strDom & "' AND Name='" & strSAN & "'")
Else
Set objCollection = objWMI.ExecQuery("SELECT SID FROM Win32_Account WHERE Name='" & strSAN & "'")
End If
'------
If objCollection.Count > 0 Then
If CBool(objSD.ControlFlags And SE_DACL_PROTECTED) Then
arrACE = objSD.DACL
Else
blnHasInherited = True
arrACE = Array()
i = -1
'--- Выборка из исходного DACL записей, не унаследованных от "родителя"
For Each objItem In objSD.DACL
If Not CBool(objItem.AceFlags And INHERITED_ACE) Then
i = i + 1
ReDim Preserve arrACE(i)
Set arrACE(i) = objItem
End If
Next
Set objItem = Nothing
'------
'--- Отключение наследования настроек безопасности от "родителя"
objSD.ControlFlags = objSD.ControlFlags + SE_DACL_PROTECTED
xRes = objSecSettings.SetSecurityDescriptor(objSD)
'------
End If
If xRes = 0 Then
'--- Определение SID "учётки", назначенной для обработки
For Each objItem In objCollection
strSID = UCase(objItem.SID)
Next
Set objItem = Nothing
'------
If lngMask > 0 Then
'--- Подготовка к добавлению в DACL новой записи
Set objSID = objWMI.Get("Win32_SID.SID='" & strSID & "'")
Set objTrustee = objWMI.Get("Win32_Trustee").Spawninstance_()
objTrustee.Domain = strDom
objTrustee.Name = strSAN
objTrustee.SID = objSID.BinaryRepresentation
objTrustee.SidLength = objSID.SidLength
objTrustee.SIDString = strSID
Set objSID = Nothing
Set objACE = objWMI.Get("Win32_Ace").Spawninstance_()
objACE.AceType = intType
objACE.AceFlags = intScope
objACE.AccessMask = lngMask
objACE.Trustee = objTrustee
Set objTrustee = Nothing
i = UBound(arrACE) + 1
ReDim Preserve arrACE(i)
Set arrACE(i) = objACE
objSD.DACL = arrACE
'------
Else
'--- Подготовка к удалению из DACL указанной записи
For Each objACE In arrACE
blnHasACE = False
'--- Поиск указанной записи по SID, области действия и типу
If UCase(objACE.Trustee.SIDString) = strSID Then
If intScope >= 0 Then
If objACE.AceFlags = intScope Then
If intType < 0 Or objACE.AceType = intType Then
blnHasACE = True 'запись заданного типа с искомыми SID и областью действия найдена
End If
End If
Else
blnHasACE = True 'запись с искомым SID найдена (область действия - любая)
End If
If blnHasACE Then
objACE.AccessMask = 0
End If
End If
'------
Next
'------
End If
objSD.DACL = arrACE 'собственно изменение DACL
Set objACE = Nothing
Erase arrACE
'--- Включение наследования настроек безопасности от "родителя",
'если первоначально оно было включено
If blnHasInherited Then
objSD.ControlFlags = objSD.ControlFlags - SE_DACL_PROTECTED
End If
'------
'--- Итоговое сохраненение изменений, внесённых в дескриптор безопасности
xRes = objSecSettings.SetSecurityDescriptor(objSD)
Select Case xRes
Case 0: xRes = "Успешное завершение."
Case 2: xRes = "Не удалось сохранить изменения DACL." & vbNewLine & "Доступ запрещён."
Case 5, 9: xRes = "Не удалось сохранить изменения DACL." & vbNewLine & "Для выполнения операции недостаточно полномочий."
Case 21: xRes = "Не удалось сохранить изменения DACL." & vbNewLine & "Заданы недопустимые значения параметров."
Case Else: xRes = "Не удалось сохранить изменения DACL." & vbNewLine & "Неизвестная ошибка."
End Select
'------
Else
xRes = "Не удалось отключить наследование безопасности для папки " & UCase(strDir)
End If
Else
xRes = "Не найдена учётная запись объекта " & UCase(strDom & "\" & strSAN)
End If
Set objCollection = Nothing
Else
xRes = "Список управления доступом (ACL) к заданному объекту пуст."
