Форум программистов, компьютерный форум, киберфорум
Наши страницы
VBScript/JScript/WSH/WMI/HTA
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.91/11: Рейтинг темы: голосов - 11, средняя оценка - 4.91
mutex
28 / 28 / 5
Регистрация: 18.04.2009
Сообщений: 261
1

Изменение параметров безопасности папки для конкретного пользователя

12.01.2014, 19:00. Просмотров 2089. Ответов 6
Метки нет (Все метки)

Доброго времени суток уважаемые форумчане!

Задача следующая. У пользователя с ограниченными правами на рабочем столе или в документах находится папка, на которую у него нет доступа. Как с помощью js или vbs скрипта (желательно vbs) дать переназначить текущему пользователю полный доступ на эту папку. Запуск скрипта естественно будет производиться от имени учётной записи с правами администратора.

Собственно проблема в том как вообще в js и vbs изменять параметры безопасности папок и файлов. Хорошо бы примеры или источник где это хорошо описано.

Предполагаю что без использования WMI наверное не обойтись
0
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
12.01.2014, 19:00
Ответы с готовыми решениями:

Изменение параметров безопасности Internet Explorer
Здравствуйте ! Возникла следующая задача: написать скрипт, который поменяет...

Как правильно настроить папку с парольной защитой для конкретного пользователя?
Добрый день.. задача такова, Создаю на сервере папку с общим доступом для...

Процессы конкретного пользователя ?
Set props = service.ExecQuery("select * from Win32_Process") Возможно ли в...

Изменение параметров DOC-файла
Добрый день уважаемые знатоки! Не откажите пожалуйста в помощи: необходим...

Создание пользователя с определёнными правами через внесение соответствующих параметров в реестр
Всем привет, народ выручайте. Необходимо на компьютере заблокировать все что...

6
Dmitrii
2603 / 535 / 107
Регистрация: 21.03.2012
Сообщений: 1,043
13.01.2014, 21:46 2
Лучший ответ Сообщение было отмечено как решение

Решение

Цитата Сообщение от mutex Посмотреть сообщение
... как вообще в js и vbs изменять параметры безопасности папок и файлов. Хорошо бы примеры или источник где это хорошо описано...
В MSDN есть вся необходимая информация (в том числе и примеры на VBS).
В качестве "наглядного пособия" могу предложить такой сценарий:
Кликните здесь для просмотра всего текста
Visual Basic
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
'Изменение списка управления доступом (DACL) дескриптора безопасности NTFS
'указанного каталога текущего компьютера БЕЗ НАРУШЕНИЯ НАСЛЕДОВАНИЯ настроект от "родителя".
'Необходимо задать только NetBIOS-имя объекта.
'Можно указать имя объекта либо доменного, либо локального (для текущего компьютера) уровня.
'Допустимо указание имён ряда встроенных локальных объектов: "System" (или "Система"), "Все",
'"Администратор(ы)", "Гост(ь)(и)" и т.п.
'Имена объектов можно задавать как в кавычках, так и без них.
'Сценарий позволяет задать тип записи, область её действия и маску доступа.
'Имя каталога выбирается с помощью метода BrowseForFolder объекта Shell.Application.
'Сценарий ориентирован на работу в графическом режиме.
'Сценарий не проверяет ни рациональности, ни, тем более, осмысленности заданного действия
 
Option Explicit
 
Dim objWsNet, strDomain, strComputer, strAccount, blnIsDomain
Dim objShell, objFolder, strPath, xResult, intTemp, strTemp
Dim objWMI, objCollection, objItem, intOSVersion
Dim arrACEMasks, arrACEScopes, intACEType, intACEScope, lngACEMask
Const ACCESS_ALLOWED_ACE_TYPE = 0 'Флаг-признак записи типа "РАЗРЕШЕНИЕ"
Const ACCESS_DENIED_ACE_TYPE = 1 'Флаг-признак записи типа "ЗАПРЕТ"
Const OBJECT_INHERIT_ACE = 1 'Флаг-признак области действия записи на текущий каталог и его файлы
Const CONTAINER_INHERIT_ACE = 2 'Флаг-признак области действия записи на текущий каталог и его подкаталоги
Const REMOVE_ACE = 0 'Значение маски для удаления записи из DACL
'--- Допустимые значения для указания областей действия записи
Const ANY_SCOPE = -1 'Любая область действия записи
Const FOLDER_ONLY = 0 'Только текущая папка
Const FOLDER_AND_FILES = 1 'Текущая папка и её файлы
Const FOLDER_AND_SUBFOLDERS = 2 'Текущая папка и её подпапки
Const FOLDER_SUBFOLDERS_FILES = 3 'Текущая папка её подпапки и файлы
Const FILES_ONLY = 9 'Только файлы текущей папки
Const SUBFOLDERS_ONLY = 10 'Только подпапки текущей папки
Const SUBFOLDERS_AND_FILES = 11 'Подпапки и файлы текущей папки
'--- Набор типичных значений масок доступа
Const WRITE_ONLY = 278
Const READ_ONLY = 131209
Const READ_AND_EXECUTE = 131241
Const READ_WRITE = 131487
Const READ_WRITE_EXECUTE = 131519
Const MODIFY = 197055
Const MODIFY_AND_REMOVE_CHILDREN = 197119
Const CHANGE_DACL = 262144
Const ACCESS_WITHOUT_CHANGE_OWNER = 459263
Const CHANGE_OWNER = 524288
Const CHANGE_DACL_AND_OWNER = 786432
Const FULL_ACCESS = 983551
'---
Const FLAG_SYNCHRONIZE = 1048576 'Значение флага синхронизации доступа к объекту файловой системы
                                 '(применим только для записей типа "РАЗРЕШЕНИЕ")
 
arrACEMasks = Array(REMOVE_ACE, WRITE_ONLY, READ_ONLY, READ_AND_EXECUTE, READ_WRITE, READ_WRITE_EXECUTE, MODIFY, _
                    MODIFY_AND_REMOVE_CHILDREN, CHANGE_DACL, ACCESS_WITHOUT_CHANGE_OWNER, CHANGE_OWNER, _
                    CHANGE_DACL_AND_OWNER, FULL_ACCESS)
arrACEScopes = Array(ANY_SCOPE, FOLDER_ONLY, FOLDER_AND_FILES, FOLDER_AND_SUBFOLDERS, FOLDER_SUBFOLDERS_FILES, _
                     FILES_ONLY, SUBFOLDERS_ONLY, SUBFOLDERS_AND_FILES)
strAccount = InputBox("Имя учётной записи:", "Настройка безопасности NTFS")
If Len(strAccount) > 0 Then
    If StrComp(strAccount, "Система", vbTextCompare) = 0 Then strAccount = "System"
    Set objShell = CreateObject("Shell.Application")
    Set objFolder = objShell.BrowseForFolder(0, "Выбор каталога", &H10 + &H200, &H11)
    If Not objFolder Is Nothing Then
        strPath = objFolder.Self.Path
        Set objWsNet = CreateObject("WScript.Network")
        strDomain = objWsNet.UserDomain
        strComputer = objWsNet.ComputerName
        Set objWsNet = Nothing
        Set objWMI = GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
        '--- Определение версии ОС
        Set objCollection = objWMI.ExecQuery("SELECT Version FROM Win32_OperatingSystem")
        For Each objItem In objCollection
            intOSVersion = CInt(Replace(Left(objItem.Version, 3), ".", ""))
        Next
        Set objItem = Nothing
        Set objCollection = Nothing
        Set objWMI = Nothing
        '------
        strAccount = Replace(strAccount, """", "")
        '--- Настройка правильного наименования "учётки" локальной ОС в зависимости от версии ОС
        If intOSVersion < 61 Then
            strAccount = Replace(strAccount, "Система", "System", 1, -1, vbTextCompare)
        Else
            strAccount = Replace(strAccount, "System", "Система", 1, -1, vbTextCompare)
        End If
        '------
        If StrComp(strDomain, strComputer, vbTextCompare) <> 0 Then blnIsDomain = True
        If StrComp(strAccount, "System", vbTextCompare) = 0 Or StrComp(strAccount, "Система", vbTextCompare) = 0 Or _
            StrComp(strAccount, "Все", vbTextCompare) = 0 Then
            strDomain = vbNullString
        Else
            If blnIsDomain Then
                If MsgBox("Задана доменная учётная запись?", vbYesNo + vbQuestion, "Настройка безопасности NTFS") = vbNo Then
                    strDomain = strComputer
                End If
            Else
                strDomain = strComputer
            End If
        End If
        
