PowerShellでNTFSのACLをいじる（備忘録レベル）

2014.2.13修正 ACLの適用範囲や継承は既存の設定を引き継ぐよう修正

仕事で下記スクリプトを作ったので記録として残しておく。
機能は、引数で与えたフォルダに対し、セキュリティグループ "domainname\groupprefix*" の「サブフォルダーとファイルの削除」権限を削除するというもの。
このスクリプトをベースに、色々と応用が効くはず。

$Path = $args[0]
$acl = Get-Acl $Path
$groupAccess = $acl.access | where {$_.IdentityReference -like "domainname\groupprefix*"}
if ($groupAccess){
    $Access = $groupAccess.IdentityReference

    "Modifying Permissions For $Access"
    $Permission = $groupAccess.FileSystemRights
    "Before: $Permission"
    $Permission = ($Permission -replace "DeleteSubdirectoriesAndFiles(, )*","") -replace ", $", ""
    "After: $Permission"
    $inherit = $groupAccess.InheritanceFlags
    $propagation = $groupAccess.PropagationFlags
    $AccessRule = New-Object system.security.AccessControl.FileSystemAccessRule($Access, $Permission, $inherit, $propagation, "Allow")

    $AccessModification = New-Object system.security.AccessControl.AccessControlModification
    $AccessModification.value__ = 2
    $Modification = $False
    $acl.ModifyAccessRule($AccessModification, $AccessRule, [ref]$Modification) | out-null
}
Set-Acl -aclobject $acl -Path $Path

Read More

WindowsのDNSサーバのAレコードの消失等を監視するPowerShellスクリプト

このエントリは、ほぼ自分用です。
設定ファイルの仕様など、かなり手抜きなので、コピペでの利用はおすすめしません。

WindowsのDNSサーバに静的に登録したAレコードが、なぜか動的レコードに突然変わったり、気がついたら消えているという現象に悩まされた（NETLOGONサービスが悪さをしている模様？）。
原因は追究できていないのだが、とりあえずレコードの状態を監視しようということでPowerShellスクリプトを書いた。

Read More

PowerShellでExchange Serverのユーザメールボックスのサイズを調べる

Exchange Serverのメールボックスのサイズを調べるには、Exchange管理シェルのGet-MailboxStatistics の TotalItemSize プロパティを使う。
こいつを使う機会があったのだが、なんか動きがおかしかったのでその記録と、備忘のためのメモとしてこのエントリをポストしておく。

まずは基本編

特定のユーザのメールボックスサイズを調べるとしよう。
Get-MailboxStatisticsには引数-Identityがあるので、これにユーザのDNを与えれば結果が得られそうだが、私の手元の環境ではなんだかよくわからないがエラーになってしまった。
Exchangeの環境をいくつも持ってるわけではないので、この環境固有の問題なのか、引数の与え方が悪いのか、世間的に常識なのかは分からなかった。
引数-Serverを指定するとどうにかうまく動いたので、サーバ上の全ユーザの情報を取り出してから、where-objectで任意のユーザの情報を抽出することとした。
Get-MailboxStatistics | Get-Member をするとMailBoxGuidってのがいたので、Get-Mailboxで目的のユーザのメールボックスのGUIDを調べて突き合わせれば目的は達成できそう。

$allstats = Get-MailboxStatistics -Server <servername>
$name = Get-Mailbox -Filter { <filterstring> }
$allstats | `
 Where-Object { $_.MailBoxGuid -eq $name.ExchangeGuid } | `
 fl TotalItemSize

という感じ。

応用編

filterstringで複数のユーザを引っ掛けた場合は、foreachでぐるぐるまわしてあげたらいい。

$allstats = Get-MailboxStatistics -Server <servername>
$names = Get-Mailbox -Filter { <filterstring> }
foreach($name in $names) {
 $name.SamAccountName
 $allstats | `
 Where-Object { $_.MailBoxGuid -eq $name.ExchangeGuid } |`
  fl TotalItemSize
}

Get-Mailboxのフィルタ条件は腐っていてイマイチ使い物にならないので、実際の利用シーンでは、さらにGet-ADUserなどと組み合わせる必要があると思われる。
ちなみに今回はcustomAttributeN(Nは1～15)でのユーザ抽出が目的だったので、上のコードで事足りてしまった。

Read More

Win2k8R2: WMIを使ってNICのアダプタ名から接続名を調べたりIPアドレスを変更したり。

Windowsの接続名("ローカル エリア接続"とか)はいい加減！

サーバにはNIC(Network Interface Card)が複数付いているのが当たり前である。
WindowsのNICには、通常 "ローカル エリア接続"、"ローカル エリア接続 2"…という具合に自動的に連番の接続名(NetConnectionID)が付けられるが、この名前付けはどうもランダムに行われているようで、まったく同じ構成のサーバでも、違う名前が付いたりすることがよくある。
一方、NICのデバイス名(デバイス マネージャーやコントロールパネルで見えるやつ)はブレることがまずない。
例えば最近のHPのサーバで、NICがNC382iの場合、デバイス名は1番ポートから順に

• HP NC382i DP Multifunction Gigabit Server Adapter
• HP NC382i DP Multifunction Gigabit Server Adapter #2
• HP NC382i DP Multifunction Gigabit Server Adapter #3
• …

という具合に名前が付いており、同一構成のサーバを同じようにキッティングすれば、同じ名前が付く（上はあくまで例で、必ず#2,#3…となるわけではない。悪しからず）。
どのNICがどの接続名になっているのかを知るにはコントロールパネルを見ればいい。デバイス名と接続名が両方表示される。

Figure.1 コンパネで接続名とデバイス名を見る

※上の実行例は、私の自宅リビングのWindows7 PCでの結果。Windows Server 2008での実行結果でなくて申し訳ない。

しかし、同じ構成のサーバを何十台、何百台と構築する場合、いちいち目視で確認などしていられない。
（実際には本番環境のサーバはチーミングを組む事が多いが、ここでは横においておく）。

Read More