ICACLS "{PATH}" /DENY "{AD 组}:(D)"
我想拒绝 {AD Group} 删除父文件夹的能力,但仍有权删除子文件夹和文件。但是,当我在父文件夹上设置“拒绝删除”时,它会阻止 Traverse Folder 访问该文件夹。
我读到这是一个同步错误,但如果我设置(D,S),我可以遍历该文件夹,但我也可以删除它。
目前ACL_FILE_IST是该文件夹的唯一权限。
有谁见过解决方法吗?
ICACL 命令
- ICACLS “C:\TEMP\TestPermissions”/GRANT “ACL_FILE_IST:(OI)(CI)(M)”
- ICACLS “C:\TEMP\TestPermissions”/DENY “ACL_FILE_IST:(D)”
ICACLS 访问控制列表
测试权限
D:PAI(D;;0x110000;;;S-1-5-21-964777865-1556211951-2005962405-8309)(A;OICI;0x1301bf;;;S-1-5-21-964777865-1556211951-2005962405-8309)
答案1
对于其他找到这篇 6.5 年前的帖子的人来说,以下方法可以帮助我解决问题 -https://devblogs.microsoft.com/oldnewthing/20191118-00/?p=103110- 使用 OP 的原始命令,您可以使用 ICACLS "{PATH}" /DENY "{AD Group}:(D埃)”——只需添加 DE 而不是 D,正如文章指出的那样,它有一个错误或故障,它会删除同步和删除。很烦人,但很容易修复。
答案2
尝试并测试 > icacls“path”/deny ADgroup:(CI)D
答案3
我使用了第三方工具 SETACL 来修复此问题。它似乎有效。
SETACL -ON "{PATH}" -OT FILE -ACTN ACE -ACE "N:{AD_GROUP};P:DELETE;I:NP;M:DENY"