Windows 10。无法以管理员身份访问我的文件

显然，我没想到自己作为管理员会被拒绝访问，并且看到管理员拥有完全控制权，作为与我刚刚编辑的权限不同的单独权限

Windows 上的文件权限是这样工作的：

1. 所有Deny条目均具有优先权。
2. 然后，所有Allow条目都会被考虑。
3. 最后，如果用户根本不在列表中，则访问也会被拒绝。

因此，一般来说，您应该做的是删除Allow访问条目而不是添加Deny条目 - 如果可以避免它们，就不要使用它们。

作为例外，所有者始终可以设置新权限 - 并且管理员始终可以成为所有者（取得所有权） - 因此，从中恢复几乎总是从将您自己或管理员组设置为新所有者开始。这允许您设置一个新的访问列表，授予您完全控制权 - 然后您对所有子文件夹重复该过程。

有时，当您尝试打开文件夹（或当您尝试查看某些内容的权限时）时，Windows 资源管理器会立即为您执行此操作，但更常见的是使用该takeown程序完成此操作。

takeown /a /r /d y /f D:\

它还/d y要求它自动重置权限，因此它将能够递归地恢复整个磁盘的内容。

设置限制

一旦您恢复访问权限，请再次编辑 D:\ 访问列表，最好是通过视图Advanced（或者如果您愿意，也可以通过提升的 CLI，尽管通过 CLI 执行其中一个步骤很繁琐）。

• 如果您要限制子目录，请禁用“继承权限”并选择“复制”。整个磁盘不需要，因为没有任何东西可以继承。

  icacls D:\Foo /inheritance:d
  

• 删除“用户”、“经过身份验证的用户”、“所有人”和类似条目（如果它们仍然存在）——仅保留Administrators和SYSTEM（以及您自己的帐户，用于 UAC）。不在列表中的其他人将自动无权访问，因此无需明确列出他们。

  icacls D:\ /remove "Authenticated Users"
  icacls D:\ /remove "Everyone"
  

  注意：由于 Windows UAC，该Administrators授权仅在您“提升”运行程序（即“以管理员身份运行”）时才有效。因此，如果您此时单击“应用”并且您个人不在访问列表中，那么您将失去通过资源管理器（永远不会以提升的权限运行）的访问权限 - 但这不是问题，因为您可以通过提升的 PowerShell 添加自己或 Total Commander 或任何其他文件管理器。

• 授予自己完全控制访问权限（takeown 可能已经这样做了，但无论如何还是这样做以防万一）。

  icacls D:\ /grant "Bradley:(OI)(CI)(F)"
  

  和(OI)将(CI)条目标记为可继承（即相当于“适用于：此文件夹、子文件夹和文件”）。

• 再次授予“经过身份验证的用户”读取/列出访问权限，但将其标记为不可继承，即“仅适用于：此文件夹”，以便他们仍然可以列出顶级文件夹，但不能深入其中。

  icacls D:\ /grant "Authenticated Users:(R)"
  

  缺少(OI)(CI)意味着访问条目不会被继承。此步骤在技术上是可选的（如果用户知道路径，他们仍然可以访问项目，例如，如果您为它们创建 .lnk 快捷方式），但它会让事情变得更方便。

• 为了以防万一，在保存更改时选中“替换所有子对象权限”框（这只需要执行一次），这样里面的所有内容都将强制继承您刚刚在根目录上设置的权限。磁盘。

  (the * is important, you want to only reset children)
  icacls D:\* /reset /t
  
  (approximate equivalent)
  gci D:\ | % { icacls "$_.fullname" /reset /t }
  

• 最后，在用户需要访问的每个特定文件夹上，只需将它们添加到该文件夹​​的访问列表中即可。这可以通过“安全”选项卡的普通视图来完成。

  icacls D:\Videos /grant "Users:(OI)(CI)(R,W)"
  

如果您想允许访问整个文件夹但不允许访问一个特定的子文件夹，通常最好避免“拒绝”条目，而是禁用该文件夹的权限继承，这样您就可以专门从中删除不需要的条目。

Authenticated Users旁注：和之间几乎没有什么区别Everyone（自 XP 以来的所有 Windows 版本都排除了Everyone 中的 Anonymous）。Users如果不使用访客帐户，这些组与常规组之间也没有什么区别。