问题标签 [icacls]

我（仍在）运行 Win-7 Home Premium。我了解其中的风险，并且出于多种原因，我仍然不想升级到 Win-10 或重建我的 win-7 安装来纠正这个问题。该系统建于 8 年前，多年来，我创建和删除了许多用户帐户。我目前有三个用户帐户：

在此过程中，我删除了 Windows 在其原始安装期间创建的原始用户帐户，我认为该帐户被分配了 SID 1000。

在当前系统上，事情通常按预期工作。但我偶尔会遇到奇怪的行为和失败。在故障排除过程中，我发现许多文件夹保留了引用现在孤立的 SID 1000 的 ACL 条目。例如，命令

产生以下

上面表示NT AUTHORITY\SYSTEM并且BUILTIN\Administrators有Full Control权限。它还列出了现在孤立的 1000 用户帐户的完整 SID。我想删除这些对虚假 SID 的引用，但是命令：

从提升的命令提示符运行时不执行任何操作，报告Successfully processed 0 files. 使用文件管理器时，该按钮在文件夹选项卡的对话框中Remove显示为灰色。所以我也不能以这种方式删除权限。Advanced Security SettingsSecurityProperties

如何删除对这个孤立 SID 的引用？或者将其更改为引用合法的 SID？

或者，如何将与现有 1003 用户关联的 SID 更改为 1000，以便对 SID 1000 的引用正确解析为活动用户帐户？

任何建议，将不胜感激。

我在下面试试这个。比读、写和执行权限可以停止，但文件重命名我不能用这个命令停止。

在哪里，

• /p : 设置新权限

• /e ：编辑权限并保持旧权限不变，即编辑 ACL 而不是替换它。

• {USERNAME}：用户名

• {PERMISSION} ：权限可以是：

  • R - 读

  • W - 写

  • C - 改变（写）

  • F - 完全控制

例如，使用以下命令授予 Rocky Full (F) 控制权（在 Windows 命令提示符下键入）：

通过键入以下命令阅读完整的帮助：

我正在尝试使用以下方法拒绝仅对某些文件夹的写访问权限：

实际上我也不能打开子文件夹。当我通过 UI 做同样的事情时，我可以打开它们。

因此，当我进入“权限”屏幕并取消选中/选中拒绝写入并单击确定时运行此命令后，我可以打开此文件夹并列出项目。执行此操作后，“高级权限”选项卡上的选中项目没有差异。

C:\Temp\otentu\是带有 2 个子文件夹的主文件夹，我们在这里有两个故事：

1. 使用 UI，我为一个子文件夹添加了拒绝写入所有人。
2. 我在上面打电话icacls。屏幕截图显示，对于此文件夹，它们的结果是相同的 - 其他设置保持不变。1之后我可以打开子文件夹，2之后我不能。

有人可以帮助我在这里缺少什么吗？

编辑：我icacls "C:\Temp\otentu" /T /C /L /Q为每个场景运行 - 完全没有区别。为了简化，我只留下了一个子文件夹。

前：

用户界面更改后：

CMD 之后：

在 Windows 上使用 icacls 更改权限后访问文件时出现间歇性“访问被拒绝”。

详情：请参考以管理员身份运行的脚本。

我目前正在从 Unix FS 迁移到 Windows FS，我需要复制用户文件夹。我创建了一个非常简单的 robocopy 脚本，这里和那里有一些小问题。

我的脚本：

@echo off set /p username=输入用户名开始复制文件： echo %username% takeown /f \UNIXFS\users$%username%* /r /DN timeout /t 3 robocopy \UNIXFS\users$%username% \WINDOWSFS \Production$%username% /S /E /B /Z /ZB /MT:64 /V /TEE /ETA /TS /R:5 /W:1 /BYTES /X /DEBUG /LOG:C:\Robocopy% username%.log timeout /t 3 icacls \WINDOWSFS\Production$%username%* /grant:r domain%username%:(OI)(CI)F /T pause

