Удалить SID с ICACLS
Я пытаюсь удалить устаревший SID (очевидно, учетная запись была удалена).
Я попытался запустить следующее на сервере (win2003) и клиенте (win7):
icacls c:\path /remove *S-1-5-21-1883347182-1220252494-433279356-1095 /T
Но я всегда получаю вывод
Successfully processed 0 files; Failed processing 0 files
без этого ничего не делая. Как я могу заставить его работать?
Обновить:
Я использовал AccessEnum для получения SID, потому что icacls говорит только: "Не было сопоставления между именами учетных записей и идентификаторами безопасности". но не показывает Сид.
Выход из AccessEnum:
"Path" "Read" "Write" "Deny"
"c:\path" "Administrators, S-1-5-21-1883347182-1220252494-433279356-1095, ..." "Administrators, S-1-5-21-1883347182-1220252494-433279356-1095, ..." ""
4 ответа
Мое предложение к другому подобному вопросу
"возможно, вы ищете SUBINACL. Загрузите его здесь
subinacl.exe /help /cleandeletedsidsfrom предоставляет следующее:
/ Cleandeletedsidsfrom= домен [= DACL | SACL | владелец |primarygroup| все]
удалить все записи ACE, содержащие удаленные (не действительные) Sids из DomainName. Вы можете указать, какая часть дескриптора безопасности будет сканироваться (по умолчанию = все). Если владелец удален, новым владельцем будет группа "Администраторы". Если основная группа удалена, новой основной группой будет группа "Пользователи". Похоже, вы можете использовать это с /file или /share или / подкаталогами по мере необходимости
Я нашел самый портативный и на самом деле самый простой способ использования /save а также /restore функции icacls:
icacls C:\ /save D:\creds.txt /T
И тогда я бы использовал Vim, или какой-то другой gred/sed/awk эквивалентно манипулировать файлом. Это позволяет мне удалить SID, заменить SID и т. Д. После того, как я закончу с файлом, я делаю
icacls C:\ /restore D:\creds.new.txt /T
Это. Не нужно скачивать другие программы. Не нужно изучать еще один нестандартный синтаксис командной строки. Я просто создаю фиктивный файл и использую графический интерфейс или любой другой, чтобы сделать ACL именно так, как я хочу, использую /save чтобы увидеть, как выглядит результирующая строка ACE, просто скопируйте и вставьте эту строку ACE в creds.new.txt,
Вы можете легко сделать это с SetACL:
SetACL -on C:\Path -ot file -actn trustee -trst
"n1:S-1-5-21-1883347182-1220252494-433279356-1095;s1:y;ta:remtrst;w:dacl"
Почему бы просто не использовать графический интерфейс? Откройте свойства папки и удалите ненужный SID из настроек безопасности. Это всегда работало для меня.