Discussion :

[julie75]

Salut tout le monde

Je cherche à faire un script qui parcours un répertoire. sur chaque dossier contenant un fichier en extension .config le script doit vérifier les droits et les ajouter si besoin (il y'a 3 droits à ajouter pour 2 users à chaque fois).

Pour l'instant mon script est le suivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
#Liste des dossiers contenant un .config
$fic=Get-ChildItem -recurse -Include *.Config

#Ajout des droits sur chaque dossier
foreach ($f in $fic) {
	#Ajout du droit 1 pour le User1
	$ace = new-object Security.AccessControl.FileSystemAccessRule("Domaine\user", "ReadPermissions", "Deny")
	$acl.AddAccessRule($ace)
	set-acl $f.directory $acl

	#Ajout du droit 2 pour le User1
	....
}

Pour l'instant ma solution marche, mais cela m'oblige à ajouter tous les droits sur chaque dossier (ce script sera lancé hebdomadairement). J'aimerais qu'il vérifie avant les droits manquants et les ajoutes en conséquence et le loggifie.

Pour cela j'utilise :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
#Vérification des droits :
$acl = Get-Acl $f.directory

Du coup si je fais un $acl.Access j'ai la liste de tous les droits du dossier

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
FileSystemRights  : ReadAttributes, ReadPermissions
AccessControlType : Deny
IdentityReference : Domaine\User1
IsInherited       : False
InheritanceFlags  : ContainerInherit, ObjectInherit
PropagationFlags  : None

FileSystemRights  : FullControl
AccessControlType : Deny
IdentityReference : Domaine\User2
IsInherited       : False
InheritanceFlags  : ContainerInherit, ObjectInherit
PropagationFlags  : None
....

Je peux atteindre toutes les données que je veux par exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$acl.Access[1].FieSystemRights
FullControl

Honnêtement avec tous ça je vois comment m'en sortir mais ce serait juste pas propre du tout, dans la solution que j'ai en tête j'utiliserai des boucles à valvolo, des flags...

Quelqu'un verrait-il une solution simple à mettre en place ?

D'avance un grand merci pour votre aide et bonne fin de semaine.

[Laurent Dardenne]

Salut,

Quelqu'un verrait-il une solution simple à mettre en place ?

Si tu découpes ton traitement en fonctions ce peut êre plus simple à réaliser et surtout à réutiliser. Ecrit déjà une première version.

[julie75]

Bonjour Laurent !

Ayant plus de temps maintenant, je vais me pencher sur mon script. Je vais faire des fonctions et élaborer une ébauche de solution, mais avant. Vois-tu comment je pourrais rechercher si un droit pour un compte est présent sur mon dossier.

Sachant que les droits du dossier sont contenu dans la variable

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
$acl.access

FileSystemRights  : ReadAttributes, ReadPermissions
AccessControlType : Deny
IdentityReference : Domaine\User1
IsInherited       : False
InheritanceFlags  : ObjectInherit
PropagationFlags  : InheritOnly

FileSystemRights  : FullControl
AccessControlType : Deny
IdentityReference : Domaine\User1
IsInherited       : False
InheritanceFlags  : ContainerInherit, ObjectInherit
PropagationFlags  : None
...

Comment rechercher dans cette variable si l'utilisateur Domaine\User1 à le droit FullControl par exemple ?

Je suis sur que c'est faisable en 1 ligne mais je ne vais pas comment faire ça simplement.

Pour l'instant j'ai l'algo (niveau débutante) suivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
$Droit1 = "false"
$Droit2 = "false"
...
## On boucle sur chaque droits du dossier. On flag les droits que nous avons besoin 
foreach ($a in $acl.access){
	if ($a.FileSystemRights -eq "FullControl" -AND $a.IdentityReference -eq "Domaine\User1"){
		$Droit1 = "true"
	}
	if ($a.FileSystemRights -eq "Modify, Synchronize" -AND $a.IdentityReference -eq "Domaine\User1"){
		$Droit2 = "true"
	}
	...		
		
}

## Pour chaque droit absent, on le rajoute:
If ($Droit1 -eq "false"){
	Code pour Ajout du droit
}

If ($Droit2 -eq "false"){
	Code pour Ajout du droit
}

...

Vois-tu comment rendre ça plus propre ?

Un grand merci pour ton aide toujours précieuse

[Laurent Dardenne]

Vois-tu comment je pourrais rechercher si un droit pour un compte est présent sur mon dossier.

Je serais tenté de parcourir les ACLs. Je dois avoir du code sur le sujet mais je n'ai pas trop le temps en ce moment.
Ensuite il faudrait vérifier si l'ajout d'un droit existant est autorisé ou pas dans cette liste, à voir sur MSDN.

Vois-tu comment rendre ça plus propre ?

Je suis plus dans un optique de réutilisation de code, là tu écris un traitement spécifique. Pour moi, la notion de 'propreté' est surtout lié à la maintenance (simplicité / lisibilité / compréhension).

Ensuite il y a de l'optimisation de code/ simplification d'écriture :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
#Ne pas faire $droits="true", mais $droits=$true 
 
$Droit1=($a.FileSystemRights -eq "FullControl") -AND ($a.IdentityReference -eq "Domaine\User1")
 
 #$Droit1 est du type un boolean
If ($Droit1){

Voir factoriser le code...

[Laurent Dardenne]

Une source d'inspiration et le lien sur MSDN.

[Laurent Dardenne]

Désolé pour le lien dit d'inspiration, c'est plus de l'expiration
Bref, je regarde ça dés que je peux, j'ai eu dernièrement à résoudre un pb similaire, il y a donc un besoin récurrent sur type de traitement.

Je pensais plus à qq chose comme :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
Get-Acl | 
 Remove-Acl -Target { code de vérification }|
 Set-Acl
 
#ou
Get-Acl | 
  Test-Acl  -Check { code de vérification }|
  Add-Acl $AccesRule -Identity $userSID |
  Set-Acl

Il manque, je pense, qq cmdlets de manipulation d'ACL.