        intTemp = Trim(InputBox("Тип доступа и маска доступа в формате" & vbNewLine & _
                "+ЧИСЛО (разрешить) или -ЧИСЛО (запретить)," & vbNewLine & _
                "где ЧИСЛО:" & vbNewLine & _
                "1 - запись;" & vbNewLine & _
                "2 - только чтение;" & vbNewLine & _
                "3 - чтение и выполнение;" & vbNewLine & _
                "4 - чтение и запись (без выполнения);" & vbNewLine & _
                "5 - чтение, запись, выполнение;" & vbNewLine & _
                "6 - изменение (без удаления подпапок и файлов);" & vbNewLine & _
                "7 - изменение (с удалением подпапок и файлов);" & vbNewLine & _
                "8 - смена разрешений;" & vbNewLine & _
                "9 - почти полный доступ (без смены владельца);" & vbNewLine & _
                "10 - смена владельца;" & vbNewLine & _
                "11 - смена разрешений и владельца;" & vbNewLine & _
                "12 - полный доступ." & vbNewLine & vbNewLine & _
                "Если знак типа доступа (+/-) отсутствует," & vbNewLine & _
                "то предполагается разрешение." & vbNewLine & vbNewLine & _
                "Для удаления записи из списка" & vbNewLine & _
                "в качестве значения маски укажите:" & vbNewLine & _
                "+0 - для записи типа ""РАЗРЕШЕНИЕ"";" & vbNewLine & _
                "-0 - для записи типа ""ЗАПРЕТ"";" & vbNewLine & _
                "0 - для записи любого типа.", "Настройка безопасности NTFS"))
        
        If IsNumeric(intTemp) Then
            strTemp = Left(intTemp, 1)
            intTemp = CInt(intTemp)
            If Abs(intTemp) >= 0 And Abs(intTemp) <= 12 Then
                lngACEMask = arrACEMasks(Abs(intTemp))
                If intTemp < 0 Then
                    intACEType = 1
                    If intOSVersion >= 52 And lngACEMask = FULL_ACCESS Then
                        lngACEMask = lngACEMask + FLAG_SYNCHRONIZE
                        'Эта проверка позволяет учесть разницу между значениями маски "Полный доступ"
                        'у записей разных типов в ОС версий "2000/XP"
                    End If
                ElseIf intTemp > 0 Then
                    intACEType = 0
                    lngACEMask = lngACEMask + FLAG_SYNCHRONIZE
                Else
                    Select Case strTemp
                        Case "-": intACEType = 1
                        Case "+": intACEType = 0
                        Case Else: intACEType = -1
                    End Select
                End If
                intTemp = Trim(InputBox("Область действия записи:" & vbNewLine & _
                        "1 - только текущая папка;" & vbNewLine & _
                        "2 - текущая папка и её файлы;" & vbNewLine & _
                        "3 - текущая папка и её подпапки;" & vbNewLine & _
                        "4 - текущая папка, её подпапки и файлы;" & vbNewLine & _
                        "5 - только файлы текущей папки;" & vbNewLine & _
                        "6 - только подпапки текущей папки;" & vbNewLine & _
                        "7 - подпапки и файлы текущей папки." & vbNewLine & vbNewLine & _
                        "Для обработки записи с любой" & vbNewLine & _
                        "областью действия задайте значение 0", "Настройка безопасности NTFS"))
                If IsNumeric(intTemp) Then
                    intTemp = CInt(intTemp)
                    If intTemp < 0 Or intTemp > 7 Then
                        intTemp = 4
                        MsgBox "Область действия задана неверно." & vbNewLine & _
                                "Будет использована стандартная область:" & vbNewLine & _
                                "ТЕКУЩАЯ ПАПКА, ЕЁ ПОДПАПКИ И ФАЙЛЫ.", _
                                vbExclamation, "Настройка безопасности NTFS"
                    End If
                Else
                    intTemp = 4
                    MsgBox "Область действия не задана или задана неверно." & vbNewLine & _
                            "Будет использована стандартная область:" & vbNewLine & _
                            "ТЕКУЩАЯ ПАПКА, ЕЁ ПОДПАПКИ И ФАЙЛЫ.", _
                            vbExclamation, "Настройка безопасности NTFS"
                End If
                intACEScope = arrACEScopes(intTemp)
                xResult = ModifyEx2_DACL(strDomain, strComputer, strAccount, strPath, intACEType, intACEScope, lngACEMask)
            Else
                xResult = "Маска доступа задана неверно."
            End If
        Else
            xResult = "Тип доступа или маска доступа не заданы или заданы неверно."
        End If
        WScript.Echo xResult
    Else
        WScript.Echo "Каталог не выбран."
    End If
    Set objShell = Nothing
    Set objFolder = Nothing
Else
    WScript.Echo "Учётная запись не указана."
End If
WScript.Quit 0
 
'======
 
Function ModifyEx2_DACL(strDom, strWS, strSAN, strDir, intType, intScope, lngMask)
Dim objWMI, objSecSettings, objSD, blnHasInherited, blnHasACE, i
Dim xRes, arrACE, objCollection, objItem, strSID
Dim objSID, objTrustee, objACE
Const SE_DACL_PROTECTED = 4096 'Флаг-признак отключенного режима наследования управляемым каталогом безопасности NTFS от "родителя"
Const INHERITED_ACE = 16 'Флаг-признак того, что текущая запись DACL унаследована от "родителя"
 
