LoginSignup
4
5

More than 1 year has passed since last update.

@teruroom(Teru Room)

私がよく使うWindows セキュリティグループ / フォルダアクセス権設定コマンドチートシート

Last updated at Posted at 2021-07-18

はじめに

私が利用するためのチートシートですが、どなたかのお役に立てるのでは無いかと思い、公開させていただきます

Windows上でActive Directoryのセキュリティグループの操作・設定やフォルダアクセス権の設定に関するが普段よく使うコマンドを以下にご紹介させていただきます。私の場合には以下のコマンドがあれば行いたい作業の大体の8割くらいはまかなえています。

環境

  • Windows10 Pro + ActiveDirectoryモジュールインストール済
  • Windows Server 2016 / 2019

セキュリティグループの操作

  • 利用ターミナル:Powershell
したいこと コマンド 備考
セキュリティグループ管理者Windows ADアカウントに昇格 runas /user:adminhoge@ad.hoge.co.jp powershell.exe 対話でパスワードを聞かれるので入力します
新規作成 New-ADGroup -Name AD-GROUP-001 -GroupScope Global -Path "OU=Hoge,OU=Foo,OU=Baa,DC=ad,DC=teruroom,DC=co,DC=jp" -Description "ADグループ001"
  • OU:サブフォルダ
  • DC:ドメインコントローラ
※階層下位⇨上位順に記述
説明確認 Get-ADGroup -Identity AD-GROUP-001 -Properties description | Select-Object {$_.Description}
登録対象メンバアカウント確認 Get-ADUser -LDAPFilter "(Name=*ほげ ハゲ子*)" | Select-Object {$_.Name} ワイルドカード*を利用可能
メンバ追加 Add-ADGroupMember -Identity AD-GROUP-001 -Members A0000001, A0000002 メンバのWindowsADアカウントをカンマ区切りで列挙
登録済メンバ確認 Get-ADGroupMember -Identity AD-GROUP-001 | Select-Object {$_.Name}
  • |:コマンドパイプで、左のコマンドの出力結果を入力として右のコマンドに渡します

フォルダアクセス権の操作

  • 利用ターミナル:コマンドプロンプト
    • 同様のことができるPowershellコマンドもありますが、私はコマンドプロンプトベースのicaclsを普段使いしています。
したいこと コマンド 備考
フォルダアクセス権管理者Windows ADアカウントに昇格 runas /user:adminhoge@ad.hoge.co.jp cmd.exe 対話でパスワードを聞かれるので入力します
フォルダパス設定 set FOLDER_PATH="¥¥ほげ本部¥ハゲ部¥フーチーム¥"
アクセス権参照 icacls %FOLDER_PATH%
[既存]アクセス権[削除] icacls %FOLDER_PATH% /remove:g AD-GROUP-001
[参照]アクセス権[追加] icacls %FOLDER_PATH% /grant:r AD-GROUP-001:(CI)(OI)(R)
  • 既存のアクセス権に追加
  • 下位フォルダに再起的にアクセス権を継承
[更新]アクセス権[追加] icacls %FOLDER_PATH% /grant:r AD-GROUP-001:(CI)(OI)(M) ↑同上
[フル]アクセス権[追加] icacls %FOLDER_PATH% /grant:r AD-GROUP-001:(CI)(OI)(F) ↑同上
[参照]アクセス権[新規] icacls %FOLDER_PATH% /grant:r AD-GROUP-001:(CI)(OI)(R) /inheritance:d
  • 新規でアクセス権を設定
  • 上位フォルダからのアクセス権の継承を切断
  • 下位フォルダに再起的にアクセス権を継承
[更新]アクセス権[新規] icacls %FOLDER_PATH% /grant:r AD-GROUP-001:(CI)(OI)(M) /inheritance:d ↑同上
[フル]アクセス権[新規] icacls %FOLDER_PATH% /grant:r AD-GROUP-001:(CI)(OI)(F) /inheritance:d ↑同上

アクセス権指定子

  • セキュリティグループ名の後に:区切りで指定します
アクセス権指定子 意味 備考
(R) 参照権限を付与 読み取り権限
(M) 更新権限を付与 読み・書き権限
(F) フル権限を付与 フォルダ新規作成・削除など全ての操作が可能
(CI) 下位のフォルダにコンテナ継承 下位フォルダにアクセス権を継承
(OI) 下位のフォルダにオブジェクト継承 下位フォルダ内のファイルにアクセス権を継承

ご参考まで

  • 管理者権限が必要な場合:
    • 必要な管理者権限Windows ADアカウントでWindowsにログインし直すのは面倒です
    • 現在のWindows ADアカウントのまま、適切な管理者Windows ADアカウントに昇格してからコマンドを投入することをお勧めします
4
5
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
4
5