在Windows 2008文件服务器上,我有巨大的文件夹,其中一些子文件夹不从父对象inheritanceACL。 我想向整个文件夹添加单个权限条目(对本地pipe理员组的完全控制),并将此条目传播到不从上面inheritanceACL的文件夹。 所有现有的权限条目应保持原样。 默认情况下,如果我只在根文件夹中添加单个权限条目,那么不inheritanceACL的子文件夹将不会inheritance新的条目。 如果打开“用来自此对象的可inheritance权限replace所有子对象权限”,则将重置不inheritanceACL的文件夹上的所有现有ACL项。 有什么方法可以解决我的问题吗?
在GUI中是不可能的,但是应该使用icacls ,参见命令行参考 。
在那里,你可以看到如何/grant作品:
授予指定的用户访问权限。 权限replace以前授予的显式权限。
没有
:r,权限被添加到任何以前授予的显式权限。
由于switch /trecursion地执行命令,所以这些的组合应该可以做到。
所以我build议像icacls "X:\PATH\TO\FOLDER\" /grant DOMAIN\group:(f) /t但是请看文档是否符合你的目标(并且总是先试一试目录)。
如果您不熟悉PowerShell,可以使用SetACL (如BigHomie和HopelessN00b所build议的)。
你应该阅读完整的文档并在一个虚拟的位置testing你的命令,但是你使用的语法是这样的:
setacl -on <PATH> -ot file -actn ace -ace "n:Administrators;p:full;i:so,sc;m:grant;w:dacl" -rec cont_obj -ignoreerr