我退出了 Windows 域,并使用 ForensIT 的 ProfWiz 将我的个人资料从域转换为本地。现在,一些应用程序的ProgramData文件夹出现“访问被拒绝”错误。这些文件夹有一个“继承”ACE,将完全控制权交给我的旧域帐户 SID,但父文件夹没有与该 SID 对应的 ACE,只有一个CREATOR OWNERACE,我猜这个 ACE 负责子 ACE。
如何将子 ACE 的 SID 更改为本地帐户的 SID,或者更一般地讲,如何更改不在父级中的“继承”ACE?我知道我可以为本地帐户添加一个新的 ACE,即不是我问的是什么。
答案1
如果文件夹不需要任何显式 ACE,只需要继承的 ACE,则可以icacls /reset在其上运行。程序将设置一个空的 ACL,这样做将重新计算继承的 ACL。
我不确定是否有任何工具允许直接编辑单个继承的 ACE。(据我所知,这在技术层面上是完全可能的,但大多数 ACL 编辑器只是故意不允许编辑带有继承标志的 ACE。)