On Error Resume Next
xRes = 0
Set objWMI = GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & strWS & "\root\cimv2")
If Err.Number = 0 Then
    Set objSecSettings = objWMI.Get("Win32_LogicalFileSecuritySetting.Path='" & strDir & "'")
    If Err.Number = 0 Then
        If objSecSettings.GetSecurityDescriptor(objSD) = 0 Then
            If Not IsNull(objSD.DACL) Then
                '--- Поиск заданной "учётки" на локальном компьютере или в Active Directory
                If Len(strDom) > 0 Then
                    Set objCollection = objWMI.ExecQuery("SELECT SID FROM Win32_Account WHERE Domain='" & strDom & "' AND Name='" & strSAN & "'")
                Else
                    Set objCollection = objWMI.ExecQuery("SELECT SID FROM Win32_Account WHERE Name='" & strSAN & "'")
                End If
                '------
                If objCollection.Count > 0 Then
                    If CBool(objSD.ControlFlags And SE_DACL_PROTECTED) Then
                        arrACE = objSD.DACL
                    Else
                        blnHasInherited = True
                        arrACE = Array()
                        i = -1
                        '--- Выборка из исходного DACL записей, не унаследованных от "родителя"
                        For Each objItem In objSD.DACL
                            If Not CBool(objItem.AceFlags And INHERITED_ACE) Then
                                i = i + 1
                                ReDim Preserve arrACE(i)
                                Set arrACE(i) = objItem
                            End If
                        Next
                        Set objItem = Nothing
                        '------
                        '--- Отключение наследования настроек безопасности от "родителя"
                        objSD.ControlFlags = objSD.ControlFlags + SE_DACL_PROTECTED
                        xRes = objSecSettings.SetSecurityDescriptor(objSD)
                        '------
                    End If
                    If xRes = 0 Then
                        '--- Определение SID "учётки", назначенной для обработки
                        For Each objItem In objCollection
                            strSID = UCase(objItem.SID)
                        Next
                        Set objItem = Nothing
                        '------
                        If lngMask > 0 Then
                            '--- Подготовка к добавлению в DACL новой записи
                            Set objSID = objWMI.Get("Win32_SID.SID='" & strSID & "'")
                            Set objTrustee = objWMI.Get("Win32_Trustee").Spawninstance_()
                            objTrustee.Domain = strDom
                            objTrustee.Name = strSAN
                            objTrustee.SID = objSID.BinaryRepresentation
                            objTrustee.SidLength = objSID.SidLength
                            objTrustee.SIDString = strSID
                            Set objSID = Nothing
                            Set objACE = objWMI.Get("Win32_Ace").Spawninstance_()
                            objACE.AceType = intType
                            objACE.AceFlags = intScope
                            objACE.AccessMask = lngMask
                            objACE.Trustee = objTrustee
                            Set objTrustee = Nothing
                            i = UBound(arrACE) + 1
                            ReDim Preserve arrACE(i)
                            Set arrACE(i) = objACE
                            objSD.DACL = arrACE
                            '------
                        Else
                            '--- Подготовка к удалению из DACL указанной записи
                            For Each objACE In arrACE
                                blnHasACE = False
                                '--- Поиск указанной записи по SID, области действия и типу
                                If UCase(objACE.Trustee.SIDString) = strSID Then
                                    If intScope >= 0 Then
                                        If objACE.AceFlags = intScope Then
                                            If intType < 0 Or objACE.AceType = intType Then
                                                blnHasACE = True 'запись заданного типа с искомыми SID и областью действия найдена
                                            End If
                                        End If
                                    Else
                                        blnHasACE = True 'запись с искомым SID найдена (область действия - любая)
                                    End If
                                    If blnHasACE Then
                                        objACE.AccessMask = 0
                                    End If
                                End If
                                '------
                            Next
                            '------
                        End If
                        objSD.DACL = arrACE 'собственно изменение DACL
                        Set objACE = Nothing
                        Erase arrACE
                        '--- Включение наследования настроек безопасности от "родителя",
                        'если первоначально оно было включено
                        If blnHasInherited Then
                            objSD.ControlFlags = objSD.ControlFlags - SE_DACL_PROTECTED
                        End If
                        '------
                        '--- Итоговое сохраненение изменений, внесённых в дескриптор безопасности
                        xRes = objSecSettings.SetSecurityDescriptor(objSD)
                        Select Case xRes
                            Case 0: xRes = "Успешное завершение."
                            Case 2: xRes = "Не удалось сохранить изменения DACL." & vbNewLine & "Доступ запрещён."
                            Case 5, 9: xRes = "Не удалось сохранить изменения DACL." & vbNewLine & "Для выполнения операции недостаточно полномочий."
                            Case 21: xRes = "Не удалось сохранить изменения DACL." & vbNewLine & "Заданы недопустимые значения параметров."
                            Case Else: xRes = "Не удалось сохранить изменения DACL." & vbNewLine & "Неизвестная ошибка."
                        End Select
                        '------
                    Else
                        xRes = "Не удалось отключить наследование безопасности для папки " & UCase(strDir)
                    End If
                Else
                    xRes = "Не найдена учётная запись объекта " & UCase(strDom & "\" & strSAN)
                End If
                Set objCollection = Nothing
            Else
                xRes = "Список управления доступом (ACL) к заданному объекту пуст."
            End If
        Else
            xRes = "Не удалось прочитать дескриптор безопасности объекта."
        End If
        Set objSD = Nothing
        Set objSecSettings = Nothing
    Else
        xRes = "Ошибка " & CStr(Err.Number) & vbNewLine & Err.Description
        Err.Clear
    End If
Else
    xRes = "Ошибка " & CStr(Err.Number) & vbNewLine & Err.Description
    Err.Clear
End If
Set objWMI = Nothing
On Error GoTo 0
ModifyEx2_DACL = xRes
End Function

Хотя этот сценарий написан именно с академической целью, с его помощью, в принципе, можно решить и Вашу задачу. Правда, для работы с удалённым компьютером потребуется подключить в качестве сетевого тома любую папку, лежащую выше по уровню иерархии по отношению к обрабатываемой папке.
Могу предложить ещё один вариант подобного сценария:
Кликните здесь для просмотра всего текста
Visual Basic
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
'Изменение списков управления доступом (DACL) дескриптора безопасности NTFS
'подкаталогов заданного родительского каталога БЕЗ НАРУШЕНИЯ НАСЛЕДОВАНИЯ настроек от "родителя".
'Имя учётной записи и путь к родительскому каталогу задаётся вручную.
'Имя учётной записи должно иметь формат NetBIOS.
'Путь к родительскому каталогу может быть как локальным, так и сетевым (т.е. иметь формат UNC).
'Можно указать имя учётной записи либо доменного, либо локального (для текущего компьютера) уровня.
'Допустимо указание имён встроенных локальных объектов: "System" (или "Система"), "Все".
'Имя учётной записи можно задавать как в кавычках, так и без них.
'Путь к родительскому каталогу может содержать кавычки внутри, но не должен быть обрамлён ими.
'Сценарий позволяет задать тип записи и маску доступа.
'Сценарий ориентирован на работу в консольном режиме.
 
Dim objWsNet, objWShell, objFS, objFile, strDomain, strComputer, strBaseFolder, strLetter, strLog
Dim strTranslator, blnIsConsole, blnContinue, xAnswer, intOSVersion, xResult, intTemp, strTemp
Dim objWMI, objCollection, objItem, strAccount, strUserSID
Dim arrACEMasks, arrACEScopes, intACEType, lngACEMask
Const ACCESS_ALLOWED_ACE_TYPE = 0 'Флаг-признак записи типа "РАЗРЕШЕНИЕ"
Const ACCESS_DENIED_ACE_TYPE = 1 'Флаг-признак записи типа "ЗАПРЕТ"
Const REMOVE_ACE = 0 'Значение маски для удаления записи из DACL
'--- Допустимые значения для указания областей действия записи
Const FOLDER_SUBFOLDERS_FILES = 3 'Текущая папка её подпапки и файлы
'--- Набор типичных значений масок доступа
Const WRITE_ONLY = 278
Const READ_ONLY = 131209
Const READ_AND_EXECUTE = 131241
Const READ_WRITE = 131487
Const READ_WRITE_EXECUTE = 131519
Const MODIFY = 197055
Const MODIFY_AND_REMOVE_CHILDREN = 197119
Const CHANGE_DACL = 262144
Const ACCESS_WITHOUT_CHANGE_OWNER = 459263
Const CHANGE_OWNER = 524288
Const CHANGE_DACL_AND_OWNER = 786432
Const FULL_ACCESS = 983551
'---
Const FLAG_SYNCHRONIZE = 1048576 'Значение флага синхронизации доступа к объекту файловой системы
                                 '(применим только для записей типа "РАЗРЕШЕНИЕ")
 