End If
Else
xRes = "Не удалось прочитать дескриптор безопасности объекта."
End If
Set objSD = Nothing
Set objSecSettings = Nothing
Else
xRes = "Ошибка " & CStr(Err.Number) & vbNewLine & Err.Description
Err.Clear
End If
Else
xRes = "Ошибка " & CStr(Err.Number) & vbNewLine & Err.Description
Err.Clear
End If
Set objWMI = Nothing
On Error GoTo 0
ModifyEx2_DACL = xRes
End Function |
|
Хотя этот сценарий написан именно с академической целью, с его помощью, в принципе, можно решить и Вашу задачу. Правда, для работы с удалённым компьютером потребуется подключить в качестве сетевого тома любую папку, лежащую выше по уровню иерархии по отношению к обрабатываемой папке.
Могу предложить ещё один вариант подобного сценария:
Кликните здесь для просмотра всего текста
| Visual Basic | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
| 'Изменение списков управления доступом (DACL) дескриптора безопасности NTFS
'подкаталогов заданного родительского каталога БЕЗ НАРУШЕНИЯ НАСЛЕДОВАНИЯ настроек от "родителя".
'Имя учётной записи и путь к родительскому каталогу задаётся вручную.
'Имя учётной записи должно иметь формат NetBIOS.
'Путь к родительскому каталогу может быть как локальным, так и сетевым (т.е. иметь формат UNC).
'Можно указать имя учётной записи либо доменного, либо локального (для текущего компьютера) уровня.
'Допустимо указание имён встроенных локальных объектов: "System" (или "Система"), "Все".
'Имя учётной записи можно задавать как в кавычках, так и без них.
'Путь к родительскому каталогу может содержать кавычки внутри, но не должен быть обрамлён ими.
'Сценарий позволяет задать тип записи и маску доступа.
'Сценарий ориентирован на работу в консольном режиме.
Dim objWsNet, objWShell, objFS, objFile, strDomain, strComputer, strBaseFolder, strLetter, strLog
Dim strTranslator, blnIsConsole, blnContinue, xAnswer, intOSVersion, xResult, intTemp, strTemp
Dim objWMI, objCollection, objItem, strAccount, strUserSID
Dim arrACEMasks, arrACEScopes, intACEType, lngACEMask
Const ACCESS_ALLOWED_ACE_TYPE = 0 'Флаг-признак записи типа "РАЗРЕШЕНИЕ"
Const ACCESS_DENIED_ACE_TYPE = 1 'Флаг-признак записи типа "ЗАПРЕТ"
Const REMOVE_ACE = 0 'Значение маски для удаления записи из DACL
'--- Допустимые значения для указания областей действия записи
Const FOLDER_SUBFOLDERS_FILES = 3 'Текущая папка её подпапки и файлы
'--- Набор типичных значений масок доступа
Const WRITE_ONLY = 278
Const READ_ONLY = 131209
Const READ_AND_EXECUTE = 131241
Const READ_WRITE = 131487
Const READ_WRITE_EXECUTE = 131519
Const MODIFY = 197055
Const MODIFY_AND_REMOVE_CHILDREN = 197119
Const CHANGE_DACL = 262144
Const ACCESS_WITHOUT_CHANGE_OWNER = 459263
Const CHANGE_OWNER = 524288
Const CHANGE_DACL_AND_OWNER = 786432
Const FULL_ACCESS = 983551
'---
Const FLAG_SYNCHRONIZE = 1048576 'Значение флага синхронизации доступа к объекту файловой системы
'(применим только для записей типа "РАЗРЕШЕНИЕ")
arrACEMasks = Array(REMOVE_ACE, WRITE_ONLY, READ_ONLY, READ_AND_EXECUTE, READ_WRITE, READ_WRITE_EXECUTE, MODIFY, _
MODIFY_AND_REMOVE_CHILDREN, CHANGE_DACL, ACCESS_WITHOUT_CHANGE_OWNER, CHANGE_OWNER, _
CHANGE_DACL_AND_OWNER, FULL_ACCESS)
strLog = "Modify_SubFoldersDACL_Result.log"
Set objWsNet = CreateObject("WScript.Network")
strDomain = objWsNet.UserDomain
