Sécuriser les sous-répertoire d’un dossier utilisateur en ligne de commande

Si vous souhaitez sécuriser un répertoire en particulier à partir d’une liste d’utilisateurs de votre AD bénéficiant d’un groupe utilisateurs, utilisez le script suivant :

cd C:\Windows\System32
$PathToSecure = "e:\scanner"
$GrpUser = "grp_scanner"
"Securing $($PathToSecure):"
$UserScanner = Get-ADGroupMember -Identity "$($GrpUser)" -Recursive | Get-ADUser -Property DisplayName | Select-Object SamAccountName
Foreach($element in $UserScanner) 
{ 
    $accountName = $($element.SamAccountName)
    "Processing $($accountName)"
    Start-Process -NoNewWindow -Wait -FilePath '.\icacls.exe' -ArgumentList "$($PathToSecure)\$($accountName) /grant $($accountName):(NP)(OI)(CI)F /T /inheritance:r"
    Start-Process -NoNewWindow -Wait -FilePath '.\icacls.exe' -ArgumentList "$($PathToSecure)\$($accountName) /grant administrateurs:(NP)(OI)(CI)F /T"
}

Modifier le paramètres suivants :

  • $PathToSecure = Répertoire à sécuriser (ici e:\scanner)
  • $GrpUser = Groupe de sécurité des utilisateurs (ici grp_scanner)

Le script va effectuer les actions suivantes :

  • Regarder avec la commande Get-ADGroupMember quel utilisateurs est dans le groupe spécifié. Mettez ici le groupe qui vous interesse
  • Parcourir chaque utilisateur trouvé avec la boucle Foreach
  • Supprimer l’héritage et positionner l’utilisateur avec des droits totaux avec la commande icacls
  • Positionner le groupe Administrateur avec les droits totaux avec la commande icacls

Ce script est à planifier dans la planificateur de tâches, idealement 1 fois par jour

Vous aimerez aussi...

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.