基于事件触发PowerShell重置文件权限

阿里狼

问题
　　最近，公司把文件服务器挪到了一个云端服务商Nasuni上面。这个平台的刚开始的使用反馈还可以，性能啊，自动备份等等都还不错，不过最近两周，出现了一个bug，当OSX用户创建新文件夹的时候，他会时不时地自动创建新的权限，从而导致用户无法访问该文件夹的内容。
　　例如，一个新建的文件夹继承的权限自动被篡改，还被自动添加了Special的限制

　　OSX系统和smb的兼容性估计是一个原因，这个平台自己的设计估计也是一个问题。但是无论罪魁祸首是哪个，都不是一个短期内能解决的问题，所以豆子必须给出一个临时解决的方案。

解决方案
　　和同事讨论了一下，可以通过脚本来重置新建文件夹的权限。简而言之，这个需要实时监控整个文件系统（或者某个文件夹），一旦下面创建了新的文件夹或者文件，就对这个文件或者文件夹的权限进行重置。
　　这个东西如何实现呢？我们可以考虑基于事件的PowerShell脚本。基于事件的脚本和传统的基于过程的不太一样，可以理解为传统的写法，我们需要告诉系统做事情，而基于事件的方式则是事件发生了，他会触发一个回调函数来执行某个行为。

　　这个基于事件的方式主要涉及到3个概念Subscriptions（订阅）, registrations（注册）, 和 actions （行为）。我们可以通过订阅一个事件，当他发生的时候获得通知，这个事件需要在指定的source>　　比如说，首先创建一个文件系统操作的对象
　　$fw=New-Object IO.FileSystemwatcher
　　注意观察这个对象他有的事件，方法和属性

　　我们可以手动地指定我们打算观察的事件和属性
　　比如
　　$fw.Filter='*'
　　或者一个更直接的方法是创建的时候就全部指定
　　

$folder = 'c:\temp'　　
$filter = '*.*'
　　
$fsw = New-Object IO.FileSystemWatcher $folder, $filter -Property @{IncludeSubdirectories = $true;NotifyFilter = [IO.NotifyFilters]'DirectoryName,FileName, LastWrite'}
　　

　　上面出现的属性里面，比较重要的是下面几个：

• 　　filter: 指定哪些类型的文件或者文件夹需要关注
  
  
• 　　includesubdirectories: 是否递归地查询所有的子文件夹
  
  
• notifyfilter: 指定哪些类型的属性需要关注，包括以下内容
  

　　然后我们就可以注册这个事件，并指定对应的行为了
　　

Register-ObjectEvent -inputObject  $fsw -EventName created -SourceIdentifier FileCreated -Action {　　...
　　}
　　

　　当我们注册了一个事件之后，他会默认创建一个后台的job，当这个job捕获到第一个结果的时候，他就会执行对应的行为了

测试脚本
　　下面是一个演示的脚本
　　

# 指定目录　　
$folder = 'c:\temp'
　　
# 通配符，表示所有的item都需要关注.
　　
$filter = '*.*'
　　

　　
#初始化对象，指定属性，路径等等
　　
$fsw = New-Object IO.FileSystemWatcher $folder, $filter -Property @{IncludeSubdirectories = $true;NotifyFilter = [IO.NotifyFilters]'DirectoryName,FileName, LastWrite'}
　　

　　
# 取消已经存在的注册
　　

　　
Unregister-Event FileCreated
　　

　　
# 注册事件，绑定行为
　　
Register-ObjectEvent -inputObject  $fsw -EventName created -SourceIdentifier FileCreated -Action {
　　$Event | out-host
　　$name = $Event.SourceEventArgs.Name
　　$folderpath = $Event.SourceEventArgs.FullPath
　　$changeType = $Event.SourceEventArgs.ChangeType
　　$actionby = (get-item $folderpath).getaccesscontrol().Owner
　　$timeStamp = $Event.TimeGenerated
　　

　　Write-Host "The file '$folderpath' was $changeType at $timeStamp by $actionby" -fore green
　　Write-Host "Resetting Permission"
　　icacls $folderpath.ToString() /reset /t
　　Write-Host "Finish Resetting"
　　Out-File -FilePath c:\Utils\filechange-outlog.txt -Append -InputObject "The file '$folderpath' was $changeType at $timeStamp by $actionby"
　　

　　
}
　　

　　执行一下可以看见他创建了一个后台的job，目前状态是未执行，一旦他捕获了第一个结果，状态就会变成running

　　当我新建一个文件，他会检测到，然后自动执行对应的脚本操作，如下所示

　　这个方法的缺点：
　　后台job如果执行过久，有的时候会不起作用或者消耗过多内存？！这个时候可能就需要人为地干预重启一下程序了。