arrACEMasks = Array(REMOVE_ACE, WRITE_ONLY, READ_ONLY, READ_AND_EXECUTE, READ_WRITE, READ_WRITE_EXECUTE, MODIFY, _
                    MODIFY_AND_REMOVE_CHILDREN, CHANGE_DACL, ACCESS_WITHOUT_CHANGE_OWNER, CHANGE_OWNER, _
                    CHANGE_DACL_AND_OWNER, FULL_ACCESS)
 
strLog = "Modify_SubFoldersDACL_Result.log"
Set objWsNet = CreateObject("WScript.Network")
strDomain = objWsNet.UserDomain
strComputer = objWsNet.ComputerName
Set objFS = CreateObject("Scripting.FileSystemObject")
strTranslator = objFS.GetBaseName(WScript.FullName)
If StrComp(strTranslator, "cscript", vbTextCompare) = 0 Then
    blnIsConsole = True
Else
    blnIsConsole = False
End If
Set objWShell = CreateObject("WScript.Shell")
On Error Resume Next
Set objWMI = GetObject("winmgmts:\\.\root\cimv2")
If Err.Number = 0 Then
    If Not blnIsConsole Then
        strTemp = Left(WScript.ScriptFullName, 2)
        Set objCollection = objWMI.ExecQuery("SELECT DriveType FROM Win32_LogicalDisk WHERE DeviceID='" & strTemp & "'")
        If Err.Number = 0 Then
            For Each objItem In objCollection
                intTemp = objItem.DriveType
            Next
            If intTemp = 4 Then
                MsgBox "В графическом режиме сценарий может быть запущен только с локального диска.", vbExclamation, "Настройка DACL папок пользователей"
            Else
                xAnswer = MsgBox("Сценарий ориентирован на консольный режим." & vbNewLine & "Перезапустить его с помощью консоли?", vbYesNo + vbQuestion, "Настройка DACL папок пользователей")
                If xAnswer = vbNo Then
                    MsgBox "Выполнение сценария прекращено.", vbInformation, "Настройка DACL папок пользователей"
                Else
                    Set objFile = objFS.CreateTextFile(WScript.ScriptFullName & ".rst", True)
                    objFile.Close
                    objWShell.Run "cscript.exe " & WScript.ScriptFullName, 1
                End If
            End If
        Else
            MsgBox "Ошибка " & Err.Number & " при определении типа базового диска." & vbNewLine & Err.Description, _
                    vbCritical, "Настройка DACL папок пользователей"
            Err.Clear
        End If
    Else
        strLog = objFS.BuildPath(objFS.GetParentFolderName(WScript.ScriptFullName), strLog)
        Set objFile = objFS.CreateTextFile(strLog, True)
        WScript.StdOut.Write "Путь к родительскому каталогу: "
        strBaseFolder = Trim(WScript.StdIn.ReadLine)
        If Len(strBaseFolder) > 0 Then
            Set objRegExp = CreateObject("VBScript.RegExp")
            objRegExp.IgnoreCase = True
            objRegExp.Pattern = "\\+$"
            strBaseFolder = objRegExp.Replace(strBaseFolder, "")
            strBaseFolder = ASCII_to_Unicode(strBaseFolder)
            If Left(strBaseFolder, 2) = "\\" Then
                strComputer = Split(strBaseFolder, "\")(2)
                If Ping_Con(strComputer) Then
                    If objFS.FolderExists(strBaseFolder) Then
                        strTemp = Find_NetworkDrive(objWMI, strBaseFolder)
                        objRegExp.Pattern = "^[d-z]:"
                        If objRegExp.Test(strTemp) Then
                            strBaseFolder = strTemp
                            blnContinue = True
                        Else
                            strLetter = Free_Letter(objWMI)
                            If Len(strLetter) > 0 Then
                                objWsNet.MapNetworkDrive strLetter & ":", strBaseFolder, False
                                If Err.Number = 0 Then
                                    strBaseFolder = strLetter & ":\"
                                    blnContinue = True
                                Else
                                    strLetter = vbNullString
                                    objFile.WriteLine "Ошибка " & Err.Number & " при попытке подключить заданный UNC-путь как сетевой том." & vbNewLine & Err.Description
                                    WScript.Echo "Ошибка " & Err.Number & " при попытке подключить заданный UNC-путь как сетевой том." & vbNewLine & Err.Description
                                    Err.Clear
                                End If
                            Else
                                objFile.WriteLine "Не удалось подключить заданный UNC-путь как сетевой том."
                                WScript.Echo "Не удалось подключить заданный UNC-путь как сетевой том."
                            End If
                        End If
                    Else
                        objFile.WriteLine "Путь " & UCase(strBaseFolder) & " не найден."
                        WScript.Echo "Путь " & UCase(strBaseFolder) & " не найден."
                    End If
                Else
                    objFile.WriteLine "Узел " & UCase(strComputer) & " не отвечает или не существует."
                    WScript.Echo "Узел " & UCase(strComputer) & " не отвечает или не существует."
                End If
            Else
                If objFS.FolderExists(strBaseFolder) Then
                    If Len(strBaseFolder) = 2 Then strBaseFolder = strBaseFolder & "\"
                    blnContinue = True
                Else
                    objFile.WriteLine "Путь " & UCase(strBaseFolder) & " не найден."
                    WScript.Echo "Путь " & UCase(strBaseFolder) & " не найден."
                End If
            End If
            If blnContinue Then
                WScript.StdOut.Write "Имя учётной записи пользователя (группы): "
                strAccount = Trim(WScript.StdIn.ReadLine)
                If Len(strAccount) > 0 Then
                    strAccount = Replace(strAccount, """", "")
                    strAccount = ASCII_to_Unicode(strAccount)
                    If StrComp(strAccount, "Система", vbTextCompare) = 0 Then strAccount = "System"
                    '--- Определение версии ОС
                    Set objCollection = objWMI.ExecQuery("SELECT Version FROM Win32_OperatingSystem")
                    If Err.Number = 0 Then
                        For Each objItem In objCollection
                            intOSVersion = CInt(Replace(Left(objItem.Version, 3), ".", ""))
                        Next
                        '------
                        If Err.Number = 0 Then
                            '--- Настройка правильного наименования "учётки" локальной ОС в зависимости от версии ОС
                            If intOSVersion < 61 Then
                                strAccount = Replace(strAccount, "Система", "System", 1, -1, vbTextCompare)
                            Else
                                strAccount = Replace(strAccount, "System", "Система", 1, -1, vbTextCompare)
                            End If
                            '------
                            If StrComp(strAccount, "System", vbTextCompare) = 0 Or StrComp(strAccount, "Система", vbTextCompare) = 0 Or _
                                StrComp(strAccount, "Все", vbTextCompare) = 0 Then
                                strDomain = vbNullString
                            End If
                            '--- Поиск заданной "учётки" на локальном компьютере или в Active Directory
                            If Len(strDomain) > 0 Then
                                Set objCollection = objWMI.ExecQuery("SELECT SID FROM Win32_Account WHERE Domain='" & strDomain & "' AND Name='" & strAccount & "'")
                            Else
                                Set objCollection = objWMI.ExecQuery("SELECT SID FROM Win32_Account WHERE Name='" & strAccount & "'")
                            End If
                            '------
                            If Err.Number = 0 Then
                                If objCollection.Count > 0 Then
