Set-Acl (Microsoft.PowerShell.Security)

Set-Acl

更改指定项目（例如文件或注册表项）的安全描述符。

句法

Set-Acl
   [-Path] <String[]>
   [-AclObject] <Object>
   [-ClearCentralAccessPolicy]
   [-Passthru]
   [-Filter <String>]
   [-Include <String[]>]
   [-Exclude <String[]>]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]

Set-Acl
   [-InputObject] <PSObject>
   [-AclObject] <Object>
   [-Passthru]
   [-Filter <String>]
   [-Include <String[]>]
   [-Exclude <String[]>]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]

Set-Acl
   -LiteralPath <String[]>
   [-AclObject] <Object>
   [-ClearCentralAccessPolicy]
   [-Passthru]
   [-Filter <String>]
   [-Include <String[]>]
   [-Exclude <String[]>]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]

描述

此 cmdlet 仅适用于 Windows 平台。

Set-Acl cmdlet 更改指定项目（例如文件或注册表项）的安全描述符，以匹配您提供的安全描述符中的值。

要使用 Set-Acl，请使用 Path 或 InputObject 参数来标识要更改其安全描述符的项目。然后，使用 AclObject 或 SecurityDescriptor 参数提供具有您要应用的值的安全描述符。 Set-Acl 应用提供的安全描述符。它使用 AclObject 参数的值作为模型，并更改项目安全描述符中的值以匹配 AclObject 参数中的值。

示例

示例 1：将安全描述符从一个文件复制到另一个文件

$DogACL = Get-Acl -Path "C:\Dog.txt"
Set-Acl -Path "C:\Cat.txt" -AclObject $DogACL

这些命令将值从 Dog.txt 文件的安全描述符复制到 Cat.txt 文件的安全描述符。命令完成后，Dog.txt 和 Cat.txt 文件的安全描述符相同。

第一个命令使用 Get-Acl cmdlet 获取 Dog.txt 文件的安全描述符。赋值运算符 (=) 将安全描述符存储在 $DogACL 变量的值中。

第二个命令使用 Set-Acl 将 Cat.txt 的 ACL 中的值更改为 $DogACL 中的值。

Path 参数的值是 Cat.txt 文件的路径。 AclObject 参数的值是模型 ACL，在本例中，是保存在 $DogACL 变量中的 Dog.txt 的 ACL。

示例 2：使用管道运算符传递描述符

Get-Acl -Path "C:\Dog.txt" | Set-Acl -Path "C:\Cat.txt"

此命令与上一个示例中的命令几乎相同，只是它使用管道运算符 (|) 将安全描述符从 Get-Acl 命令发送到Set-Acl 命令。

第一个命令使用 Get-Acl cmdlet 获取 Dog.txt 文件的安全描述符。管道运算符 (|) 将表示 Dog.txt 安全描述符的对象传递给 Set-Acl cmdlet。

第二个命令使用 Set-Acl 将 Dog.txt 的安全描述符应用到 Cat.txt。命令完成后，Dog.txt 和 Cat.txt 文件的 ACL 相同。

示例 3：将安全描述符应用于多个文件

$NewAcl = Get-Acl File0.txt
Get-ChildItem -Path "C:\temp" -Recurse -Include "*.txt" -Force | Set-Acl -AclObject $NewAcl

这些命令将 File0.txt 文件中的安全描述符应用于 C:\Temp 目录及其所有子目录中的所有文本文件。

第一个命令获取当前目录中 File0.txt 文件的安全描述符，并使用赋值运算符 (=) 将其存储在 $NewACL 变量中。

管道中的第一个命令使用 Get-ChildItem cmdlet 获取 C:\Temp 目录中的所有文本文件。 Recurse 参数将命令扩展到 C:\temp 的所有子目录。 Include 参数将检索的文件限制为具有 .txt 文件扩展名的文件。 Force 参数获取隐藏文件，否则这些文件将被排除。 （您不能使用c:\temp\*.txt，因为Recurse参数适用于目录，而不适用于文件。）

管道运算符 (|) 将表示检索到的文件的对象发送到 Set-Acl cmdlet，该 cmdlet 将应用 AclObject 参数中的安全描述符到管道中的所有文件。

实际上，最好将 WhatIf 参数与所有可影响多个项目的 Set-Acl 命令一起使用。在本例中，管道中的第二个命令是 Set-Acl -AclObject $NewAcl -WhatIf。此命令列出了将受该命令影响的文件。查看结果后，您可以在不使用 WhatIf 参数的情况下再次运行该命令。

示例 4：禁用继承并保留继承的访问规则

$NewAcl = Get-Acl -Path "C:\Pets\Dog.txt"
$isProtected = $true
$preserveInheritance = $true
$NewAcl.SetAccessRuleProtection($isProtected, $preserveInheritance)
Set-Acl -Path "C:\Pets\Dog.txt" -AclObject $NewAcl

这些命令禁用来自父文件夹的访问继承，同时仍保留现有的继承访问规则。

第一个命令使用 Get-Acl cmdlet 获取 Dog.txt 文件的安全描述符。

接下来，创建变量以将继承的访问规则转换为显式访问规则。要保护与此关联的访问规则不被继承，请将 $isProtected 变量设置为 $true。要允许继承，请将 $isProtected 设置为 $false。有关详细信息，请参阅设置访问规则保护。

将 $preserveInheritance 变量设置为 $true 以保留继承的访问规则，或将 $false 设置为删除继承的访问规则。然后使用 SetAccessRuleProtection() 方法更新访问规则保护。

