Установка Запретить разрешения с ICACLS на "Эта папка"

Question

Установка Запретить разрешения с ICACLS на "Эта папка"

ICACLS "{PATH}" /DENY "{AD Group}:(D)"

Я хочу запретить {AD Group} удалять родительскую папку, но у меня все еще есть права на удаление дочерней папки и файлов. Однако, когда я устанавливаю DENY Delete на родительском объекте, он запрещает доступ к этой папке.

Я прочитал, что это ошибка синхронизации, но если я установил (D, S), я могу пройти по папке, но я также могу удалить ее.

В настоящее время ACL_FILE_IST является единственным разрешением для папки.

Кто-нибудь видел обходной путь?

ICACL КОМАНДЫ

ICACLS "C: \ TEMP \ TestPermissions" / GRANT "ACL_FILE_IST: (OI) (CI) (M)"
ICACLS "C: \ TEMP \ TestPermissions" / DENY "ACL_FILE_IST: (D)"

ICACLS ACL

testpermissions

D: ИАП (Д;;0x110000;;;S-1-5-21-964777865-1556211951-2005962405-8309)(А;OICI;0x1301bf;;;S-1-5-21-964777865-1556211951-2005962405-8309)

1

windows permissions ntfs icacls

Источник

Ganske 14 апр '14 в 20:47

2 ответа

Другие вопросы по тегам windows permissions ntfs icacls

22 окт '20 в 22:50 2020-10-22 22:50 · Answer 1 · 2020-10-22 22:50

Для всех, кто найдет этот пост 6,5-летней давности, это то, что исправило для меня - https://devblogs.microsoft.com/oldnewthing/20191118-00/?p=103110 - используя исходную команду OP, вы должны использовать ICACLS " {PATH} "/ DENY" {AD Group}:(DE) "- просто добавьте DE вместо D, который, как указано в статье, содержит ошибку или сбой, в котором удаляются синхронизация и удаление. Раздражает, но это легко исправить.

Ganske 15 апр '14 в 21:28 2014-04-15 21:28 · Answer 2 · 2014-04-15 21:28

Я использовал сторонний инструмент SETACL, чтобы исправить проблему. Похоже, работает.

SETACL -ON "{PATH}" -OT FILE -ACTN ACE -ACE "N:{AD_GROUP};P:DELETE;I:NP;M:DENY"

0

Источник

Ganske 15 апр '14 в 21:28

Ben Lavender 14 апр '14 в 20:52 2014-04-14 20:52 · Answer 3 · 2014-04-14 20:52

Попробуй и протестируй> icacls "путь" / запрети ADgroup:(CI)D

0

Источник

Ben Lavender 14 апр '14 в 20:52