我们刚刚升级了我们的域到Windows 2008.我希望有一种方法可以修改文件服务器上的所有文件/文件夹的权限到一个组。 我知道pipe理员组(域pipe理员等)到处都有完整的访问权限,但我不希望这个组能够更改安全设置。 有什么办法可以做到这一点?
我们希望创build一个组,并赋予该组修改networking上的所有文件/文件夹(networking上的所有文件夹具有不同的安全权限),而无需将其放置在任何pipe理员组中。
谢谢,
没有“捷径”的方式去做你正在寻找的东西。 您将在各种文件夹层次结构中查找权限inheritance的所有根,并将“新build组/更改”权限应用于这些层次结构。
我想有人可以写一些东西来找出所有inheritance被阻止的文件夹,并自动应用这个权限的变化,但我不知道有任何这样的工具,我的头顶。
编辑:
下面的脚本(以一种非常简单的方式,可能不是100%可靠)使用icacls工具定位权限层次结构的顶部。 在命令行上指定起始目录。
(该脚本只是在具有设置了SE_DACL_PROTECTED标志的文件上查找DACL,请SE_DACL_PROTECTED http://msdn.microsoft.com/zh-cn/library/aa379570(v=vs.85).aspx )。
@echo off if "%~1"=="" goto end SET TEMPFILE="%TEMP%\%RANDOM%.txt" for /D %%i in ("%~1\*") do ( icacls "%%i" /save %TEMPFILE% >NUL 2>NUL find "D:P" %TEMPFILE% >NUL 2>NUL if errorlevel 1 del %TEMPFILE% if exist %TEMPFILE% echo Top of permission hierarchy: %%i if exist %TEMPFILE% del %TEMPFILE% call "%0" "%%i" ) :end
您可以轻松地添加一个条件来更改您find的目录的权限,或者只是将列表输出到文件,然后迭代该文件。