问题标签 [icacls]

我目前必须更改 cmd.exe 上所有本地用户的权限。到目前为止，我已经获得了文件的所有权并以我需要的方式更改了权限。

我的问题是，我不知道如何将所有权归还给 TrustedIntstaller。

您可以在下面看到我到目前为止编写的代码。它更改了权限并且没有抛出任何错误，但是在脚本运行之后，所有者仍然设置为 System.

我正在使用 Powershell App Deployment Toolkit，并且脚本以系统用户身份执行。

任何帮助表示赞赏。如果还有其他（更好的）方法可以更改 Windows 文件夹中的权限，请也告诉我。

我使用 windows 命令行工具 icalcs 来设置文件夹的访问权限。（目标是在 c:/Programmfiles 中创建一个只能由本地系统帐户访问的文件夹）管理员应该获得完全权限，所有其他人都没有。设置权限后，还有额外的意外权限：

我无法删除这些权限，我想知道如何摆脱它。

我试图通过 Windows 10 GUI 删除不需要的条目 - 没有任何成功。没有错误。

我期望这个输出：

但我明白了

我正在将我的代码转换为使用icacls，目前正在遵循本教程：https ://ss64.com/nt/icacls.html 。

在这部分，

授予用户 jdoe 权限以创建、编辑和删除文件夹 C:\demo\example\ 中的文件，但防止删除文件夹本身：

:: 首先删除继承并授予管理员对顶层文件夹的完全控制权 icacls "C:\demo\example" /inheritance:r /grant:r administrators:(OI)(CI)(F)

:: 仅将修改 + 删除子项授予子文件夹和文件 icacls "C:\demo\example" /grant:r ss64Dom\jdoe:(OI)(CI)(IO)(M,DC) /T

:: 授予读取/执行、写入和附加到顶级文件夹 icacls "C:\demo\example" /grant:r ss64Dom\jdoe:(RX,WD,AD)

:: 如果有任何预先存在的子文件夹 Grant admins 完全控制 icacls "C:\demo\example" /grant:r administrators:(OI)(CI)(F) /T

，我能够为第一条指令获得正确的结果，但第二条指令对我不起作用。我试图改变M,DC部分，F但它也不起作用。

这是我的代码。

顺便说一句，我在本地 Windows 7 PC 上运行它。

更新：

从这里，我发现了

仅子文件夹和文件 (OI)(CI)(NP)(IO)

这与第二条指令想要做的一样，所以我尝试使用它。一开始它没有做任何事情，但是经过几次，大约 6 次，编译和不编译后，(NP)即使我没有更改代码的权限，用户帐户仍然获得了完全权限(M,DC)。

目前，我的文件夹结构是这样的。

在 test_folder 上，Administrator 和 User 都拥有完全权限。它的子文件夹有管理员和用户，但两者都没有检查任何权限。

我跑了命令：

但我打算实际运行：

我跑了 icacls /grant domain\joe1:(OI)(CI)(M)

现在我在跑步时都看到了

我试过了

但我无法删除 RX 列出的权限

已经有许多用户对该文件夹具有权限，因此我试图避免对该文件夹进行重置。如何删除 RX 权限，以便它只显示我想要的权限？

我正在使用 icacls 为活动目录安全组设置文件夹的权限。

实际上这工作正常。我创建一个文件夹，禁用继承，授予我的两个权限（“特殊”和只读）并删除域用户。没有错误信息，一切似乎都很完美。

但后来：我是 RW-Group 的成员 - 但无法访问该文件夹。

在此处输入图像描述 在此处 输入图像描述

出了什么问题：如果我手动授予相同的权限，则一切正常。但是使用 icalcs 是行不通的。

我认为问题出在这里： domain\ACL_Test_RW 如果我手动打开我授予的权限并重新选择 ACL-Group，它就可以工作。所以，我认为我必须改变这一点。但是我知道怎么做。我已经尝试过使用“Domain\company1\groups...”-> 错误消息，名称和 SID 之间没有连接。

任何人的想法？

是的，我做了 gpupdate /force + restart ...

