共用方式為


Get-Acl

取得資源的安全性描述元,例如檔案或登錄機碼。

語法

Get-Acl
   [[-Path] <String[]>]
   [-Audit]
   [-AllCentralAccessPolicies]
   [-Filter <String>]
   [-Include <String[]>]
   [-Exclude <String[]>]
   [-UseTransaction]
   [<CommonParameters>]
Get-Acl
   -InputObject <PSObject>
   [-Audit]
   [-AllCentralAccessPolicies]
   [-Filter <String>]
   [-Include <String[]>]
   [-Exclude <String[]>]
   [-UseTransaction]
   [<CommonParameters>]
Get-Acl
   [-LiteralPath <String[]>]
   [-Audit]
   [-AllCentralAccessPolicies]
   [-Filter <String>]
   [-Include <String[]>]
   [-Exclude <String[]>]
   [-UseTransaction]
   [<CommonParameters>]

Description

Cmdlet Get-Acl 會取得對象,這些物件代表檔案或資源的安全性描述項。 安全性描述項包含資源的訪問控制清單(ACL)。 ACL 會指定使用者和使用者群組必須存取資源的許可權。

從 Windows PowerShell 3.0 開始,您可以使用Get-Acl InputObject 參數來取得沒有路徑之物件的安全性描述元。

範例

範例 1- 取得資料夾的 ACL

這個範例會取得目錄的安全性描述元 C:\Windows

Get-Acl C:\Windows

範例 2 - 使用通配符取得資料夾的 ACL

此範例會取得目錄中所有.logC:\Windows名稱開頭s為 的檔案的 PowerShell 路徑和 SDDL。

Get-Acl C:\Windows\s*.log | Format-List -Property PSPath, Sddl

命令會 Get-Acl 使用 Cmdlet 來取得代表每個記錄檔之安全性描述項的物件。 它會使用管線運算符 (|) 將結果傳送至 Format-List Cmdlet。 命令會使用 Format-List Property 參數,只顯示每個安全性描述元物件的 PsPathSDDL 屬性。

清單通常用於PowerShell,因為資料表中會出現長值。

SDDL 值對於系統管理員而言相當重要,因為它們是包含安全性描述元中所有資訊的簡單文字字串。 因此,它們很容易通過和儲存,而且在需要時可以剖析。

範例 3 - 取得 ACL 的稽核項目計數

這個範例會取得目錄中名稱開頭s為 之檔案C:\Windows的安全性描述項.log

Get-Acl C:\Windows\s*.log -Audit | ForEach-Object { $_.Audit.Count }

它會使用 Audit 參數,從安全性描述元中的 SACL 取得稽核記錄。 然後它會使用 ForEach-Object Cmdlet 來計算與每個檔案相關聯的稽核記錄數目。 結果是數字清單,代表每個記錄檔的稽核記錄數目。

範例 4 - 取得登錄機碼的 ACL

這個範例會 Get-Acl 使用 Cmdlet 取得登錄之 Control 子機碼 (HKLM:\SYSTEM\CurrentControlSet\Control) 的安全性描述項。

Get-Acl -Path HKLM:\System\CurrentControlSet\Control | Format-List

Path 參數會指定 Control 子機碼。 管線運算子 (|) 會將取得的安全性描述元 Get-Acl 傳遞至 Format-List 命令,以將安全性描述元的屬性格式化為清單,使其易於讀取。

範例 5 - 使用 **InputObject** 取得 ACL

這個範例會使用Get-Acl InputObject 參數來取得儲存子系統對象的安全性描述元。

Get-Acl -InputObject (Get-StorageSubSystem -Name S087)

參數

-AllCentralAccessPolicies

取得計算機上啟用之所有中央存取原則的相關信息。

從 Windows Server 2012 開始,系統管理員可以使用 Active Directory 和組策略來設定使用者和群組的集中存取原則。 如需詳細資訊,請參閱動態 存取控制:案例概觀