                                    For Each objItem In objCollection
                                        strUserSID = objItem.SID
                                    Next
                                    WScript.StdOut.Write vbNewLine & "Тип и маска доступа в формате +ЧИСЛО (разрешить) или -ЧИСЛО (запретить)," & vbNewLine & _
                                        "где ЧИСЛО:" & vbNewLine & _
                                        "1 - запись;" & vbNewLine & _
                                        "2 - только чтение;" & vbNewLine & _
                                        "3 - чтение и выполнение;" & vbNewLine & _
                                        "4 - чтение и запись (без выполнения);" & vbNewLine & _
                                        "5 - чтение, запись, выполнение;" & vbNewLine & _
                                        "6 - изменение (без удаления подпапок и файлов);" & vbNewLine & _
                                        "7 - изменение (с удалением подпапок и файлов);" & vbNewLine & _
                                        "8 - смена разрешений;" & vbNewLine & _
                                        "9 - почти полный доступ (без смены владельца);" & vbNewLine & _
                                        "10 - смена владельца;" & vbNewLine & _
                                        "11 - смена разрешений и владельца;" & vbNewLine & _
                                        "12 - полный доступ." & vbNewLine & vbNewLine & _
                                        "Если знак типа доступа (+/-) отсутствует, то предполагается разрешение." & vbNewLine & vbNewLine & _
                                        "Для удаления записи из списка в качестве значения маски укажите:" & vbNewLine & _
                                        "+0 - для записи типа ""РАЗРЕШЕНИЕ"";" & vbNewLine & _
                                        "-0 - для записи типа ""ЗАПРЕТ"";" & vbNewLine & _
                                        "0 - для записи любого типа." & vbNewLine & ":> "
                                    intTemp = WScript.StdIn.ReadLine
                                    If IsNumeric(intTemp) Then
                                        strTemp = Left(intTemp, 1)
                                        intTemp = CInt(intTemp)
                                        If Abs(intTemp) >= 0 And Abs(intTemp) <= 12 Then
                                            lngACEMask = arrACEMasks(Abs(intTemp))
                                            If intTemp < 0 Then
                                                intACEType = 1
                                                If intOSVersion >= 52 And lngACEMask = FULL_ACCESS Then
                                                    lngACEMask = lngACEMask + FLAG_SYNCHRONIZE
                                                    'Эта проверка позволяет учесть разницу между значениями маски "Полный доступ"
                                                    'у записей разных типов в ОС версий "2000/XP"
                                                End If
                                            ElseIf intTemp > 0 Then
                                                intACEType = 0
                                                lngACEMask = lngACEMask + FLAG_SYNCHRONIZE
                                            Else
                                                Select Case strTemp
                                                    Case "-": intACEType = 1
                                                    Case "+": intACEType = 0
                                                    Case Else: intACEType = -1
                                                End Select
                                            End If
                                            WScript.Echo vbNewLine & "======" & vbNewLine
                                            For Each objItem In objFS.GetFolder(strBaseFolder).SubFolders
                                                xResult = ModifyEx3_DACL(objWMI, strDomain, strAccount, strUserSID, objItem.Path, intACEType, FOLDER_SUBFOLDERS_FILES, lngACEMask)
                                                objFile.WriteLine objItem.Name & " -> " & xResult
                                                WScript.Echo objItem.Name & " -> " & xResult
                                            Next
                                            Set objItem = Nothing
                                        Else
                                            objFile.WriteLine "Маска доступа задана неверно."
                                            WScript.Echo "Маска доступа задана неверно."
                                        End If
                                    Else
                                        objFile.WriteLine "Тип доступа или маска доступа не заданы или заданы неверно."
                                        WScript.Echo "Тип доступа или маска доступа не заданы или заданы неверно."
                                    End If
                                Else
                                    objFile.WriteLine "Не найдена учётная запись объекта " & UCase(strDomain & "\" & strAccount)
                                    WScript.Echo "Не найдена учётная запись объекта " & UCase(strDomain & "\" & strAccount)
                                End If
                            Else
                                objFile.WriteLine "Ошибка " & Err.Number & " при поиске SID." & vbNewLine & Err.Description
                                WScript.Echo "Ошибка " & Err.Number & " при поиске SID." & vbNewLine & Err.Description
                                Err.Clear
                            End If
                        Else
                            objFile.WriteLine "Ошибка " & Err.Number & " при определении версии ОС." & vbNewLine & Err.Description
                            WScript.Echo "Ошибка " & Err.Number & " при определении версии ОС." & vbNewLine & Err.Description
                            Err.Clear
                        End If
                    Else
                        objFile.WriteLine "Ошибка " & Err.Number & " при обращении к классу Win32_OperatingSystem." & vbNewLine & Err.Description
                        WScript.Echo "Ошибка " & Err.Number & " при обращении к классу Win32_OperatingSystem." & vbNewLine & Err.Description
                        Err.Clear
                    End If
                Else
                    objFile.WriteLine "Необходимо указать имя учётной записи пользователя (группы)."
                    WScript.Echo "Необходимо указать имя учётной записи пользователя (группы)."
                End If
                If Len(strLetter) > 0 Then
                    objWsNet.RemoveNetworkDrive strLetter & ":", True, True
                    If Err.Number <> 0 Then Err.Clear
                End If
            End If
            Set objRegExp = Nothing
        Else
            objFile.WriteLine "Путь к родительскому каталогу не задан."
            WScript.Echo "Путь к родительскому каталогу не задан."
        End If
        objFile.Close
        If objFS.FileExists(WScript.ScriptFullName & ".rst") Then
            objFS.DeleteFile WScript.ScriptFullName & ".rst", True
            If Err.Number <> 0 Then Err.Clear
            objWShell.Run "notepad.exe " & strLog, 1
        Else
            WScript.Echo vbNewLine & "======" & vbNewLine & "Путь к файлу журнала: " & strLog
        End If
        Set objFile = Nothing
    End If
Else
    WScript.Echo "Ошибка " & Err.Number & " при обращении к WMI-пространству." & vbNewLine & Err.Description
    Err.Clear
End If
Set objCollection = Nothing
Set objWMI = Nothing
Set objWShell = Nothing
Set objFS = Nothing
Set objWsNet = Nothing
WScript.Quit 0
 