最后一个命令使用 Set-Acl 将安全描述符应用到 Dog.txt。该命令完成后，从 Pets 文件夹继承的 Dog.txt 的 ACL 将直接应用于 Dog.txt，并且添加到 Pets 的新访问策略不会更改对 Dog.txt 的访问权限。

示例 5：授予管理员对文件的完全控制权

$NewAcl = Get-Acl -Path "C:\Pets\Dog.txt"
# Set properties
$identity = "BUILTIN\Administrators"
$fileSystemRights = "FullControl"
$type = "Allow"
# Create new rule
$fileSystemAccessRuleArgumentList = $identity, $fileSystemRights, $type
$fileSystemAccessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $fileSystemAccessRuleArgumentList
# Apply new rule
$NewAcl.SetAccessRule($fileSystemAccessRule)
Set-Acl -Path "C:\Pets\Dog.txt" -AclObject $NewAcl

此命令将授予 BUILTIN\Administrators 组对 Dog.txt 文件的完全控制权。

第一个命令使用 Get-Acl cmdlet 获取 Dog.txt 文件的安全描述符。

接下来创建变量以授予 BUILTIN\Administrators 组对 Dog.txt 文件的完全控制权。 $identity 变量设置为用户帐户的名称。 $fileSystemRights 变量设置为 FullControl，并且可以是指定与访问规则关联的操作类型的任一 FileSystemRights 值。 $type 变量设置为“Allow”以指定是允许还是拒绝该操作。 $fileSystemAccessRuleArgumentList 变量是创建新 FileSystemAccessRule 对象时要传递的参数列表。然后创建一个新的FileSystemAccessRule对象，并将FileSystemAccessRule对象传递给SetAccessRule()方法，添加新的访问规则。

最后一个命令使用 Set-Acl 将安全描述符应用到 Dog.txt。命令完成后，BUILTIN\Administrators 组将完全控制 Dog.txt。

参数

-AclObject

指定具有所需属性值的 ACL。 Set-Acl 更改由 Path 或 InputObject 参数指定的项目的 ACL，以匹配指定安全对象中的值。

您可以将 Get-Acl 命令的输出保存在变量中，然后使用 AclObject 参数传递该变量，或键入 Get-Acl命令。

目的

1

None

True

True

False

-ClearCentralAccessPolicy

从指定项目中删除中央访问策略。

从 Windows Server 2012 开始，管理员可以使用 Active Directory 和组策略为用户和组设置集中访问策略。有关详细信息，请参阅动态访问控制：场景概述。

此参数是在 Windows PowerShell 3.0 中引入的。

SwitchParameter

命名

False

False

False

False

-Confirm

在运行 cmdlet 之前提示您进行确认。

SwitchParameter

cf

命名

False

False

False

False

-Exclude

省略指定的项目。此参数的值限定 Path 参数。输入路径元素或模式，例如 *.txt。允许使用通配符。

String[]

命名

None

False

False

True

-Filter

以提供者的格式或语言指定过滤器。此参数的值限定 Path 参数。过滤器的语法（包括通配符的使用）取决于提供程序。过滤器比其他参数更有效，因为提供程序在检索对象时应用它们，而不是让 PowerShell 在检索对象后过滤对象。

String

命名

None

False

False

True

-Include

仅更改指定的项目。此参数的值限定 Path 参数。输入路径元素或模式，例如 *.txt。允许使用通配符。

String[]

命名

None

False

False

True

-InputObject

更改指定对象的安全描述符。输入包含对象的变量或获取对象的命令。

您无法通过管道将要更改的对象传递给 Set-Acl。相反，请在命令中显式使用 InputObject 参数。

此参数是在 Windows PowerShell 3.0 中引入的。

PS对象

0

None

True

True

False

-LiteralPath

更改指定项目的安全描述符。与 Path 不同，LiteralPath 参数的值完全按照键入的方式使用。没有字符被解释为通配符。如果路径包含转义字符，请将其括在单引号 (') 中。单引号告诉 PowerShell 不要将任何字符解释为转义序列。

此参数是在 Windows PowerShell 3.0 中引入的。

String[]

PSPath

命名

None

True

True

False

-Passthru

返回一个表示已更改的安全描述符的对象。默认情况下，此 cmdlet 不生成任何输出。

SwitchParameter

命名

None

False

False

False

-Path

更改指定项目的安全描述符。输入项目的路径，例如文件或注册表项的路径。允许使用通配符。

如果将安全对象传递给 Set-Acl（通过使用 AclObject 或 SecurityDescriptor 参数，或者通过从 Get-Acl 传递安全对象Set-Acl），并且省略 Path 参数（名称和值），Set-Acl 使用包含在安全对象。

String[]

0

None

True

True

True

-WhatIf

显示 cmdlet 运行时会发生什么情况。该 cmdlet 未运行。

SwitchParameter

wi

命名

False

False

False

False

输入

对象安全

您可以通过管道将 ACL 对象传递给此 cmdlet。

通用安全描述符

您可以通过管道将安全描述符传递给此 cmdlet。

输出

无

默认情况下，此 cmdlet 不返回任何输出。

文件安全

当您使用 PassThru 参数时，此 cmdlet 将返回一个安全对象。安全对象的类型取决于项目的类型。

笔记

此 cmdlet 仅适用于 Windows 平台。

PowerShell 文件系统和注册表提供程序支持 Set-Acl cmdlet。因此，您可以使用它来更改文件、目录和注册表项的安全描述符。