我正在尝试使用 icacls 修改文件上的 ACL。我希望这个文件归管理员所有,并且只有管理员可以访问。我发现了如何使管理员成为文件的所有者,并且我知道如何从安全列表中删除一个组,但是如果我不知道管理员组的名称,我不知道如何删除除管理员组之外的所有组其他组。
我正在寻找一种方法来告诉 Windows 我只想让管理员访问该文件并删除任何其他用户/组(如果有)。
我尝试使用通配符,但它不起作用。
这是我的脚本:
$domain = [Environment]::UserDomainName
$user = [Environment]::UserName
icacls $myinvocation.mycommand.path /setowner "$domain\$user" /T
icacls $myinvocation.mycommand.path /grant "$domain\$user"
icacls $myinvocation.mycommand.path
理论上,您可以:r在授权后使用(请参阅Docs)。但是,在实践中,我无法完成这项工作。我认为:r意味着“仅替换指定用户的权限”。
我已经在 Powershell 中测试了以下解决方案,但它工作正常。
# Reset the folder to just it's inherited permissions
icaclsname c:\temp\test /reset
# Then, disable inheritance and remove all inherited permissions
icacls c:\temp\test /inheritance:r
# Note the :r after grant. It's not now needed, but I've left it in anyway.
# Permissions replace previously granted explicit permissions.
# Also note the :F, where : is escaped with `. This grants FULL CONTROL.
# You can replace F with whatever level of control is required for you.
icacls c:\temp\test /grant:r $domain\$user`:F