strComputer = objWsNet.ComputerName
Set objFS = CreateObject("Scripting.FileSystemObject")
strTranslator = objFS.GetBaseName(WScript.FullName)
If StrComp(strTranslator, "cscript", vbTextCompare) = 0 Then
blnIsConsole = True
Else
blnIsConsole = False
End If
Set objWShell = CreateObject("WScript.Shell")
On Error Resume Next
Set objWMI = GetObject("winmgmts:\\.\root\cimv2")
If Err.Number = 0 Then
If Not blnIsConsole Then
strTemp = Left(WScript.ScriptFullName, 2)
Set objCollection = objWMI.ExecQuery("SELECT DriveType FROM Win32_LogicalDisk WHERE DeviceID='" & strTemp & "'")
If Err.Number = 0 Then
For Each objItem In objCollection
intTemp = objItem.DriveType
Next
If intTemp = 4 Then
MsgBox "В графическом режиме сценарий может быть запущен только с локального диска.", vbExclamation, "Настройка DACL папок пользователей"
Else
xAnswer = MsgBox("Сценарий ориентирован на консольный режим." & vbNewLine & "Перезапустить его с помощью консоли?", vbYesNo + vbQuestion, "Настройка DACL папок пользователей")
If xAnswer = vbNo Then
MsgBox "Выполнение сценария прекращено.", vbInformation, "Настройка DACL папок пользователей"
Else
Set objFile = objFS.CreateTextFile(WScript.ScriptFullName & ".rst", True)
objFile.Close
objWShell.Run "cscript.exe " & WScript.ScriptFullName, 1
End If
End If
Else
MsgBox "Ошибка " & Err.Number & " при определении типа базового диска." & vbNewLine & Err.Description, _
vbCritical, "Настройка DACL папок пользователей"
Err.Clear
End If
Else
strLog = objFS.BuildPath(objFS.GetParentFolderName(WScript.ScriptFullName), strLog)
Set objFile = objFS.CreateTextFile(strLog, True)
WScript.StdOut.Write "Путь к родительскому каталогу: "
strBaseFolder = Trim(WScript.StdIn.ReadLine)
If Len(strBaseFolder) > 0 Then
Set objRegExp = CreateObject("VBScript.RegExp")
objRegExp.IgnoreCase = True
objRegExp.Pattern = "\\+$"
strBaseFolder = objRegExp.Replace(strBaseFolder, "")
strBaseFolder = ASCII_to_Unicode(strBaseFolder)
If Left(strBaseFolder, 2) = "\\" Then
strComputer = Split(strBaseFolder, "\")(2)
If Ping_Con(strComputer) Then
If objFS.FolderExists(strBaseFolder) Then
strTemp = Find_NetworkDrive(objWMI, strBaseFolder)
objRegExp.Pattern = "^[d-z]:"
If objRegExp.Test(strTemp) Then
strBaseFolder = strTemp
blnContinue = True
Else
strLetter = Free_Letter(objWMI)
If Len(strLetter) > 0 Then
objWsNet.MapNetworkDrive strLetter & ":", strBaseFolder, False
If Err.Number = 0 Then
strBaseFolder = strLetter & ":\"
blnContinue = True
Else
strLetter = vbNullString
objFile.WriteLine "Ошибка " & Err.Number & " при попытке подключить заданный UNC-путь как сетевой том." & vbNewLine & Err.Description
WScript.Echo "Ошибка " & Err.Number & " при попытке подключить заданный UNC-путь как сетевой том." & vbNewLine & Err.Description
Err.Clear
End If
Else
objFile.WriteLine "Не удалось подключить заданный UNC-путь как сетевой том."
WScript.Echo "Не удалось подключить заданный UNC-путь как сетевой том."
End If
End If
Else
objFile.WriteLine "Путь " & UCase(strBaseFolder) & " не найден."
WScript.Echo "Путь " & UCase(strBaseFolder) & " не найден."
End If
Else
objFile.WriteLine "Узел " & UCase(strComputer) & " не отвечает или не существует."
WScript.Echo "Узел " & UCase(strComputer) & " не отвечает или не существует."
