基於事件觸發PowerShell重置文件權限

問題

最近，公司把文件服務器挪到了一個雲端服務商Nasuni上面。這個平臺的剛開始的使用反饋還可以，性能啊，自動備份等等都還不錯，不過最近兩週，出現了一個bug，當OSX用戶創建新文件夾的時候，他會時不時地自動創建新的權限，從而導致用戶無法訪問該文件夾的內容。

例如，一個新建的文件夾繼承的權限自動被篡改，還被自動添加了Special的限制

OSX系統和smb的兼容性估計是一個原因，這個平臺自己的設計估計也是一個問題。但是無論罪魁禍首是哪個，都不是一個短期內能解決的問題，所以豆子必須給出一個臨時解決的方案。

解決方案

和同事討論了一下，可以通過腳本來重置新建文件夾的權限。簡而言之，這個需要實時監控整個文件系統（或者某個文件夾），一旦下面創建了新的文件夾或者文件，就對這個文件或者文件夾的權限進行重置。

這個東西如何實現呢？我們可以考慮基於事件的PowerShell腳本。基於事件的腳本和傳統的基於過程的不太一樣，可以理解爲傳統的寫法，我們需要告訴系統做事情，而基於事件的方式則是事件發生了，他會觸發一個回調函數來執行某個行爲。

這個基於事件的方式主要涉及到3個概念Subscriptions（訂閱）, registrations（註冊）, 和 actions （行爲）。我們可以通過訂閱一個事件，當他發生的時候獲得通知，這個事件需要在指定的source identifier（源標識符）進行註冊，然後對於每一個事件，當他發生的時候，我們可以綁定一個行爲。

比如說，首先創建一個文件系統操作的對象

$fw=New-Object IO.FileSystemwatcher

注意觀察這個對象他有的事件，方法和屬性

我們可以手動地指定我們打算觀察的事件和屬性

比如

$fw.Filter='*'

或者一個更直接的方法是創建的時候就全部指定

$folder = 'c:\temp'  
$filter = '*.*'  
$fsw = New-Object IO.FileSystemWatcher $folder, $filter -Property @{IncludeSubdirectories = $true;NotifyFilter = [IO.NotifyFilters]'DirectoryName,FileName, LastWrite'} 

上面出現的屬性裏面，比較重要的是下面幾個：

• filter: 指定哪些類型的文件或者文件夾需要關注

• includesubdirectories: 是否遞歸地查詢所有的子文件夾

• notifyfilter: 指定哪些類型的屬性需要關注，包括以下內容

然後我們就可以註冊這個事件，並指定對應的行爲了

Register-ObjectEvent -inputObject  $fsw -EventName created -SourceIdentifier FileCreated -Action { 
    ...    
    } 

當我們註冊了一個事件之後，他會默認創建一個後臺的job，當這個job捕獲到第一個結果的時候，他就會執行對應的行爲了

測試腳本

下面是一個演示的腳本

# 指定目錄 
$folder = 'c:\temp'
# 通配符，表示所有的item都需要關注.
$filter = '*.*'   

#初始化對象，指定屬性，路徑等等
$fsw = New-Object IO.FileSystemWatcher $folder, $filter -Property @{IncludeSubdirectories = $true;NotifyFilter = [IO.NotifyFilters]'DirectoryName,FileName, LastWrite'} 

# 取消已經存在的註冊

Unregister-Event FileCreated 

# 註冊事件，綁定行爲
Register-ObjectEvent -inputObject  $fsw -EventName created -SourceIdentifier FileCreated -Action { 
        $Event | out-host
        $name = $Event.SourceEventArgs.Name 
        $folderpath = $Event.SourceEventArgs.FullPath
        $changeType = $Event.SourceEventArgs.ChangeType 
        $actionby = (get-item $folderpath).getaccesscontrol().Owner
        $timeStamp = $Event.TimeGenerated 

        Write-Host "The file '$folderpath' was $changeType at $timeStamp by $actionby" -fore green
        Write-Host "Resetting Permission" 
        icacls $folderpath.ToString() /reset /t
        Write-Host "Finish Resetting" 
        Out-File -FilePath c:\Utils\filechange-outlog.txt -Append -InputObject "The file '$folderpath' was $changeType at $timeStamp by $actionby"

} 

執行一下可以看見他創建了一個後臺的job，目前狀態是未執行，一旦他捕獲了第一個結果，狀態就會變成running

當我新建一個文件，他會檢測到，然後自動執行對應的腳本操作，如下所示

這個方法的缺點：
後臺job如果執行過久，有的時候會不起作用或者消耗過多內存？！這個時候可能就需要人爲地干預重啓一下程序了。