icacls: перезаписать существующий ACL с помощью DENY ACE
Icacls с /grant:r заменит любые ранее предоставленные явные разрешения новыми указанными. Но нет: r переключателя для / отрицать. Поэтому, если кто-то хочет полностью заменить существующий ACL с явным DENY, он должен сначала удалить единичные вхождения существующих SID, а затем применить явный DENY.
Есть ли способ прямой перезаписи существующего списка ACL с помощью записи DENY ACL?
1 ответ
Решение
Вероятно, это сделано из-за того, что запрещает отменять гранты. Тем не менее, вы можете отказать и удалить как отдельные шаги
icacls yourdirectory /deny user:r (or whatever)
icacls yourdirectory /remove:g user