End If
Else
If objFS.FolderExists(strBaseFolder) Then
If Len(strBaseFolder) = 2 Then strBaseFolder = strBaseFolder & "\"
blnContinue = True
Else
objFile.WriteLine "Путь " & UCase(strBaseFolder) & " не найден."
WScript.Echo "Путь " & UCase(strBaseFolder) & " не найден."
End If
End If
If blnContinue Then
WScript.StdOut.Write "Имя учётной записи пользователя (группы): "
strAccount = Trim(WScript.StdIn.ReadLine)
If Len(strAccount) > 0 Then
strAccount = Replace(strAccount, """", "")
strAccount = ASCII_to_Unicode(strAccount)
If StrComp(strAccount, "Система", vbTextCompare) = 0 Then strAccount = "System"
'--- Определение версии ОС
Set objCollection = objWMI.ExecQuery("SELECT Version FROM Win32_OperatingSystem")
If Err.Number = 0 Then
For Each objItem In objCollection
intOSVersion = CInt(Replace(Left(objItem.Version, 3), ".", ""))
Next
'------
If Err.Number = 0 Then
'--- Настройка правильного наименования "учётки" локальной ОС в зависимости от версии ОС
If intOSVersion < 61 Then
strAccount = Replace(strAccount, "Система", "System", 1, -1, vbTextCompare)
Else
strAccount = Replace(strAccount, "System", "Система", 1, -1, vbTextCompare)
End If
'------
If StrComp(strAccount, "System", vbTextCompare) = 0 Or StrComp(strAccount, "Система", vbTextCompare) = 0 Or _
StrComp(strAccount, "Все", vbTextCompare) = 0 Then
strDomain = vbNullString
End If
'--- Поиск заданной "учётки" на локальном компьютере или в Active Directory
If Len(strDomain) > 0 Then
Set objCollection = objWMI.ExecQuery("SELECT SID FROM Win32_Account WHERE Domain='" & strDomain & "' AND Name='" & strAccount & "'")
Else
Set objCollection = objWMI.ExecQuery("SELECT SID FROM Win32_Account WHERE Name='" & strAccount & "'")
End If
'------
If Err.Number = 0 Then
If objCollection.Count > 0 Then
For Each objItem In objCollection
strUserSID = objItem.SID
Next
WScript.StdOut.Write vbNewLine & "Тип и маска доступа в формате +ЧИСЛО (разрешить) или -ЧИСЛО (запретить)," & vbNewLine & _
"где ЧИСЛО:" & vbNewLine & _
"1 - запись;" & vbNewLine & _
"2 - только чтение;" & vbNewLine & _
"3 - чтение и выполнение;" & vbNewLine & _
"4 - чтение и запись (без выполнения);" & vbNewLine & _
"5 - чтение, запись, выполнение;" & vbNewLine & _
"6 - изменение (без удаления подпапок и файлов);" & vbNewLine & _
"7 - изменение (с удалением подпапок и файлов);" & vbNewLine & _
"8 - смена разрешений;" & vbNewLine & _
"9 - почти полный доступ (без смены владельца);" & vbNewLine & _
"10 - смена владельца;" & vbNewLine & _
"11 - смена разрешений и владельца;" & vbNewLine & _
"12 - полный доступ." & vbNewLine & vbNewLine & _
"Если знак типа доступа (+/-) отсутствует, то предполагается разрешение." & vbNewLine & vbNewLine & _
"Для удаления записи из списка в качестве значения маски укажите:" & vbNewLine & _
"+0 - для записи типа ""РАЗРЕШЕНИЕ"";" & vbNewLine & _
"-0 - для записи типа ""ЗАПРЕТ"";" & vbNewLine & _
"0 - для записи любого типа." & vbNewLine & ":> "
intTemp = WScript.StdIn.ReadLine
If IsNumeric(intTemp) Then
strTemp = Left(intTemp, 1)
intTemp = CInt(intTemp)
If Abs(intTemp) >= 0 And Abs(intTemp) <= 12 Then
lngACEMask = arrACEMasks(Abs(intTemp))
If intTemp < 0 Then
intACEType = 1
If intOSVersion >= 52 And lngACEMask = FULL_ACCESS Then
lngACEMask = lngACEMask + FLAG_SYNCHRONIZE
'Эта проверка позволяет учесть разницу между значениями маски "Полный доступ"
'у записей разных типов в ОС версий "2000/XP"
End If
ElseIf intTemp > 0 Then
intACEType = 0
lngACEMask = lngACEMask + FLAG_SYNCHRONIZE
Else
Select Case strTemp
Case "-": intACEType = 1
Case "+": intACEType = 0
Case Else: intACEType = -1
End Select
End If
WScript.Echo vbNewLine & "======" & vbNewLine
For Each objItem In objFS.GetFolder(strBaseFolder).SubFolders
xResult = ModifyEx3_DACL(objWMI, strDomain, strAccount, strUserSID, objItem.Path, intACEType, FOLDER_SUBFOLDERS_FILES, lngACEMask)
objFile.WriteLine objItem.Name & " -> " & xResult
WScript.Echo objItem.Name & " -> " & xResult
Next
Set objItem = Nothing
Else
objFile.WriteLine "Маска доступа задана неверно."
