当我通过 icacls 应用程序从命令行添加/编辑用户/组的 NTFS 权限时,我会在列表中获得同一件事的多个 ACE 条目,而从 GUI 中每个 ACE(因为它们都是相同的)都被压缩在一个条目中。
我无法从官方文献中找到任何有价值的信息来了解为什么会发生这种情况。
有谁经历过这种或类似的情况并能对此事作出一些解释吗?
您可以在附图中清楚地看到情况,一个用户有多个条目,应该将它们压缩为一个。
答案1
访问控制列表 (ACL),即文件或文件夹的所有权限,都分为访问控制条目 (ACE)。
在您的情况下,权限Full Access to this folder, subfolders and files存储在 4 个 ACE 中,其中前三个 ACE 合计等于第四个 ACE。
我编写了一些 NTFS 工具进行权限管理,在Full Access授予权限时经常看到这种情况(直到 Server 2008 R2 / Windows 7)。权限实际上是以这种方式存储在 ACL 中的。自 Server 2012 / Vista 以来,行为发生了变化,我再也没有发现这种情况。
执行“icacls C:\”你总会发现(直到 Server 2008 R2):
BUILTIN\Administrators:(F)
BUILTIN\Administrators:(OI)(CI)(IO)(F)
... 也可以存储在一个 ACE 中
BUILTIN\Administrators:(OI)(CI)(F)
我还不知道它为什么会出现这样的行为,但这很常见。