セキュリティグループが他のフォルダ/ファイルに適用されないようにしようとしています

Question

$ADNameROと$ADNameRW（以下で作成したものです）はその下のフォルダには適用されませんが、権限は継承されます。

...それが唯一のフォルダとファイルに適用されるように、私はそれがに追加されていること、これらの二つの文字列の伝搬フラグを変更しようとしたが、それはまだのは、サブファイルおよびフォルダに追加されます

私はこれらの文字列の両方のためにInheritanceFlagsをObjectに変更する必要があるかもしれないと思ったが、手動で（Windows GUIを介して）変更したときに正しく動作していないようだ...

感謝する。 「このフォルダのみ」用と「ファイルのみ」のための1：継承せずにフォルダやファイルへのアクセス権限を設定する

function New-Ace { 
    [CmdletBinding()] 
    Param(
    [Parameter(Mandatory=$true, Position=0)] 
    [Security.Principal.NTAccount]$Account, 
    [Parameter(Mandatory=$false, Position=1)] 
    [Security.AccessControl.FileSystemRights]$Permissions = 'ReadAndExecute', 
    [Parameter(Mandatory=$false, Position=2)] 
    [Security.AccessControl.InheritanceFlags]$InheritanceFlags = 'ContainerInherit,ObjectInherit', 
    [Parameter(Mandatory=$false, Position=3)] 
    [Security.AccessControl.PropagationFlags]$PropagationFlags = 'None', 
    [Parameter(Mandatory=$false, Position=4)] 
    [Security.AccessControl.AccessControlType]$Type = 'Allow' 
) 

    New-Object Security.AccessControl.FileSystemAccessRule(
    $Account, $Permissions, $InheritanceFlags, $PropagationFlags, $Type 
) 
} 

$domain = 'ESG.INTL' 
$administrators = ([wmi]"Win32_Sid.Sid='S-1-5-32-544'").AccountName 
$ADDomainUsers = "$domain\Domain Users" 

$acl = Get-Acl $path 

$administrators, "$domain\Domain Admins" | ForEach-Object { 
    $acl.AddAccessRule((New-Ace $_ 'FullControl')) 
} 
$acl.AddAccessRule((New-Ace $ADNameRW 'Modify')) 
$acl.AddAccessRule((New-Ace $ADNameRO 'ReadAndExecute')) 
$acl.AddAccessRule((New-Ace $ADDomainUsers 'ReadAndExecute')) 

Answer 1

は、2つのACEが必要です。 InheritOnlyからObjectInheritと伝播フラグにかつてのセットの場合、両方の継承と伝播フラグNoneに、後者のセットの継承フラグのために：

$acl.AddAccessRule((New-Ace $ADNameRW 'Modify' 'None')) 
$acl.AddAccessRule((New-Ace $ADNameRW 'Modify' 'ObjectInherit' 'InheritOnly')) 
$acl.AddAccessRule((New-Ace $ADNameRO 'ReadAndExecute' 'None')) 
$acl.AddAccessRule((New-Ace $ADNameRO 'ReadAndExecute' 'ObjectInherit' 'InheritOnly'))