WScript.Echo "Маска доступа задана неверно."
End If
Else
objFile.WriteLine "Тип доступа или маска доступа не заданы или заданы неверно."
WScript.Echo "Тип доступа или маска доступа не заданы или заданы неверно."
End If
Else
objFile.WriteLine "Не найдена учётная запись объекта " & UCase(strDomain & "\" & strAccount)
WScript.Echo "Не найдена учётная запись объекта " & UCase(strDomain & "\" & strAccount)
End If
Else
objFile.WriteLine "Ошибка " & Err.Number & " при поиске SID." & vbNewLine & Err.Description
WScript.Echo "Ошибка " & Err.Number & " при поиске SID." & vbNewLine & Err.Description
Err.Clear
End If
Else
objFile.WriteLine "Ошибка " & Err.Number & " при определении версии ОС." & vbNewLine & Err.Description
WScript.Echo "Ошибка " & Err.Number & " при определении версии ОС." & vbNewLine & Err.Description
Err.Clear
End If
Else
objFile.WriteLine "Ошибка " & Err.Number & " при обращении к классу Win32_OperatingSystem." & vbNewLine & Err.Description
WScript.Echo "Ошибка " & Err.Number & " при обращении к классу Win32_OperatingSystem." & vbNewLine & Err.Description
Err.Clear
End If
Else
objFile.WriteLine "Необходимо указать имя учётной записи пользователя (группы)."
WScript.Echo "Необходимо указать имя учётной записи пользователя (группы)."
End If
If Len(strLetter) > 0 Then
objWsNet.RemoveNetworkDrive strLetter & ":", True, True
If Err.Number <> 0 Then Err.Clear
End If
End If
Set objRegExp = Nothing
Else
objFile.WriteLine "Путь к родительскому каталогу не задан."
WScript.Echo "Путь к родительскому каталогу не задан."
