我正在使用 icacls 的 RunWait 将权限应用于文件夹。
它在 Windows 10 64 位英文机器上正常工作。
但是当我在巴西机器上运行时,它不适用。
所以在巴西机器上手动运行命令并得到以下错误。
操作失败返回代码 1332。
它描述为“没有完成帐户名称和安全 ID 之间的映射”。
我知道用户在巴西机器上写成 Usuarios。
但是如何使用独立于语言的代码设置用户文件夹的权限,以便它适用于所有机器,即使语言不同。
寻找一种更好的方法来为多个文件夹编写脚本。
现在我有一个 icacls 脚本,它正在从父文件夹重置文件/文件夹的权限:
icacls "e:\FTP_Root\user1\*" /q /c /t /reset
icacls "e:\FTP_Root\user2\*" /q /c /t /reset
icacls "e:\FTP_Root\user3\*" /q /c /t /reset
有没有更好的方法来做到这一点,所以我不必继续为新用户添加行?
每个用户文件夹都应用了自己的权限,因此用户文件夹中的任何内容都会重置其权限,以使用上面的脚本从用户文件夹继承。
我想知道如何为用户提供对文件夹的独占访问权限,而不是其他文件夹。文件夹根位于此处:
DC1\\UserFolders\%username%
我使用 GPO 来映射该用户的文件夹。但问题是它只有在用户有权访问根文件夹时才会映射。这样做的问题是,他们可能会多管闲事并导航到其他用户的文件夹。
我正在寻求有关脚本的帮助,该脚本允许我使该用户文件夹仅对该人专有。并且不可能看到其他文件夹的能力。
以下是我尝试过的(添加到启动脚本中):
icacls D:\UserFolder /inheritance:d
icacls D:\UserFolder\%username% /grant "%username%":(m)
但它似乎没有做任何事情。我做错了什么,有没有更好的脚本来运行这个?
这个问题涉及一个当地团体。我正在尝试将 icacls 用于远程组。
我试过这种方式,但没有奏效:
> icacls \\HOST\shared_dir\file.txt /grant "HOST\GROUP":F
HOST\GROUP: No mapping between account names and security IDs was done.
Successfully processed 0 files; Failed processing 1 files
icacls 是否适用于远程组?
我在文件服务器上有一个非常奇怪的 NTFS 权限现象,我找不到我的错误,现在已经拉了几个小时了。我错过了什么?
我的目标是:
- 来自 Group-A 的用户应该能够将新文件/文件夹写入文件夹(“添加文件”)。他们还应该能够编辑那些新添加的文件。
- 晚上,新添加的文件应受到“保护”,以免被 Group-A 进一步编辑/删除。应该保留读取文件的权利和添加更多新文件的权利。
这是我所做的:
- 创建Group-A,添加用户
- 授予 Group-A (F) 对该文件夹的完全访问权限
- 创建一个脚本
- 删除文件夹中文件的继承位
- 删除 (F) 对文件的完全访问权限,保留只读权限
问题是,我的用户可以编辑和删除文件,就像他们拥有完全访问权限一样。即使“有效权限”显示无编辑权限,仍然可以。
该脚本工作正常,如下所示:
icacls d:\folder\Bild1.jpg /inheritance:d
icacls d:\folder\Bild1.jpg /remove:g Group-A"
脚本运行后,file.jpg 上的 NTFS 权限如下所示(对我来说看起来是正确的):
icacls 输出也是如此:
d:\folder>icacls Bild1.jpg
Bild1.jpg WM\DomainAdmin:(F)
WM\Domänen-Admins:(F)
WM\Group-A:(RX)
该文件的有效权限选项卡显示完全相同(正确)的内容:
父文件夹的权限,用户应该可以在这里添加文件,如下所示:
Artweger WM\Group-A:(I)(OI)(CI)(F)
WM\Domänen-Admins:(I)(OI)(CI)(F)
如果此用户登录(他只是在两个组中,域用户和组 A),他可以编辑、删除、重命名和移动文件 bild1.jpg。这怎么可能?NTFS 对我的光荣计划做了什么?
我正在使用 icacls 为各种组设置大量目录的权限。我想分配 icacls 帮助中提到的“修改访问权限”。它似乎正确地做到了这一点。但是,当在 Windows 2008 上使用 Windows 资源管理器权限选项卡查看权限时,该组显示为完全没有权限(“允许”列中未选中任何复选框)。必须单击“高级 -> 更改权限 -> 编辑”才能真正看到该组已被授予除“完全”、“删除子文件夹和文件”、“更改权限”和“取得所有权”之外的所有权限。
现在,从纯功能的角度来看,这是可以接受的。该组具有所需的权限。但是,从管理的角度来看,当他们在权限选项卡的第一个屏幕上看到列表中的组但在您查看高级权限之前似乎没有分配任何权限时,这可能会让更远的人感到困惑。
所以我的问题是:icacls 是否有某种方式分配修改权限,使其显示在安全选项卡的第一个屏幕上?换句话说,在“修改”、“读取和执行”、“列出文件夹内容”、“读取”和“写入”的允许列中带有复选标记?
我们的一台 Windows 服务器上有一些用户文件夹,但权限却非常糟糕。我想要它做什么,SYSTEM并Domain Admins完全控制所有文件夹。我希望用户只读取顶级文件夹(这是他们的主文件夹)并修改所有子文件夹和文件。这可以通过 GUI 轻松完成,但我不知道如何编写脚本。
我从我的 PowerShell 脚本调用 icacls,因为 get-acl 和 set-acl 是主要的 PITA。如果我必须使用它们,我并不反对,但我想调用 icacls 会更容易。这是我必须做的相关代码:
icacls.exe $folder /grant '$domain\$user:(OI)(CI)(M)'
icacls.exe $folder /grant 'SYSTEM:(OI)(CI)(F)'
icacls.exe $folder /grant '$domain\domain admins:(OI)(CI)(F)'
如您所见,我正在为用户提供icacls.exe $folder /grant '$domain\$user:(OI)(CI)(M)'. 我无法弄清楚如何使该修改仅适用于子文件夹和文件,同时将只读权限授予顶级文件夹。
所需的权限结构如下所示(只是为了清楚起见):
-Users
--M
---Marra (read only to me)
----Documents (Modify)
----Scripts(Modify)
----Etc (Modify)
正确的 icacls 语法是什么,或者我如何使用 set-acl 在 PS 中本地执行此操作?
我使用此命令使用 icacls 保存了 ACL
icacls File.zip /save aclsFile
效果很好,但是每当我尝试恢复文件时,都会收到一条错误消息:
icacls * /restore aclsFile
Not all privileges or groups referenced are assigned to the caller.
有没有其他人遇到过这个问题或知道如何解决它?