基于事件觸發PowerShell重置檔案權限

問題

最近，公司把檔案伺服器挪到了一個雲端服務商Nasuni上面。這個平台的剛開始的使用回報還可以，性能啊，自動備份等等都還不錯，不過最近兩周，出現了一個bug，當OSX使用者建立新檔案夾的時候，他會時不時地自動建立新的權限，進而導緻使用者無法通路該檔案夾的内容。

例如，一個建立的檔案夾繼承的權限自動被篡改，還被自動添加了Special的限制

OSX系統和smb的相容性估計是一個原因，這個平台自己的設計估計也是一個問題。但是無論罪魁禍首是哪個，都不是一個短期内能解決的問題，是以豆子必須給出一個臨時解決的方案。

解決方案

和同僚讨論了一下，可以通過腳本來重置建立檔案夾的權限。簡而言之，這個需要實時監控整個檔案系統（或者某個檔案夾），一旦下面建立了新的檔案夾或者檔案，就對這個檔案或者檔案夾的權限進行重置。

這個東西如何實作呢？我們可以考慮基于事件的PowerShell腳本。基于事件的腳本和傳統的基于過程的不太一樣，可以了解為傳統的寫法，我們需要告訴系統做事情，而基于事件的方式則是事件發生了，他會觸發一個回調函數來執行某個行為。

這個基于事件的方式主要涉及到3個概念Subscriptions（訂閱）, registrations（注冊）, 和 actions （行為）。我們可以通過訂閱一個事件，當他發生的時候獲得通知，這個事件需要在指定的source identifier（源辨別符）進行注冊，然後對于每一個事件，當他發生的時候，我們可以綁定一個行為。

比如說，首先建立一個檔案系統操作的對象

$fw=New-Object IO.FileSystemwatcher

注意觀察這個對象他有的事件，方法和屬性

我們可以手動地指定我們打算觀察的事件和屬性

比如

$fw.Filter='*'

或者一個更直接的方法是建立的時候就全部指定

$folder = 'c:\temp'  
$filter = '*.*'  
$fsw = New-Object IO.FileSystemWatcher $folder, $filter -Property @{IncludeSubdirectories = $true;NotifyFilter = [IO.NotifyFilters]'DirectoryName,FileName, LastWrite'}            

上面出現的屬性裡面，比較重要的是下面幾個：

• filter: 指定哪些類型的檔案或者檔案夾需要關注
• includesubdirectories: 是否遞歸地查詢所有的子檔案夾
• notifyfilter: 指定哪些類型的屬性需要關注，包括以下内容

然後我們就可以注冊這個事件，并指定對應的行為了

Register-ObjectEvent -inputObject  $fsw -EventName created -SourceIdentifier FileCreated -Action { 
    ...    
    }            

當我們注冊了一個事件之後，他會預設建立一個背景的job，當這個job捕獲到第一個結果的時候，他就會執行對應的行為了

測試腳本

下面是一個示範的腳本

# 指定目錄 
$folder = 'c:\temp'
# 通配符，表示所有的item都需要關注.
$filter = '*.*'   

#初始化對象，指定屬性，路徑等等
$fsw = New-Object IO.FileSystemWatcher $folder, $filter -Property @{IncludeSubdirectories = $true;NotifyFilter = [IO.NotifyFilters]'DirectoryName,FileName, LastWrite'} 

# 取消已經存在的注冊

Unregister-Event FileCreated 

# 注冊事件，綁定行為
Register-ObjectEvent -inputObject  $fsw -EventName created -SourceIdentifier FileCreated -Action { 
        $Event | out-host
        $name = $Event.SourceEventArgs.Name 
        $folderpath = $Event.SourceEventArgs.FullPath
        $changeType = $Event.SourceEventArgs.ChangeType 
        $actionby = (get-item $folderpath).getaccesscontrol().Owner
        $timeStamp = $Event.TimeGenerated 

        Write-Host "The file '$folderpath' was $changeType at $timeStamp by $actionby" -fore green
        Write-Host "Resetting Permission" 
        icacls $folderpath.ToString() /reset /t
        Write-Host "Finish Resetting" 
        Out-File -FilePath c:\Utils\filechange-outlog.txt -Append -InputObject "The file '$folderpath' was $changeType at $timeStamp by $actionby"

}            

執行一下可以看見他建立了一個背景的job，目前狀态是未執行，一旦他捕獲了第一個結果，狀态就會變成running