在 Windows 2008 文件服务器上,我有一个很大的文件夹,其中一些子文件夹不从父对象继承 ACL。我想向整个文件夹添加单个权限条目(本地管理员组的完全控制),并将此条目传播到不从上面继承 ACL 的文件夹。所有现有权限条目应保持原样。默认情况下,如果我仅在根文件夹中添加单个权限条目,则不继承 ACL 的子文件夹将不会继承新条目。如果我打开“用可从此对象继承的权限替换所有子对象权限”,这将重置不继承 ACL 的文件夹上的所有现有 ACL 条目。有什么方法可以解决我的问题吗?
答案1
在 GUI 中这是不可能的,但应该可以icacls
,请参阅命令行参考。
在那里,你可以看到/grant
它的工作原理:
授予指定用户的访问权限。权限将取代先前授予的明确权限。
如果没有
:r
,权限将被添加到任何先前授予的明确权限中。
由于 switch/t
以递归方式执行命令,因此将它们组合起来应该可以达到目的。
所以我建议类似的东西icacls "X:\PATH\TO\FOLDER\" /grant DOMAIN\group:(f) /t
,但请参阅文档是否符合您的目标(并且一如既往地首先在测试目录上尝试它)。
答案2
你可以使用设置ACL如果您对 PowerShell 不熟悉(正如 BigHomie 和 HopelessN00b 所建议的那样)。
您应该阅读完整的文档并在虚拟位置测试您的命令,但您使用的语法将类似于:
setacl -on <PATH> -ot file -actn ace -ace "n:Administrators;p:full;i:so,sc;m:grant;w:dacl" -rec cont_obj -ignoreerr