Удалить разрешение на файл, используя icacls
Может ли кто-нибудь помочь мне удалить определенные группы безопасности из файла с помощью icacls?
В файле есть все параметры безопасности, унаследованные от папки, в которой находится файл. Поэтому я хотел бы удалить все группы из списка ACL файла, а затем назначить разные группы.
Как мне этого добиться?
1 ответ
Во-первых, вам нужно удалить наследование объекта, что вы можете сделать, выполнив: icacls file.txt /inheritance:d (где file.txt это файл, который вы хотите изменить).
Это удалит наследование, но скопирует унаследованные списки ACL в file.txt, Если вы уверены, что вам не нужны какие-либо из ACL, которые наследуются, вы можете просто использовать: icacls file.txt /inheritance:r, но будьте осторожны, вы случайно не удаляете свои собственные разрешения при этом.
Затем вы можете удалить пользователя или группу из ACL на объекте, используя: icacls file.txt /remove:g NTDOMAIN\sAMAccountNameили вы можете указать пользователя / группу, используя UPN (например, bob.smith@activedirectory.example.com).
Когда вы добавляете пользователей / группы в ACL, вам нужно подумать о том, какие разрешения вы хотите иметь. Если full controlэто представлено F, Если modifyэто представлено M, Read and Execute по буквам RX,
Команда для добавления пользователя / группы в ACL: icacls file.txt /grant NTDOMAIN\sAMAccountName:(M) - что дало бы modify разрешений (M) на какую учетную запись / группу мы указываем.
Возможно, вы захотите добавить явных пользователей / группы в ACL-списки перед удалением наследования для файла, а не "удалять все группы из списка ACL-файла, а затем назначать разные группы", поскольку это может привести к удалению вас из ACL-списка. и запираю тебя из этого.