带有 /grant:r 的 Icacls 将用指定的新权限替换任何先前授予的显式权限。但是 /deny 没有 :r 开关。因此,如果想要用显式 DENY 完全替换现有 ACL,他应该首先删除现有 SID 的单个出现,然后应用显式 DENY。
有没有办法直接用 DENY ACL 条目覆盖现有的 ACL?
答案1
这可能是设计使然,因为拒绝会覆盖授权。但是,您可以将拒绝和删除作为单独的步骤
icacls yourdirectory /deny user:r (or whatever)
icacls yourdirectory /remove:g user