我一直在尝试仅允许 Active Directory 上定义的成员访问用于 IIS 服务器的文件夹。有太多帐户无法逐一拒绝,只留下一两个用户访问子目录。我无法绕过该builtin\users组。如果我删除或拒绝它,则没有人可以再访问该文件夹。几天来,我尝试了 ICACLS 和 GUI,结果“差点成功”。
答案1
我无法超越builtin\users组。如果我删除或拒绝它,则没有人可以再访问该文件夹。
当然。删除它并添加应该有访问权限的用户或组。
不要(在大多数情况下)使用拒绝权限。
答案2
删除builtin\users后添加用户或组未授予权限。寻找解决方案的最大挑战是“成功”的响应具有误导性。必须再次使用文件夹的GUI高级安全属性进行验证。
让这个文件夹内的文件最终正常工作的唯一方法是按顺序运行以下命令:
ICACLS .(点-斜杠-文件夹名称-斜杠)* /T /Q /C /RESET
icacls .(点-斜杠-文件夹名称-斜杠) /inheritance:e
ICACLS .(点-斜杠-文件夹名称-斜杠)* /T /Q /C /RESET
icacls .(点斜杠文件夹名称) /grant:r (域斜杠用户名):R
icacls .(点-斜杠-文件夹名称-斜杠)* /grant:r (域-斜杠-用户名):R
icacls .(点斜杠文件夹名称) /inheritance:d
icacls .(点斜杠文件夹名称) /remove "builtin\users"
*答案不允许使用实际的斜线等字符,我已将角色名称留给下一个人关注。
我有 200 家商店和 300 名用户,他们的访问需求和权限组合各异,因此使用电子表格来创建脚本来完成。
希望这能在未来帮助到其他人。