Benutzer aus der Sicherheit entfernen

[Marco26]

Hey zusammen, i

ich würde gerne den Benutzer aus der Sicherheit eines Ordners per Powershell Script entfernen.

Bisher habe ich diesen Code benutzt um einen bestimmten Gruppe Vollzugriff zu geben,
das ganze auf den Benutzer abzuändern gelingt mir aber nicht.

                        $Right = "FullControl"
                        $Path = (#PFAD)
                        $Principal=("DOMAIN\GRUPPE)
                        $rule=New-Object System.security.AccessControl.FileSystemAccessRule($Principal,$Right,3, 0,"Allow")
                        $acl = get-acl $Path
                        $acl.SetAccessRule($rule)
                        set-acl $Path $acl

Hauptsächlich hängt es beim einsetzten des Principals da Benutzer ja kein "User" im AD ist sondern ein Typ, und beim einsetzten der Zahlen bei Rule.

 

[LinuXfr3ak]

Das sollte funktionieren:

$filepath = 'C:\ALCTEST'
$user     = 'domain\username'

$folders = Get-ChildItem $filePath -Recurse -Directory

foreach ($folder in $folders) {
    $acl = Get-Acl -Path $folder.FullName

    foreach ($access in $acl.Access) {
        if ($access.IdentityReference.Value -eq $user) {
            $acl.RemoveAccessRule($access) | Out-Null
        }
    }

    Set-Acl -Path $folder.FullName -AclObject $acl
}

 

[Marco26]

Habe es jetzt mal so umgesetzt

 $filepath = (E:\Share\Ordner)
 $user = "Domain\Benutzer"

 $folders = Get-ChildItem $filepath -Recurse -Directory

 foreach ($folder in $folders) {
         $acl3 = Get-Acl -Path $folder.FullName

          foreach ($access in $acl3.Access) {
              if ($access.IdentifyReference.Value -eq $user) {
                  $acl3.RemoveAccessRule($access) | Out-Null
              }
          }

           set-acl -Path $folder.FullName -AclObject $acl3
}

Funktioniert leider nicht. Bekomme aber auch keine Fehlermeldung von wegen Rechte konnte nicht Gesetzt werden oder etwas in die Art

 

[Evil E-Lex]

Dein Skript entfernt einen Domänenbenutzer. Willst du die Standardbenutzer entfernen sind das entweder VORDEFINIERT\Benutzer, NT-AUTORITÄT\Authentifizierte Benutzer oder auch beide.

 

[Marco26]

Bist du sicher ? Der hier soll raus, und der scheint zur Domain zu gehören.

 

[snaxilian]

Rein vom Logo her ist dies aber eine Benutzergruppe und kein einzelner Benutzer. Best Practice ist es auch, niemals einzelne User Berechtigungen zu vergeben sondern eine Benutzergruppe zu erstellen, die auf diesen Order/Pfad/whatever Zugriff haben soll. Alle Benutzer, die anschließend Zugriff haben sollen, müssen Mitglied in der entsprechenden Gruppe sein.