我有一个输入部分，询问我想从哪个用户开始复制文件。

我以当前域管理员的身份从用户那里获得所有权，复制文件并授予用户对该文件夹的完全权限。

但所有权仍然属于域管理员，而不是输入用户选择的用户。

因此，我创建了一个单独的单个命令行 bat 文件，当我登录到用户帐户时，该文件将拥有该文件夹的所有权。

为迁移的用户获取所有权脚本：takeown /F \WindowsFS\Production$%username%* /r /DY

有没有一种方法可以将这两个脚本组合为一个脚本，然后将其作为单个脚本运行。

我试图将它们结合在一起，但最后一个 takeown 命令就像只是给运行脚本所有权的用户，当你必须为很多用户执行此操作时，你不想手动输入或运行 takeown 脚本之一在所有机器上按一个。

下面是我用于删除特殊 NTFS 权限的代码

此代码适用于 ROOT 文件夹（例如，在我的情况下为 C:\IBM），但它不会删除此下的子文件夹的相同代码。请让我知道这里有什么问题

根文件夹

子文件夹

如何使用带有 icacls 命令或其他命令的批处理命令 - 如果是这样，那又如何？我可以将新用户添加到我系统中选定的受保护文件夹（例如 WinSxS）并为该用户分配该文件夹的完全控制权，包括删除权限而不会被拒绝/警告等？

例如，在正常情况下，如果我想删除 WinSxS 文件夹或其内容中的文件，我会收到一条错误消息，不允许这样做，因为您需要提供更高的管理员权限才能执行此操作。

我可以手动转到 C:\Windows\WinSxS 和 PPM/属性和安全，然后高级并将我的用户和名称添加为 WinSxS 文件夹的所有者，最后编辑我的用户的权限，允许他完全控制。

然后，如果我为我的用户手动添加对 WinSxS 文件夹的完全控制，我可以尝试从系统级别删除文件，它仍然无法正常工作，但可以通过以下方式完成：

1. 以管理员身份运行 .cmd 控制台

2. 禁用 explorer.exe

3. 转到 cd C:\Windows\WinSxS

4. 输入德尔 *

然后文件被删除，尽管我们故意忽略了 Windows 安全性及其保护。

如何批量创建脚本，我需要什么命令以及如果我有代码和命令来自动添加用户并授予他对此类文件夹的完全权限的过程，我应该是什么样子，这样我就没有手动做？

如果有人想知道我为什么想要它以及我需要它做什么，我回答说它正在尝试使用 virtualbox 修改虚拟机中的 windows 图像，这就是原因。

我知道有各种工具可以修改窗口，但我正在寻找一种方法和解决方案作为使用 .cmd 的脚本

我需要使用 PEM 文件制作 SSH。但是我经常从aws收到关于pem文件的错误，这些文件不够安全。我尝试在 WSL 上执行 chmod 400、chmod 600，还尝试用 icacls.exe 替换 chmod，但这些都不起作用。我想知道是否可以在 Windows 资源管理器中更改可以替换 chmod 的属性。如果是的话，应该允许哪些属性并使其与 Linux Chmod 相似？

我正在使用调用 icacls.exe 以使用 powershell 设置文件夹权限的安装程序，以便在已允许的情况下删除“用户”权限并为管理员和 IIS 用户提供权限。脚本是

上述脚本在 Windows 服务器上运行，但在 Windows 10 操作系统中不运行。尝试使用 Powershell 也没有响应，它被挂在 icacls 命令中。

Powershell 版本：5.1.19041.1151 Windows 10 企业版 [21H1]

注意：以提升的权限执行并卡住[参考附件结果]

知道为什么它不在 Windows 10 上执行吗？或其他方法来设置权限而不会出现任何此类问题？

我正在尝试从网络共享的所有子目录中删除用户。

我尝试了以下命令：ICACLS X:\ /remove:g username /T

该命令运行没有失败（尽管由于 shard 驱动器的大小需要 3.5 小时）但是在我检查权限后，用户的权限没有从任何地方删除。

如果我导航到我知道用户有权访问的特定文件夹并在那里运行命令（例如 ICACLS X:\subdirectory /remove:g username /T ），它就可以正常工作。

只有当我尝试从根 X:\ 运行它时才会出现此问题，在这种情况下，不会删除任何权限。

任何想法为什么会这样？

PS 我在运行命令的帐户的 root 上有 F 访问权限