我想为特定文件夹的所有用户授予完全访问权限。我已经知道如何用 Icacls 做到这一点：

或者

我的问题：要真正起作用，我必须使用“Usários”和“Todos”这两个词，而不是“用户”和“所有人”，因为我使用的是葡萄牙语版本的 Windows。

那么对我来说，在我的应用程序上编写代码的最佳方式是什么？我是否必须跟踪 Windows 如何以不同的语言调用此帐户，弄清楚如何获取已安装版本的语言等等，或者有一种直接且更好的方法来查找如何调用此帐户？

当我运行icacls以检查我的C:根目录的权限时，结果会因我运行命令的文件夹而异。这是为什么？

例子：

从运行它C:

运行它C:\Users：

运行它C:\Logs：

无论我从哪个文件夹运行命令，我都希望权限是相同的。

当我在 Windows 上运行以下命令时，它说访问被拒绝。我从 admin 运行。

icacls hello.bat /setintegritylevel 高

需要做些什么才能使其正常工作。

我正在编写一个脚本来从一个目录结构复制权限并将它们重新应用到另一个。我不能简单地使用icacls \\my\path\* /save file.acl /T，因为我需要在保存和恢复之间进行一些调整，使用 PowerShell 的(Get-ACL $path).Access输出更简单。

在这样做时，我试图将这个（即FileSystemRights）的输出映射到它们的等效icacls 权限；然后，我将用括号括起来以逗号分隔的权限列表，以通过 icacls 应用。

问题

我不确定上面的映射；在某些情况下，我无法计算出等效值是多少（例如ChangePermissions, CreateDirectories, Traverse），而在其他情况下有多种可能性（例如应该Read/Write映射到R/W或GR/ GW；或者没有区别）？我检查了文档并搜索了网络，但对这些权限的大多数解释都没有比给出这些缩写的名称更详细。

附加上下文

当我说我需要进行一些调整时，我正在从旧域上的旧文件共享中导出权限，并将它们导入到新域中，因此我需要映射旧域用户的一些帐户到新域中使用的 SID（我们有一个 SIDHistory，但目标是干净利落地做事，而不是长期依赖这个）。新域中还有一些组与旧域中的组等效，但没有关系（即它们不是从旧域迁移的；尽管它们的功能基本相同。编辑输出ICACLS 保存的信息很复杂，因为结构非常小。这不是不可能的，但比我觉得舒服得多。

我需要将内容从 PS/.Net 输出映射回 icacls 格式的原因是因为目标共享位于 Azure 文件上（启用了 AADDS）；所以Set-ACL不起作用，虽然icacls。

我已经为继承部分创建了类似的逻辑：

对于不熟悉 PowerShell 的 switch 语句的任何人；功能能够处理数组中的每个项目；因此不需要逻辑循环遍历$rights. 更多信息在这里。

更新 2020-06-16 10:00

我刚刚意识到有一种简单的方法可以查看FileSystemRights包含重复项的位置。下面的代码标识了这些。这解决了我的问题Traverseand CreateDirectories。

这表明我可以重用一些现有的值

我只需要管理员就可以访问特定文件夹。只有管​​理员才能访问该文件夹。这必须使用 icacls 命令来实现。

我在网上冲浪后使用了以下命令，但由于我是 NTFS 和 UAC 的新手，我不确定该命令有什么问题：

icacls "c:\abc" /拒绝用户：F

但是，此命令似乎甚至拒绝管理员访问“abc”文件夹。可以肯定的是（基于我非常有限的知识），我创建了一个标准用户并运行了上述命令。然后我登录到管理员帐户并尝试访问该文件夹但被拒绝。

我还尝试运行以下命令来显式授予管理员权限，但这也失败了，因为文件夹访问被拒绝：

icacls "C:\abc" / 授予管理员：F

还没有弄清楚如何选择性地只允许管理员访问文件夹，而所有其他用户都被拒绝访问。