'======
 
Function ModifyEx3_DACL(objWMIServ, strDom, strSAN, strSID, strDir, intType, intScope, lngMask)
Dim objSecSettings, objSD, blnHasInherited, blnHasACE, i
Dim xRes, arrACE, objItem
Dim objSID, objTrustee, objACE
Const SE_DACL_PROTECTED = 4096 'Флаг-признак отключенного режима наследования управляемым каталогом безопасности NTFS от "родителя"
Const INHERITED_ACE = 16 'Флаг-признак того, что текущая запись DACL унаследована от "родителя"
 
On Error Resume Next
xRes = 0
Set objSecSettings = objWMIServ.Get("Win32_LogicalFileSecuritySetting.Path='" & strDir & "'")
If Err.Number = 0 Then
    If objSecSettings.GetSecurityDescriptor(objSD) = 0 Then
        If Not IsNull(objSD.DACL) Then
            If CBool(objSD.ControlFlags And SE_DACL_PROTECTED) Then
                arrACE = objSD.DACL
            Else
                blnHasInherited = True
                arrACE = Array(): i = -1
                '--- Выборка из исходного DACL записей, не унаследованных от "родителя"
                For Each objItem In objSD.DACL
                    If Not CBool(objItem.AceFlags And INHERITED_ACE) Then
                        i = i + 1
                        ReDim Preserve arrACE(i)
                        Set arrACE(i) = objItem
                    End If
                Next
                Set objItem = Nothing
                '------
                '--- Отключение наследования настроек безопасности от "родителя"
                objSD.ControlFlags = objSD.ControlFlags + SE_DACL_PROTECTED
                xRes = objSecSettings.SetSecurityDescriptor(objSD)
                '------
            End If
            If xRes = 0 Then
                If lngMask > 0 Then
                    '--- Подготовка к добавлению в DACL новой записи
                    Set objSID = objWMI.Get("Win32_SID.SID='" & strSID & "'")
                    Set objTrustee = objWMI.Get("Win32_Trustee").Spawninstance_()
                    objTrustee.Domain = strDom
                    objTrustee.Name = strSAN
                    objTrustee.SID = objSID.BinaryRepresentation
                    objTrustee.SidLength = objSID.SidLength
                    objTrustee.SIDString = strSID
                    Set objSID = Nothing
                    Set objACE = objWMI.Get("Win32_Ace").Spawninstance_()
                    objACE.AceType = intType
                    objACE.AceFlags = intScope
                    objACE.AccessMask = lngMask
                    objACE.Trustee = objTrustee
                    Set objTrustee = Nothing
                    i = UBound(arrACE) + 1
                    ReDim Preserve arrACE(i)
                    Set arrACE(i) = objACE
                    objSD.DACL = arrACE
                    '------
                Else
                    '--- Подготовка к удалению из DACL указанной записи
                    For Each objACE In arrACE
                        blnHasACE = False
                        '--- Поиск указанной записи по SID, области действия и типу
                        If UCase(objACE.Trustee.SIDString) = strSID Then
                            If intScope >= 0 Then
                                If objACE.AceFlags = intScope Then
                                    If intType < 0 Or objACE.AceType = intType Then
                                        blnHasACE = True 'запись заданного типа с искомыми SID и областью действия найдена
                                    End If
                                End If
                            Else
                                blnHasACE = True 'запись с искомым SID найдена (область действия - любая)
                            End If
                            If blnHasACE Then
                                objACE.AccessMask = 0
                            End If
                        End If
                        '------
                    Next
                    '------
                End If
                objSD.DACL = arrACE 'собственно изменение DACL
                Set objACE = Nothing
                Erase arrACE
                '--- Включение наследования настроек безопасности от "родителя", если первоначально оно было включено
                If blnHasInherited Then
                    objSD.ControlFlags = objSD.ControlFlags - SE_DACL_PROTECTED
                End If
                '------
                '--- Итоговое сохраненение изменений, внесённых в дескриптор безопасности
                xRes = objSecSettings.SetSecurityDescriptor(objSD)
                Select Case xRes
                    Case 0: xRes = "успешное завершение."
                    Case 2: xRes = "не удалось сохранить изменения DACL (доступ запрещён)."
                    Case 5, 9: xRes = "не удалось сохранить изменения DACL (для выполнения операции недостаточно полномочий)."
                    Case 21: xRes = "не удалось сохранить изменения DACL (заданы недопустимые значения параметров)."
                    Case Else: xRes = "не удалось сохранить изменения DACL (неизвестная ошибка)."
                End Select
                '------
            Else
                xRes = "не удалось отключить наследование безопасности."
            End If
        Else
            xRes = "список управления доступом пуст."
        End If
    Else
        xRes = "не удалось прочитать дескриптор безопасности объекта"
    End If
    Set objSD = Nothing
    Set objSecSettings = Nothing
Else
    xRes = "ошибка " & CStr(Err.Number) & vbNewLine & Err.Description
    Err.Clear
End If
On Error GoTo 0
ModifyEx3_DACL = xRes
End Function
 
'======
 
Function Ping_Con(strName)
Dim objExec, objOutStream, strTemp
 
Set objExec = CreateObject("WScript.Shell").Exec("ping -n 1 -w 130 " & strName)
Set objOutStream = objExec.StdOut
While Not objOutStream.AtEndOfStream
    strTemp = strTemp & Trim(objOutStream.ReadLine())
Wend
Set objOutStream = Nothing
Set objExec = Nothing
If InStr(1, strTemp, "TTL", vbTextCompare) > 0 Then
    Ping_Con = True
Else
    Ping_Con = False
End If
End Function
 
'======
 
Function ASCII_to_Unicode(strName)
Dim strTemp, intTemp, i
 
strTemp = vbNullString
On Error Resume Next
For i = 1 To Len(strName)
    intTemp = Asc(Mid(strName, i, 1))
    If (intTemp >= 128 And intTemp <= 175) Or (intTemp >= 224 And intTemp <= 239) Then
        If intTemp <= 175 Then
            intTemp = intTemp + 64
        Else
            intTemp = intTemp + 16
        End If
    End If
    strTemp = strTemp & Chr(intTemp)
    If Err.Number <> 0 Then
        Err.Clear
        strTemp = vbNullString
        Exit For
    End If
Next
On Error GoTo 0
ASCII_to_Unicode = strTemp
End Function
 
'======
 
Function Find_NetworkDrive(objWMIServ, ByVal strPath)
Dim objCollection, objItem, strName
 
strPath = Replace(strPath, "\", "\\")
On Error Resume Next
Set objCollection = objWMIServ.ExecQuery("SELECT * FROM Win32_LogicalDisk WHERE DriveType=4 AND ProviderName='" & strPath & "'")
If Err.Number = 0 Then
    If objCollection.Count > 0 Then
        For Each objItem In objCollection
            If Len(objItem.DeviceID) > 0 Then
                strName = objItem.DeviceID
            End If
        Next
        Set objItem = Nothing
    End If
Else
    strName = "Ошибка " & Err.Number & " при поиске подключенного сетевого тома." & vbNewLine & Err.Description
    Err.Clear
End If
Set objCollection = Nothing
On Error GoTo 0
Find_NetworkDrive = strName
End Function
 
'======
 
Function Free_Letter(objWMIServ)
Dim objCollection, objItem
Dim arrTemp(22), intShift, intTemp, i, blnHasLetter
 
intShift = Asc("D")
On Error Resume Next
Set objCollection = objWMIServ.ExecQuery("SELECT DeviceID FROM Win32_LogicalDisk")
If Err.Number = 0 Then
    For Each objItem In objCollection
        intTemp = Asc(UCase(objItem.DeviceID)) - intShift
        If intTemp >= 0 And intTemp <= UBound(arrTemp) Then arrTemp(intTemp) = True
    Next
    Set objItem = Nothing
    Set objCollection = Nothing
    For i = 0 To UBound(arrTemp)
        If Not arrTemp(i) Then
            blnHasLetter = True
            Exit For
        End If
    Next
Else
    Err.Clear
End If
On Error GoTo 0
If blnHasLetter Then
    Free_Letter = Chr(i + intShift)
Else
    Free_Letter = vbNullString
End If
Erase arrTemp
End Function