此參數是在 Windows PowerShell 3.0 中引進的。

類型:SwitchParameter
Position:Named
預設值:False
必要:False
接受管線輸入:False
接受萬用字元:False

-Audit

從系統訪問控制清單取得安全性描述項的稽核數據(SACL)。

類型:SwitchParameter
Position:Named
預設值:None
必要:False
接受管線輸入:False
接受萬用字元:False

-Exclude

省略指定的專案。 此參數的值會 限定Path 參數。 輸入路徑專案或模式,例如 *.txt。 允許通配符。

類型:String[]
Position:Named
預設值:None
必要:False
接受管線輸入:False
接受萬用字元:True

-Filter

以提供者的格式或語言指定篩選。 此參數的值會 限定Path 參數。 篩選的語法,包括使用通配符,取決於提供者。 篩選比其他參數更有效率,因為提供者在取得物件時會套用它們,而不是讓 PowerShell 在擷取對象之後篩選物件。

類型:String
Position:Named
預設值:None
必要:False
接受管線輸入:False
接受萬用字元:True

-Include

只取得指定的專案。 此參數的值會 限定Path 參數。 輸入路徑專案或模式,例如 *.txt。 允許通配符。

類型:String[]
Position:Named
預設值:None
必要:False
接受管線輸入:False
接受萬用字元:True

-InputObject

取得指定之物件的安全性描述項。 輸入包含 物件的變數,或取得物件的命令。

您無法使用管線將路徑以外的物件傳送至 Get-Acl請改用命令中的 InputObject 參數。

此參數是在 Windows PowerShell 3.0 中引進的。

類型:PSObject
Position:Named
預設值:None
必要:True
接受管線輸入:False
接受萬用字元:False

-LiteralPath

指定資源的路徑。 不同於Path,LiteralPath 參數的值會與輸入時完全相同。 不會將任何字元解譯為通配符。 如果路徑包含逸出字元,請以單引弧括住它。 單引號會告知PowerShell不要將任何字元解譯為逸出序列。

此參數是在 Windows PowerShell 3.0 中引進的。

類型:String[]
別名:PSPath
Position:Named
預設值:None
必要:False
接受管線輸入:True
接受萬用字元:False

-Path

指定資源的路徑。 Get-Acl 會取得路徑所指示之資源的安全性描述元。 允許通配符。 如果您省略 Path 參數, Get-Acl 請取得目前目錄的安全性描述元。

參數名稱 (“Path”) 是選擇性的。

類型:String[]
Position:1
預設值:None
必要:False
接受管線輸入:True
接受萬用字元:True

-UseTransaction

在作用中交易中包含 命令。 只有在交易進行中時,此參數才有效。 如需詳細資訊,請參閱 about_Transactions

類型:SwitchParameter
別名:usetx
Position:Named
預設值:False
必要:False
接受管線輸入:False
接受萬用字元:False

輸入

String

您可以使用管線傳送包含此 Cmdlet 路徑的字串。

輸出

FileSecurity

DirectorySecurity

RegistrySecurity

這個 Cmdlet 會傳回物件,代表其取得的 ACL。 物件類型取決於 ACL 類型。

備註

根據預設, Get-Acl 會顯示資源的PowerShell路徑(<provider>::<resource-path>)、資源的擁有者,以及資源自由裁量訪問控制清單 (DACL) 中存取控制專案的清單(陣列)。 DACL 清單是由資源擁有者所控制。

當您將結果格式化為清單時Get-Acl | Format-List,除了路徑、擁有者和存取清單之外,PowerShell 也會顯示下列屬性和屬性值:

  • 群組:擁有者的安全組。
  • 核:系統存取控制清單 (SACL) 中項目的清單(陣列)。 SACL 會指定 Windows 產生稽核記錄的存取嘗試類型。
  • Sddl:以安全描述元定義語言格式的單一文字字串顯示之資源的安全性描述元。 PowerShell 會使用 安全性描述元的 GetSddlForm 方法來取得此數據。

因為 Get-Acl 檔案系統和登錄提供者支援,您可以使用 Get-Acl 來檢視檔案系統物件的 ACL,例如檔案和目錄,以及登錄物件,例如登錄機碼和專案。