End If
objFile.Close
If objFS.FileExists(WScript.ScriptFullName & ".rst") Then
objFS.DeleteFile WScript.ScriptFullName & ".rst", True
If Err.Number <> 0 Then Err.Clear
objWShell.Run "notepad.exe " & strLog, 1
Else
WScript.Echo vbNewLine & "======" & vbNewLine & "Путь к файлу журнала: " & strLog
End If
Set objFile = Nothing
End If
Else
WScript.Echo "Ошибка " & Err.Number & " при обращении к WMI-пространству." & vbNewLine & Err.Description
Err.Clear
End If
Set objCollection = Nothing
Set objWMI = Nothing
Set objWShell = Nothing
Set objFS = Nothing
Set objWsNet = Nothing
WScript.Quit 0
'======
Function ModifyEx3_DACL(objWMIServ, strDom, strSAN, strSID, strDir, intType, intScope, lngMask)
Dim objSecSettings, objSD, blnHasInherited, blnHasACE, i
Dim xRes, arrACE, objItem
Dim objSID, objTrustee, objACE
Const SE_DACL_PROTECTED = 4096 'Флаг-признак отключенного режима наследования управляемым каталогом безопасности NTFS от "родителя"
Const INHERITED_ACE = 16 'Флаг-признак того, что текущая запись DACL унаследована от "родителя"
On Error Resume Next
xRes = 0
Set objSecSettings = objWMIServ.Get("Win32_LogicalFileSecuritySetting.Path='" & strDir & "'")
If Err.Number = 0 Then
If objSecSettings.GetSecurityDescriptor(objSD) = 0 Then
If Not IsNull(objSD.DACL) Then
If CBool(objSD.ControlFlags And SE_DACL_PROTECTED) Then
arrACE = objSD.DACL
Else
blnHasInherited = True
arrACE = Array(): i = -1
'--- Выборка из исходного DACL записей, не унаследованных от "родителя"
For Each objItem In objSD.DACL
If Not CBool(objItem.AceFlags And INHERITED_ACE) Then
i = i + 1
ReDim Preserve arrACE(i)
Set arrACE(i) = objItem
End If
Next
Set objItem = Nothing
'------
'--- Отключение наследования настроек безопасности от "родителя"
objSD.ControlFlags = objSD.ControlFlags + SE_DACL_PROTECTED
xRes = objSecSettings.SetSecurityDescriptor(objSD)
'------
End If
If xRes = 0 Then
If lngMask > 0 Then
'--- Подготовка к добавлению в DACL новой записи
Set objSID = objWMI.Get("Win32_SID.SID='" & strSID & "'")
Set objTrustee = objWMI.Get("Win32_Trustee").Spawninstance_()
objTrustee.Domain = strDom
objTrustee.Name = strSAN
objTrustee.SID = objSID.BinaryRepresentation
objTrustee.SidLength = objSID.SidLength
objTrustee.SIDString = strSID
Set objSID = Nothing
Set objACE = objWMI.Get("Win32_Ace").Spawninstance_()
objACE.AceType = intType
objACE.AceFlags = intScope
objACE.AccessMask = lngMask
objACE.Trustee = objTrustee
Set objTrustee = Nothing
i = UBound(arrACE) + 1
ReDim Preserve arrACE(i)
Set arrACE(i) = objACE
objSD.DACL = arrACE
'------
Else
'--- Подготовка к удалению из DACL указанной записи
For Each objACE In arrACE
blnHasACE = False
'--- Поиск указанной записи по SID, области действия и типу
If UCase(objACE.Trustee.SIDString) = strSID Then
If intScope >= 0 Then
If objACE.AceFlags = intScope Then
If intType < 0 Or objACE.AceType = intType Then
blnHasACE = True 'запись заданного типа с искомыми SID и областью действия найдена
End If
End If
Else
blnHasACE = True 'запись с искомым SID найдена (область действия - любая)
End If
If blnHasACE Then
objACE.AccessMask = 0
End If
End If
'------
Next
'------
End If
objSD.DACL = arrACE 'собственно изменение DACL
Set objACE = Nothing
Erase arrACE
'--- Включение наследования настроек безопасности от "родителя", если первоначально оно было включено
If blnHasInherited Then
objSD.ControlFlags = objSD.ControlFlags - SE_DACL_PROTECTED
End If
'------
'--- Итоговое сохраненение изменений, внесённых в дескриптор безопасности
xRes = objSecSettings.SetSecurityDescriptor(objSD)
Select Case xRes
Case 0: xRes = "успешное завершение."
Case 2: xRes = "не удалось сохранить изменения DACL (доступ запрещён)."
Case 5, 9: xRes = "не удалось сохранить изменения DACL (для выполнения операции недостаточно полномочий)."
Case 21: xRes = "не удалось сохранить изменения DACL (заданы недопустимые значения параметров)."
Case Else: xRes = "не удалось сохранить изменения DACL (неизвестная ошибка)."
End Select
'------
Else
xRes = "не удалось отключить наследование безопасности."
End If
Else
xRes = "список управления доступом пуст."