Он предназначен для обработки целого списка папок, но при этом обеспечивает атоматическое подключение/отключение необходимой "родительской" папки. Его несложно переделать под Вашу задачу.
Собственно, достаточно изменить нужным образом только вот этот фрагмент основного кода:
Visual Basic
1
2
3
4
5
For Each objItem In objFS.GetFolder(strBaseFolder).SubFolders
    xResult = ModifyEx3_DACL(objWMI, strDomain, strAccount, strUserSID, objItem.Path, intACEType, FOLDER_SUBFOLDERS_FILES, lngACEMask)
    objFile.WriteLine objItem.Name & " -> " & xResult
    WScript.Echo objItem.Name & " -> " & xResult
Next
Учтите только, что оба сценария ориентированы на работу в доменной сети.
4
Убежденный
Ушел с форума
Эксперт С++
15999 / 7270 / 1180
Регистрация: 02.05.2013
Сообщений: 11,637
Записей в блоге: 1
Завершенные тесты: 1
13.01.2014, 22:18 3
А разве нельзя сделать то же самое, но меньшими усилиями ?
Например, с помощью штатных утилит cacls/icacls ?
Ведь установка разрешений для объекта - это секундное дело.
Например:
Код
cacls C:\MyDir /G SomeUser:F
Дает полный доступ пользователю SomeUser к папке C:\MyDir.
Также можно использовать синтаксис SDDL, см. справку по команде cacls.
1
Dmitrii
2603 / 535 / 107
Регистрация: 21.03.2012
Сообщений: 1,043
13.01.2014, 23:10 4
Лучший ответ Сообщение было отмечено как решение

Решение

Цитата Сообщение от Убежденный Посмотреть сообщение
...разве нельзя сделать то же самое...
Можно, конечно, и с помощью утилит, и с помощью GUI-оснастки. Только автор темы хотел сценарием.

Добавлено через 40 минут
mutex, "подброшу" ещё один учебный сценарий. В нём подробно разбирается маска доступа.
Кликните здесь для просмотра всего текста
Visual Basic
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
'Получение подробного (полного или частичного) списка управления доступом NTFS (DACL)
'указанного каталога текущего компьютера.
'Частичный список составляется в том случае, когда задано имя пользователя (группы).
'Для составления частичного списка необходимо задать только NetBIOS-имя объекта,
'в противном случае будет создан полный список.
'Можно указать имя объекта либо доменного, либо локального (для текущего компьютера) уровня.
'Допустимо указание имён ряда встроенных локальных объектов: "System" (или "Система"), "Все",
'"Администратор(ы)", "Гост(ь)(и)" и т.п.
'Имена объектов можно задавать как в кавычках, так и без них.
'Имя каталога выбирается с помощью метода BrowseForFolder объекта Shell.Application.
'Сценарий ориентирован на работу в графическом режиме.
 
Option Explicit
 
Dim objShell, objFolder, strPath
Dim objWsNet, strDomain, strComputer, blnIsDomain, intOSVersion
Dim objWMI, objCollection, objItem, objSecSettings, objSD
Dim strAccount, strSID, strList
Dim intHasAccount 'Флаг-признак режима работы:
                  '-1 - не составлять список, т.к. указанная "учётка" не найдена;
                  '0  - составлять полный список;
                  '1  - составлять частичный список (только для указанной "учётки").
 
Set objShell = CreateObject("Shell.Application")
Set objFolder = objShell.BrowseForFolder(0, "Выбор каталога", &H10 + &H200, &H11)
If Not objFolder Is Nothing Then
    strPath = objFolder.Self.Path
    Set objWsNet = CreateObject("WScript.Network")
    strDomain = objWsNet.UserDomain
    strComputer = objWsNet.ComputerName
    Set objWsNet = Nothing
    If StrComp(strDomain, strComputer, vbTextCompare) <> 0 Then blnIsDomain = True
    Set objWMI = GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
    '--- Определение версии ОС
    Set objCollection = objWMI.ExecQuery("SELECT Version FROM Win32_OperatingSystem")
    For Each objItem In objCollection
        intOSVersion = CInt(Replace(Left(objItem.Version, 3), ".", ""))
    Next
    Set objItem = Nothing
    '------
    strAccount = Trim(InputBox("Имя пользователя или группы" & vbNewLine & _
                                "(при составлении полного списка -" & vbNewLine & _
                                "не указывать):", "Проверка настроек безопасности NTFS"))
    intHasAccount = 0
    If Len(strAccount) > 0 Then
        strAccount = Replace(strAccount, """", "")
        '--- Настройка правильного наименования "учётки" локальной ОС в зависимости от версии ОС
        If intOSVersion < 61 Then
            strAccount = Replace(strAccount, "Система", "System", 1, -1, vbTextCompare)
        Else
            strAccount = Replace(strAccount, "System", "Система", 1, -1, vbTextCompare)
        End If
        '------
        If StrComp(strAccount, "System", vbTextCompare) = 0 Or StrComp(strAccount, "Система", vbTextCompare) = 0 Or _
            StrComp(strAccount, "Все", vbTextCompare) = 0 Then
            strDomain = vbNullString
        Else
            If blnIsDomain Then
                If MsgBox("Задана доменная учётная запись?", vbYesNo + vbQuestion, "Проверка настроек безопасности NTFS") = vbNo Then
                    strDomain = strComputer
                End If
            Else
                strDomain = strComputer
            End If
        End If
        '--- Поиск заданной "учётки" на локальном компьютере или в Active Directory
        If Len(strDomain) > 0 Then
            Set objCollection = objWMI.ExecQuery("SELECT SID FROM Win32_Account WHERE Domain='" & strDomain & "' AND Name='" & strAccount & "'")
        Else
            Set objCollection = objWMI.ExecQuery("SELECT SID FROM Win32_Account WHERE Name='" & strAccount & "'")
        End If
        '------
        If objCollection.Count > 0 Then
            intHasAccount = 1
            '--- Определение SID заданной "учётки"
            For Each objItem In objCollection
                strSID = UCase(objItem.SID)
            Next
            '------
        Else
            intHasAccount = -1
        End If
    End If
    If intHasAccount >= 0 Then
        Set objSecSettings = objWMI.Get("Win32_LogicalFileSecuritySetting.Path='" & strPath & "'")
        If objSecSettings.GetSecurityDescriptor(objSD) = 0 Then 'Чтение содержимого дескриптора безопасности каталога
            strList = vbNullString
            If Not IsNull(objSD.DACL) Then 'Проверка наличия хотя бы одной записи в DACL каталога
                Call Get_DACLInfo(objSD.DACL, strList, intHasAccount, strSID, intOSVersion)
                If Len(strList) > 0 Then
                    WScript.Echo strList
                Else
                    WScript.Echo "В DACL не обнаружено ни одной записи для объекта " & UCase(strDomain & "\" & strAccount)
                End If
            Else
                WScript.Echo "Список управления доступом к каталогу " & UCase(strPath) & " пуст."
            End If
        Else
            WScript.Echo "Не удалось прочитать дескриптор безопасности каталога " & UCase(strPath)
        End If
    Else
        WScript.Echo "Учётная запись объекта " & UCase(strDomain & "\" & strAccount) & " не найдена."
    End If
    Set objSecSettings = Nothing
    Set objCollection = Nothing
    Set objWMI = Nothing
Else
    WScript.Echo "Каталог не выбран."
End If
Set objFolder = Nothing
Set objShell = Nothing
WScript.Quit 0
 
