Besitzer von Dateien und NTFS-Vererbung ändern mit PowerShell

Damit ein User den Besitz an einer Datei oder einem Verzeichnis über­nehmen kann, muss ihm erst das dafür nötige Recht eingeräumt werden. Ausge­nommen davon sind Administratoren, die anderen Benutzern immer den Besitz an einer Datei zuordnen dürfen, auch wenn sie das betreffende Objekt gar nicht selbst angelegt haben.

Während man dafür in der bloßen PowerShell icacls.exe oder .NET-Klassen bemühen muss, lässt sich dieses Recht mit NTFSSecurity einfach über das Cmdlet Add-NTFSAccess erteilen:

Add-NTFSAccess -AccessRights TakeOwnership -Account contoso\myUsers -Path .\temp

Dieser Aufruf würde der Gruppe myusers das Recht gewähren, den Besitz über das Verzeichnis temp zu übernehmen.

Anschließend könnten die betreffenden Benutzer diese Möglichkeit in Anspruch nehmen. Auch hier reicht mit NTFSSecurity ein Kommando, während man in PowerShell alleine den Umweg über Get-Acl nehmen muss:

Set-NTFSOwner -Path .\temp -Account contoso\flee

Das Cmdlet Set-NTFSOwner erwartet neben dem Pfad immer die Angabe eines Benutzers oder einer Gruppe, auch wenn der Besitz an den aktuell angemel­deten Benutzer übertragen werden soll.

Um festzu­stellen, wer Besitzer einer Datei oder eines Verzeichnisses ist, verwendet man den Gegenspieler von Set-NTFSOwner:

Get-NTFSOwner -Path .\temp

Beide Cmdlets leiden unter dem Nachteil, dass der Parameter Path zwar mehrere Dateinamen, aber keine Wildcards akzeptiert. Außerdem können sie sich nicht rekursiv durch Verzeichnis­bäume arbeiten. Daher übergibt man ihnen für diesen Zweck den Output von Get-ChildItem. Dieses weist aber ein Limit für Pfadlängen von 260 Zeichen auf, weshalb NTFSSecurity das Cmdlet Get-ChildItem2 ohne diese Einschränkung enthält:

Get-ChildItem2 -Directory -Recurse | Get-NTFSOwner

Dieser Befehl würde die Besitzer für alle Unter­verzeichnisse des aktuellen Ordners ausgeben.

Analog dazu würde

Get-ChildItem2 -Directory | Set-NTFSOwner - Account contoso\flee

den Besitz dieser Verzeichnisse an den User flee übertragen.

Vererbung aktivieren und deaktivieren

Das Modul NTFSSecurity bringt auch deutliche Verbesserungen beim Management der Vererbung von Zugriffs­rechten. Zuständig sind dafür die Cmdlets

• Get-NTFSInheritance
• Disable-NTFSAccessInheritance
• Enable-NTFSAccessInheritance

Das erste davon zeigt erwartungs­gemäß an, ob für bestimmte Ordner oder Dateien die Vererbung aktiviert bzw. unterbunden wurde:

Get-NTFSInheritance -Path .\Sysmon.zip

Dieser Befehl gibt Auskunft darüber, ob die Datei Sysmon.zip die Berechtigungen vom übergeordneten Verzeichnis erbt. Möchte man dies verhindern, dann erledigt das Kommando

Disable-NTFSAccessInheritance -Path .\Sysmon.zip

diese Aufgabe. Bei dieser Gelegenheit werden die zuvor ererbten Rechte in explizit zugewiesene Berech­tigungen umgewandelt. Beim umgekehrten Vorgang nach dem Muster

Enable-NTFSAccessInheritance -Path . \Sysmon.zip

bleiben diese expliziten Rechte erhalten und werden dann noch durch die ererbten verdoppelt. Wenn man das vermeiden möchte, dann ruft man das Cmdlet mit dem Schalter Remove­Explicit­AccessRules auf:

Enable-NTFSAccessInheritance -Path .\Sysmon.zip -RemoveExplicitAccessRules

Diesen Befehl kann man auch auf Objekte anwenden, bei denen die Vererbung bereits aktiviert ist, nur um die expliziten Rechte schnell und einfach zu entfernen.