End If
Else
xRes = "не удалось прочитать дескриптор безопасности объекта"
End If
Set objSD = Nothing
Set objSecSettings = Nothing
Else
xRes = "ошибка " & CStr(Err.Number) & vbNewLine & Err.Description
Err.Clear
End If
On Error GoTo 0
ModifyEx3_DACL = xRes
End Function
'======
Function Ping_Con(strName)
Dim objExec, objOutStream, strTemp
Set objExec = CreateObject("WScript.Shell").Exec("ping -n 1 -w 130 " & strName)
Set objOutStream = objExec.StdOut
While Not objOutStream.AtEndOfStream
strTemp = strTemp & Trim(objOutStream.ReadLine())
Wend
Set objOutStream = Nothing
Set objExec = Nothing
If InStr(1, strTemp, "TTL", vbTextCompare) > 0 Then
Ping_Con = True
Else
Ping_Con = False
End If
End Function
'======
Function ASCII_to_Unicode(strName)
Dim strTemp, intTemp, i
strTemp = vbNullString
On Error Resume Next
For i = 1 To Len(strName)
intTemp = Asc(Mid(strName, i, 1))
If (intTemp >= 128 And intTemp <= 175) Or (intTemp >= 224 And intTemp <= 239) Then
If intTemp <= 175 Then
intTemp = intTemp + 64
Else
intTemp = intTemp + 16
End If
End If
strTemp = strTemp & Chr(intTemp)
If Err.Number <> 0 Then
Err.Clear
strTemp = vbNullString
Exit For
End If
Next
On Error GoTo 0
ASCII_to_Unicode = strTemp
End Function
'======
Function Find_NetworkDrive(objWMIServ, ByVal strPath)
Dim objCollection, objItem, strName
strPath = Replace(strPath, "\", "\\")
On Error Resume Next
Set objCollection = objWMIServ.ExecQuery("SELECT * FROM Win32_LogicalDisk WHERE DriveType=4 AND ProviderName='" & strPath & "'")
If Err.Number = 0 Then
If objCollection.Count > 0 Then
For Each objItem In objCollection
If Len(objItem.DeviceID) > 0 Then
strName = objItem.DeviceID
End If
Next
Set objItem = Nothing
End If
Else
strName = "Ошибка " & Err.Number & " при поиске подключенного сетевого тома." & vbNewLine & Err.Description
Err.Clear
End If
Set objCollection = Nothing
On Error GoTo 0
Find_NetworkDrive = strName
End Function
'======
Function Free_Letter(objWMIServ)
Dim objCollection, objItem
Dim arrTemp(22), intShift, intTemp, i, blnHasLetter
intShift = Asc("D")
On Error Resume Next
Set objCollection = objWMIServ.ExecQuery("SELECT DeviceID FROM Win32_LogicalDisk")
If Err.Number = 0 Then
For Each objItem In objCollection
intTemp = Asc(UCase(objItem.DeviceID)) - intShift
If intTemp >= 0 And intTemp <= UBound(arrTemp) Then arrTemp(intTemp) = True
Next
Set objItem = Nothing
Set objCollection = Nothing
For i = 0 To UBound(arrTemp)
If Not arrTemp(i) Then
blnHasLetter = True
Exit For
End If
Next
Else
Err.Clear
End If
On Error GoTo 0
If blnHasLetter Then
Free_Letter = Chr(i + intShift)
Else
Free_Letter = vbNullString
End If
Erase arrTemp
End Function |
|
Он предназначен для обработки целого списка папок, но при этом обеспечивает атоматическое подключение/отключение необходимой "родительской" папки. Его несложно переделать под Вашу задачу.
Собственно, достаточно изменить нужным образом только вот этот фрагмент основного кода:
| Visual Basic | 1
2
3
4
5
| For Each objItem In objFS.GetFolder(strBaseFolder).SubFolders
xResult = ModifyEx3_DACL(objWMI, strDomain, strAccount, strUserSID, objItem.Path, intACEType, FOLDER_SUBFOLDERS_FILES, lngACEMask)
objFile.WriteLine objItem.Name & " -> " & xResult
WScript.Echo objItem.Name & " -> " & xResult
Next |
|
Вернуться к обсуждению: Изменение параметров безопасности папки для конкретного пользователя VBScript/JScript
4
|
Сообщение было отмечено как решение
Сообщение от mutex
