问题[icacls](computer)

我打算授予“更改权限”(WDAC)权限user。但是，我遇到了这个(WO)代表“取得所有权”的许可。两者有什么区别？user在(WDAC)没有(WO)权限集的情况下仍然可以更改权限吗？

我有以下场景，其中我（admin）将(DE,W)拒绝权限应用于已从父文件夹继承修改权限的以下文件test_folder夹test_user：

B:\>icacls test_folder
test_folder     test_user:(I)(OI)(CI)(M)
                admin:(I)(OI)(CI)(M)

B:\>icacls test_folder /deny test_user:(DE,W)

B:\>icacls test_folder
test_folder     test_user:(DENY)(W,D)
                test_user:(I)(OI)(CI)(M)
                admin:(I)(OI)(CI)(M)

我期望的最终结果是test_user能够读取/执行访问权限， test_folder而无法删除/重命名文件夹并向其添加文件夹/文件。

但是，结果test_folder根本不可见test_user。我test_folder仍然可以看到 ( admin)。

虽然我只否认DE：

B:\>icacls test_folder
test_folder     test_user:(I)(OI)(CI)(M)
                admin:(I)(OI)(CI)(M)

B:\>icacls test_folder /deny test_user:(DE)

B:\>icacls test_folder
test_folder     test_user:(DENY)(D)
                test_user:(I)(OI)(CI)(M)
                admin:(I)(OI)(CI)(M)

test_user能够看到test_folder。所以不知何故W导致了一个问题。

知道为什么会这样吗？

首先，我不是 Windows 专家。此外，与我交谈过的 Windows 人员似乎并不熟悉“icacls”，我认为这很奇怪。我通过搜索找到了它。我看到有人问过类似的问题，但从未收到答案。我希望通过提供一个具体的例子，它可能对某人有意义。尝试在不使用 gui 的情况下删除权限，为什么这似乎没有效果？（为安全起见更改了特定名称）：

domain\testsftp@SERVER1 C:\Users\testsftp\.ssh>icacls authorized_keys
authorized_keys NT AUTHORITY\SYSTEM:(I)(F)
                BUILTIN\Administrators:(I)(F)
                DOMAIN\TESTSFTP:(I)(F)
                DOMAIN\dal123:(I)(F)
                DOMAIN\adm_j123:(I)(F)

Successfully processed 1 files; Failed processing 0 files

domain\testsftp@SERVER1 C:\Users\testsftp\.ssh>icacls authorized_keys /remove "DOMAIN\dal123"
processed file: authorized_keys
Successfully processed 1 files; Failed processing 0 files

domain\testsftp@SERVER1 C:\Users\testsftp\.ssh>icacls authorized_keys
authorized_keys NT AUTHORITY\SYSTEM:(I)(F)
                BUILTIN\Administrators:(I)(F)
                DOMAIN\TESTSFTP:(I)(F)
                DOMAIN\dal123:(I)(F)
                DOMAIN\adm_j123:(I)(F)

Successfully processed 1 files; Failed processing 0 files

domain\testsftp@SERVER1 C:\Users\testsftp\.ssh>

它说它是成功的，但没有任何改变。任何人都可以帮忙吗？谢谢！

有没有更好/更简单的方法来从命令行设置 Windows 文件夹的权限？

我正在使用 powershell、get-acl 和 set-acl。

# Set permissions on a folder using powershell, get-acl and set-acl.
# make directory before settings permissions.  setting permissions code creates file.
# if the user has no permissions on the folder run this script in a window with admin privileges.
# windows 10
# powershell 5
# change zpath and zuser
$zpath="F:\Users\Default\Documents\_NOTEPAD++ AUTOBACKUP"
$zuser="_9doug"
If(!(test-path $zpath)){New-Item -ItemType directory -Path $zpath | Out-Null}
$Acl = Get-Acl $zpath
$Ar = New-Object System.Security.AccessControl.FileSystemAccessRule($zuser, "FullControl", "ContainerInherit,ObjectInherit", "None", "Allow")
$Acl.SetAccessRule($Ar)
Set-Acl $zpath $Acl
exit