使用 ICACLS 对“此文件夹”设置拒绝权限

使用 ICACLS 对“此文件夹”设置拒绝权限

ICACLS "{PATH}" /DENY "{AD 组}:(D)"

我想拒绝 {AD Group} 删除父文件夹的能力,但仍有权删除子文件夹和文件。但是,当我在父文件夹上设置“拒绝删除”时,它会阻止 Traverse Folder 访问该文件夹。

我读到这是一个同步错误,但如果我设置(D,S),我可以遍历该文件夹,但我也可以删除它。

目前ACL_FILE_IST是该文件夹的唯一权限。

有谁见过解决方法吗?

ICACL 命令

  • ICACLS “C:\TEMP\TestPermissions”/GRANT “ACL_FILE_IST:(OI)(CI)(M)”
  • ICACLS “C:\TEMP\TestPermissions”/DENY “ACL_FILE_IST:(D)”

ICACLS 访问控制列表

测试权限

D:PAI(D;;0x110000;;;S-1-5-21-964777865-1556211951-2005962405-8309)(A;OICI;0x1301bf;;;S-1-5-21-964777865-1556211951-2005962405-8309)

答案1

对于其他找到这篇 6.5 年前的帖子的人来说,以下方法可以帮助我解决问题 -https://devblogs.microsoft.com/oldnewthing/20191118-00/?p=103110- 使用 OP 的原始命令,您可以使用 ICACLS "{PATH}" /DENY "{AD Group}:(D)”——只需添加 DE 而不是 D,正如文章指出的那样,它有一个错误或故障,它会删除同步和删除。很烦人,但很容易修复。

答案2

尝试并测试 > icacls“path”/deny ADgroup:(CI)D

答案3

我使用了第三方工具 SETACL 来修复此问题。它似乎有效。

SETACL -ON "{PATH}" -OT FILE -ACTN ACE -ACE "N:{AD_GROUP};P:DELETE;I:NP;M:DENY"

相关内容