More than 3 years have passed since last update.

私がよく使うWindows セキュリティグループ / フォルダアクセス権設定コマンドチートシート

Last updated at 2021-07-18Posted at 2021-07-18

はじめに

私が利用するためのチートシートですが、どなたかのお役に立てるのでは無いかと思い、公開させていただきます

Windows上でActive Directoryのセキュリティグループの操作・設定やフォルダアクセス権の設定に関する私が普段よく使うコマンドを以下にご紹介させていただきます。私の場合には以下のコマンドがあれば行いたい作業の大体の８割くらいはまかなえています。

したいこと	コマンド	備考
セキュリティグループ管理者Windows ADアカウントに昇格	runas /user:adminhoge@ad.hoge.co.jp powershell.exe	対話でパスワードを聞かれるので入力します
新規作成	New-ADGroup -Name AD-GROUP-001 -GroupScope Global -Path "OU=Hoge,OU=Foo,OU=Baa,DC=ad,DC=teruroom,DC=co,DC=jp" -Description "ADグループ001"	OU：サブフォルダ DC：ドメインコントローラ ※階層下位⇨上位順に記述
説明確認	Get-ADGroup -Identity AD-GROUP-001 -Properties description \| Select-Object {$_.Description}
登録対象メンバアカウント確認	Get-ADUser -LDAPFilter "(Name=ほげハゲ子)" \| Select-Object {$_.Name}	ワイルドカード`*`を利用可能
メンバ追加	Add-ADGroupMember -Identity AD-GROUP-001 -Members A0000001, A0000002	メンバのWindowsADアカウントをカンマ区切りで列挙
登録済メンバ確認	Get-ADGroupMember -Identity AD-GROUP-001 \| Select-Object {$_.Name}

利用ターミナル：コマンドプロンプト
- 同様のことができるPowershellコマンドもありますが、私はコマンドプロンプトベースのicaclsを普段使いしています。

したいこと	コマンド	備考
フォルダアクセス権管理者Windows ADアカウントに昇格	runas /user:adminhoge@ad.hoge.co.jp cmd.exe	対話でパスワードを聞かれるので入力します
フォルダパス設定	set FOLDER_PATH="¥¥ほげ本部¥ハゲ部¥フーチーム¥"
アクセス権参照	icacls %FOLDER_PATH%
［既存]アクセス権[削除]	icacls %FOLDER_PATH% /remove:g AD-GROUP-001
[参照]アクセス権[追加]	icacls %FOLDER_PATH% /grant:r AD-GROUP-001:(CI)(OI)(R)	既存のアクセス権に追加下位フォルダに再起的にアクセス権を継承
[更新]アクセス権[追加]	icacls %FOLDER_PATH% /grant:r AD-GROUP-001:(CI)(OI)(M)	↑同上
[フル]アクセス権[追加]	icacls %FOLDER_PATH% /grant:r AD-GROUP-001:(CI)(OI)(F)	↑同上
[参照]アクセス権[新規]	icacls %FOLDER_PATH% /grant:r AD-GROUP-001:(CI)(OI)(R) /inheritance:d	新規でアクセス権を設定上位フォルダからのアクセス権の継承を切断下位フォルダに再起的にアクセス権を継承
[更新]アクセス権[新規]	icacls %FOLDER_PATH% /grant:r AD-GROUP-001:(CI)(OI)(M) /inheritance:d	↑同上
[フル]アクセス権[新規]	icacls %FOLDER_PATH% /grant:r AD-GROUP-001:(CI)(OI)(F) /inheritance:d	↑同上

管理者権限が必要な場合：
- 必要な管理者権限Windows ADアカウントでWindowsにログインし直すのは面倒です
- 現在のWindows ADアカウントのまま、適切な管理者Windows ADアカウントに昇格してからコマンドを投入することをお勧めします