'======
 
Function Get_DACLInfo(arrACE(), strRes, intMode, strAccSID, intVer)
Dim objEntry, strTemp, i, j, lngMask, lngTemp
Dim arrFlagValue, arrFlagName, arrGenericValue, arrGenericName
Dim arrSieveGE, arrSieveGW, arrSieveGR, arrTemp
Const PART_MODE = 1 'Флаг-признак составления частичного списка
'--- Значения универсальных масок
Const GENERIC_ALL = &H10000000
Const GENERIC_EXECUTE = &H20000000
Const GENERIC_WRITE = &H40000000
Const GENERIC_READ = &H80000000
'------
Const ACCESS_ALLOWED_ACE_TYPE = 0 'Флаг-признак записи типа "РАЗРЕШЕНИЕ"
Const ACCESS_DENIED_ACE_TYPE = 1  'Флаг-признак записи типа "ЗАПРЕТ"
Const INHERITED_ACE = 16 'Флаг-признак того, что текущая запись DACL унаследована от родительского каталога
Const FULL_ACCESS = 983551 'Значение маски полного разрешения или запрета
Const FLAG_SYNCHRONIZE = 1048576 'Значение флага синхронизации доступа к объекту файловой системы
                                 '(в версиях ОС "2000/XP", применим только для записей типа "РАЗРЕШЕНИЕ")
 
arrFlagValue = Array(32, 1, 128, 8, 2, 4, 256, 16, 64, 65536, 131072, 262144, 524288)
arrFlagName = Array("Траверс папок / Выполнение файлов", _
                    "Содержание папки / Чтение данных", _
                    "Чтение атрибутов", _
                    "Чтение дополнительных атрибутов", _
                    "Создание файлов / Запись данных", _
                    "Создание папок / Дозапись данных", _
                    "Запись атрибутов", _
                    "Запись дополнительных атрибутов", _
                    "Удаление подпапок и файлов", _
                    "Удаление", _
                    "Чтение разрешений", _
                    "Смена разрешений", _
                    "Смена владельца")
                                        
arrGenericValue = Array(&H20000000, &H40000000, &H80000000)
arrGenericName = Array("Выполнение (универсальная маска)", "Запись (универсальная маска)", "Чтение (универсальная маска)")
'--- Вспомогательные массивы, предназначенные для детализации универсальных масок
arrSieveGE = Array(-1, 0, -1, 0, 0, 0, 0, 0, 0, 0, -1, 0, 0)
arrSieveGW = Array(0, 0, 0, 0, -1, -1, -1, -1, 0, 0, -1, 0, 0)
arrSieveGR = Array(0, -1, -1, -1, 0, 0, 0, 0, 0, 0, -1, 0, 0)
'------
 
'--- Настройка правильного наименования одного из флагов маски доступа в зависимости от версии ОС
If intVer < 60 Then
    arrFlagName(0) = "Обзор папок / Выполнение файлов"
End If
'------
For Each objEntry In arrACE
    '--- Определение режима наследования записи и области её действия
    If CBool(objEntry.AceFlags And INHERITED_ACE) Then
        strTemp = " (унаследовано; "
        lngTemp = objEntry.AceFlags - INHERITED_ACE
    Else
        strTemp = " (не унаследовано; "
        lngTemp = objEntry.AceFlags
    End If
    Select Case lngTemp
            Case 0: strTemp = strTemp & "действует на: только текущий каталог)"
            Case 1: strTemp = strTemp & "действует на: текущий каталог и его файлы)"
            Case 2: strTemp = strTemp & "действует на: текущий каталог и его подкаталоги)"
            Case 3: strTemp = strTemp & "действует на: текущий каталог, его подкаталоги и файлы)"
            Case 9: strTemp = strTemp & "действует на: только файлы текущего каталога)"
            Case 10: strTemp = strTemp & "действует на: только подкаталоги текущего каталога)"
            Case 11: strTemp = strTemp & "действует на: подкаталоги и файлы текущего каталога)"
            Case Else: strTemp = strTemp & "область действия не определена); "
    End Select
    strTemp = strTemp & vbNewLine & "---" & vbNewLine
    '------
    '--- Определение типа записи
    If objEntry.AceType = ACCESS_ALLOWED_ACE_TYPE Then
        strTemp = strTemp & "РАЗРЕШЕНО:" & vbNewLine
    ElseIf objEntry.AceType = ACCESS_DENIED_ACE_TYPE Then
        strTemp = strTemp & "ЗАПРЕЩЕНО:" & vbNewLine
    End If
    '------
    '--- Определение значения маски "Полный доступ" в зависимости от версии ОС
    If intVer < 52 Then
        lngTemp = FULL_ACCESS + Abs(objEntry.AceType - 1) * FLAG_SYNCHRONIZE
        'Выражение FULL_ACCESS + Abs(objEntry.AceType - 1) * FLAG_SYNCHRONIZE
        'учитывает разницу между значениями маски "Полный доступ" у записей разных типов
        'в ОС версий "2000/XP"
    Else
        lngTemp = FULL_ACCESS + FLAG_SYNCHRONIZE
    End If
    '------
    lngMask = objEntry.AccessMask
    Select Case Abs(lngMask)
        Case lngTemp: strTemp = strTemp & "Полный доступ" & vbNewLine
        Case GENERIC_ALL: strTemp = strTemp & "Полный доступ (универсальная маска)" & vbNewLine
        Case Else
            '--- Детальный анализ маски доступа текущей записи:
            'обработка универсальных масок (биты №№ 29 - 31)
            If Abs(lngMask) > lngTemp Then
                For i = 0 To UBound(arrGenericValue)
                    If lngMask And arrGenericValue(i) Then
                        strTemp = strTemp & arrGenericName(i) & vbNewLine & vbTab & "{" & vbNewLine
                        Select Case arrGenericValue(i)
                            Case GENERIC_EXECUTE: arrTemp = arrSieveGE
                            Case GENERIC_WRITE: arrTemp = arrSieveGW
                            Case GENERIC_READ: arrTemp = arrSieveGR
                        End Select
                        For j = 0 To UBound(arrTemp)
                            If arrTemp(j) Then strTemp = strTemp & vbTab & arrFlagName(j) & vbNewLine
                        Next
                        strTemp = strTemp & vbTab & "}" & vbNewLine
                    End If
                Next
            End If
            'обработка обычных масок (биты №№ 0 - 20)
            For i = 0 To UBound(arrFlagValue)
                If lngMask And arrFlagValue(i) Then strTemp = strTemp & arrFlagName(i) & vbNewLine
            Next
            '------
    End Select
    strTemp = UCase(objEntry.Trustee.Domain & "\" & objEntry.Trustee.Name) & strTemp & "===" & vbNewLine
    If intMode = PART_MODE Then
        If StrComp(UCase(objEntry.Trustee.SIDString), strAccSID, vbTextCompare) = 0 Then strRes = strRes & strTemp
    Else
        strRes = strRes & strTemp
    End If
Next
End Function
3
Dragokas
Эксперт WindowsАвтор FAQ
17009 / 7066 / 856
Регистрация: 25.12.2011
Сообщений: 10,881
Записей в блоге: 16
14.01.2014, 00:35 5
Dmitrii, отдельное спасибо за Function Get_DACLInfo(arrACE()
Я как раз искал программную реализацию расшифровки ACE, которую выдает ICACLS /SAVE.
Прям то, что нужно.
1
Dmitrii
14.01.2014, 01:14
  #6

Не по теме:

Цитата Сообщение от Dragokas Посмотреть сообщение
... отдельное спасибо за Function Get_DACLInfo
Пожалуйста. :)

1
mutex
28 / 28 / 5
Регистрация: 18.04.2009
Сообщений: 261
14.01.2014, 15:58  [ТС] 7
Примеры то что надо !!!
0
14.01.2014, 15:58
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
14.01.2014, 15:58

Изменение параметров реестра пользователей RDP
Добрый день, подскажите как изменить реестр пользователя. А точнее...

Изменение параметров электропитания win xp под пользователем
Добрый день. В домене (win server 2003) у клиента на XP меняю параметры...

Изменение пароля пользователя
Мне надо поменять в локалке пароль учетки пользователя, а Active Directory...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
7
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru