Set-Acl

ファイルやレジストリ キーなど、指定した項目のセキュリティ記述子を変更します。

構文

Set-Acl
   [-Path] <String[]>
   [-AclObject] <Object>
   [-ClearCentralAccessPolicy]
   [-PassThru]
   [-Filter <String>]
   [-Include <String[]>]
   [-Exclude <String[]>]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]
Set-Acl
   [-InputObject] <PSObject>
   [-AclObject] <Object>
   [-PassThru]
   [-Filter <String>]
   [-Include <String[]>]
   [-Exclude <String[]>]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]
Set-Acl
   -LiteralPath <String[]>
   [-AclObject] <Object>
   [-ClearCentralAccessPolicy]
   [-PassThru]
   [-Filter <String>]
   [-Include <String[]>]
   [-Exclude <String[]>]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]

説明

このコマンドレットは、Windows プラットフォームでのみ使用できます。

Set-Acl コマンドレットは、指定したアイテムのセキュリティ記述子 (ファイルやレジストリ キーなど) を、指定したセキュリティ記述子の値と一致するように変更します。

Set-Aclを使用するには、Path または InputObject パラメーターを使用して、セキュリティ記述子を変更する項目を識別します。 次に、 AclObject または SecurityDescriptor パラメーターを使用して、適用する値を持つセキュリティ記述子を指定します。 Set-Acl は、指定されたセキュリティ記述子を適用します。 AclObject パラメーターの値をモデルとして使用し、AclObject パラメーターの値と一致するように項目のセキュリティ記述子の値を変更します。

例 1: あるファイルから別のファイルにセキュリティ記述子をコピーする

$DogACL = Get-Acl -Path "C:\Dog.txt"
Set-Acl -Path "C:\Cat.txt" -AclObject $DogACL

これらのコマンドは、Dog.txt ファイルのセキュリティ記述子から Cat.txt ファイルのセキュリティ記述子に値をコピーします。 コマンドが完了すると、Dog.txt ファイルと Cat.txt ファイルのセキュリティ記述子は同一となります。

最初のコマンドでは、 Get-Acl コマンドレットを使用して、Dog.txt ファイルのセキュリティ記述子を取得します。 代入演算子 (=) は、セキュリティ記述子を $DogACL 変数の値に格納します。

2 番目のコマンドでは、 Set-Acl を使用して、Cat.txtの ACL の値を $DogACL の値に変更します。

Path パラメーターの値は、Cat.txt ファイルへのパスです。 AclObject パラメーターの値はモデル ACL です。この場合、$DogACL変数に保存されているDog.txtの ACL です。

例 2: パイプライン演算子を使用して記述子を渡す

Get-Acl -Path "C:\Dog.txt" | Set-Acl -Path "C:\Cat.txt"

このコマンドは前の例のコマンドとほぼ同じですが、パイプライン演算子 (|) を使用して、 Get-Acl コマンドから Set-Acl コマンドにセキュリティ記述子を送信する点が異なります。

最初のコマンドでは、 Get-Acl コマンドレットを使用して、Dog.txt ファイルのセキュリティ記述子を取得します。 パイプライン演算子 (|) は、Dog.txtセキュリティ記述子を表すオブジェクトを Set-Acl コマンドレットに渡します。

2 番目のコマンドでは、 Set-Acl を使用して、Dog.txtのセキュリティ記述子をCat.txtに適用します。 コマンドが完了すると、Dog.txt ファイルと Cat.txt ファイルの ACL は同一となります。

例 3: 複数のファイルにセキュリティ記述子を適用する

$NewAcl = Get-Acl File0.txt
Get-ChildItem -Path "C:\temp" -Recurse -Include "*.txt" -Force | Set-Acl -AclObject $NewAcl

これらのコマンドは、File0.txt ファイル内のセキュリティ記述子を、 C:\Temp ディレクトリ内のすべてのテキスト ファイルとそのすべてのサブディレクトリに適用します。

最初のコマンドは、現在のディレクトリ内のFile0.txt ファイルのセキュリティ記述子を取得し、代入演算子 (=) を使用して $NewACL 変数に格納します。

パイプラインの最初のコマンドは、Get-ChildItem コマンドレットを使用して、 C:\Temp ディレクトリ内のすべてのテキスト ファイルを取得します。 Recurse パラメーターは、C:\tempのすべてのサブディレクトリにコマンドを拡張します。 Include パラメーターは、取得したファイルを.txtファイル名拡張子を持つファイルに制限します。 Force パラメーターは非表示のファイルを取得します。それ以外の場合は除外されます。 (Recurse パラメーターはファイルではなくディレクトリで動作するため、c:\temp\*.txtを使用することはできません)。

パイプライン演算子 (|) は、取得したファイルを表すオブジェクトを Set-Acl コマンドレットに送信します。 AclObject パラメーターのセキュリティ記述子は、パイプライン内のすべてのファイルに適用されます。

実際には、複数の項目に影響を与える可能性があるすべてのSet-Aclコマンドで WhatIf パラメーターを使用することをお勧めします。 この場合、パイプラインの 2 番目のコマンドは Set-Acl -AclObject $NewAcl -WhatIfされます。 このコマンドは、コマンドによって影響を受けるファイルを一覧表示します。 結果を確認したら、 WhatIf パラメーターを指定せずにコマンドをもう一度実行できます。

例 4: 継承を無効にし、継承されたアクセス規則を保持する

$NewAcl = Get-Acl -Path "C:\Pets\Dog.txt"
$isProtected = $true
$preserveInheritance = $true
$NewAcl.SetAccessRuleProtection($isProtected, $preserveInheritance)
Set-Acl -Path "C:\Pets\Dog.txt" -AclObject $NewAcl

これらのコマンドは、既存の継承されたアクセス規則を保持したまま、親フォルダーからのアクセス継承を無効にします。

最初のコマンドでは、 Get-Acl コマンドレットを使用して、Dog.txt ファイルのセキュリティ記述子を取得します。

次に、継承されたアクセス規則を明示的なアクセス規則に変換する変数が作成されます。 これに関連付けられているアクセス規則を継承から保護するには、 $isProtected 変数を $true に設定します。 継承を許可するには、 $isProtected$false に設定します。 詳細については、「アクセス規則の保護の設定」を参照してください。

$preserveInheritance変数を$trueに設定して継承されたアクセス規則を保持するか、継承されたアクセス規則を削除する$falseします。 その後、 SetAccessRuleProtection() メソッドを使用して、アクセス規則の保護が更新されます。

最後のコマンドでは、 Set-Acl を使用して、Dog.txtのセキュリティ記述子を適用します。 コマンドが完了すると、Pets フォルダーから継承されたDog.txtの ACL がDog.txtに直接適用され、Pets に追加された新しいアクセス ポリシーによってDog.txtへのアクセスは変更されません。

例 5: 管理者にファイルのフル コントロールを許可する

$NewAcl = Get-Acl -Path "C:\Pets\Dog.txt"
# Set properties
$identity = "BUILTIN\Administrators"
$fileSystemRights = "FullControl"
$type = "Allow"
# Create new rule
$fileSystemAccessRuleArgumentList = $identity, $fileSystemRights, $type
$fileSystemAccessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $fileSystemAccessRuleArgumentList
# Apply new rule
$NewAcl.SetAccessRule($fileSystemAccessRule)
Set-Acl -Path "C:\Pets\Dog.txt" -AclObject $NewAcl

このコマンドにより、Dog.txt ファイルのフル コントロールが BUILTIN\Administrators グループに付与されます。

最初のコマンドでは、 Get-Acl コマンドレットを使用して、Dog.txt ファイルのセキュリティ記述子を取得します。

次の変数は、 BUILTIN\Administrators グループにDog.txt ファイルのフル コントロールを付与するために作成されます。 ユーザー アカウントの名前に設定された$identity変数$fileSystemRights変数は FullControl に設定され、アクセス 規則に関連付けられている操作の種類を指定する FileSystemRights のいずれかの値を指定できます。 $type変数が "Allow" に設定され、操作を許可するか拒否するかを指定します。 $fileSystemAccessRuleArgumentList変数は、新しい FileSystemAccessRule オブジェクトを作成するときに渡される引数リストです。 次に、新しい FileSystemAccessRule オブジェクトが作成され、 FileSystemAccessRule オブジェクトが SetAccessRule() メソッドに渡され、新しいアクセス規則が追加されます。

最後のコマンドでは、 Set-Acl を使用して、Dog.txtのセキュリティ記述子を適用します。 コマンドが完了すると、 BUILTIN\Administrators グループはDog.txtを完全に制御できます。

パラメーター

-AclObject

目的のプロパティの値を備えた ACL を指定します。 Set-Acl は、 Path または InputObject パラメーターで指定された項目の ACL を、指定されたセキュリティ オブジェクトの値と一致するように変更します。

Get-Acl コマンドの出力を変数に保存し、AclObject パラメーターを使用して変数を渡すか、Get-Acl コマンドを入力します。

型:Object
配置:1
規定値:None
必須:True
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-ClearCentralAccessPolicy

指定された項目から、集約型アクセス ポリシーを削除します。

Windows Server 2012 以降では、管理者は Active Directory とグループ ポリシーを使用して、ユーザーとグループの集約型アクセス ポリシーを設定できます。 詳細については、「 Dynamic Access Control: Scenario Overview」を参照してください。

このパラメーターは Windows PowerShell 3.0 で導入されました。

型:SwitchParameter
配置:Named
規定値:False
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-Confirm

コマンドレットの実行前に確認を求めるメッセージが表示されます。

型:SwitchParameter
Aliases:cf
配置:Named
規定値:False
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-Exclude

指定した項目を除外します。 このパラメーターの値は、 Path パラメーターを修飾します。 パス要素またはパターン ( *.txtなど) を入力します。 ワイルドカードを使用できます。

型:String[]
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:True

-Filter

プロバイダーの形式や言語でフィルターを指定します。 このパラメーターの値は、 Path パラメーターを修飾します。 ワイルドカードを使用できるかどうかなど、フィルターの構文はプロバイダーによって異なります。 フィルターは、取得後に PowerShell でオブジェクトをフィルター処理するのではなく、オブジェクトの取得時にプロバイダーによって適用されるため、他のパラメーターよりも効率的です。

型:String
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:True

-Include

指定した項目だけを変更します。 このパラメーターの値は、 Path パラメーターを修飾します。 パス要素またはパターン ( *.txtなど) を入力します。 ワイルドカードを使用できます。

型:String[]
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:True

-InputObject

指定されたオブジェクトのセキュリティ記述子を変更します。 オブジェクトが格納されている変数、またはオブジェクトを取得するコマンドを入力します。

Set-Aclに変更するオブジェクトをパイプすることはできません。 代わりに、コマンドで InputObject パラメーターを明示的に使用します。

このパラメーターは Windows PowerShell 3.0 で導入されました。

型:PSObject
配置:0
規定値:None
必須:True
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-LiteralPath

指定した項目のセキュリティ記述子を変更します。 Path とは異なり、LiteralPath パラメーターの値は、型指定されたとおりに使用されます。 ワイルドカードとして解釈される文字はありません。 パスにエスケープ文字が含まれている場合は、単一引用符 (') で囲みます。 単一引用符は、エスケープ シーケンスとして文字を解釈しないように PowerShell に指示します。

このパラメーターは Windows PowerShell 3.0 で導入されました。

型:String[]
Aliases:PSPath
配置:Named
規定値:None
必須:True
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-PassThru

変更されたセキュリティ記述子を表すオブジェクトを返します。 既定では、このコマンドレットによる出力はありません。

型:SwitchParameter
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-Path

指定した項目のセキュリティ記述子を変更します。 ファイルまたはレジストリ キーへのパスなどの項目へのパスを入力します。 ワイルドカードを使用できます。

セキュリティ オブジェクトを Set-Acl に渡す場合 ( AclObject または SecurityDescriptor パラメーターを使用するか、または Get-Acl から Set-Acl にセキュリティ オブジェクトを渡す)、 Path パラメーター (名前と値) を省略すると、セキュリティ オブジェクトに含まれるパスが使用 Set-Acl

型:String[]
配置:0
規定値:None
必須:True
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:True

-WhatIf

コマンドレットの実行時に発生する内容を示します。 このコマンドレットは実行されません。

型:SwitchParameter
Aliases:wi
配置:Named
規定値:False
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

入力

ObjectSecurity

ACL オブジェクトをこのコマンドレットにパイプできます。

CommonSecurityDescriptor

セキュリティ記述子をこのコマンドレットにパイプできます。

出力

None

既定では、このコマンドレットは出力を返しません。

FileSecurity

PassThru パラメーターを使用すると、このコマンドレットはセキュリティ オブジェクトを返します。 セキュリティ オブジェクトの種類は、項目の種類に応じて異なります。

メモ

このコマンドレットは、Windows プラットフォームでのみ使用できます。

Set-Acl コマンドレットは、PowerShell ファイル システムとレジストリ プロバイダーによってサポートされています。 そのため、そのコマンドレットを使用して、ファイル、ディレクトリ、およびレジストリ キーのセキュリティ記述子を変更できます。