Danke für deine Antwort. Aber das ist beabsichtigt? Oder ist das ein Fehler? Wozu dient der Schalter ": r", wenn Sie nur so sicher sind, Berechtigungen (und Vererbung) zu ersetzen?
icacls folder /remove user icacls folder /grant user:(oi)(io)rx
Ich habe getestet, wie "icacls / grant" funktioniert, und ich habe festgestellt, dass icacls einen Eintrag für jede Art von Vererbung schreibt.
Versuche dies:
md test icacls test /inheritance:r icacls test /grant user:f icacls test /grant:r user:(oi)rx icacls test /grant:r user:(ci)rx icacls test /grant:r user:(oi)(ci)rx icacls test /grant:r user:(ci)(oi)(io)rx icacls test /grant:r user:(io)(oi)rx icacls test /grant:r user:(io)(ci)rx
Dann sehen Sie die ACL:
icacls test
Das Ergebnis ist:
test PC\user:(F) PC\user:(OI)(IO)(RX) PC\user:(OI)(RX) PC\user:(CI)(IO)(RX) PC\user:(CI)(RX) PC\user:(OI)(CI)(IO)(RX) PC\user:(OI)(CI)(RX)
Ich habe also festgestellt, dass icacls /grant:rBerechtigungen nur für die gleiche Art der Vererbung ersetzt werden. In meiner ursprünglichen Frage:
md test icacls test /inheritance:r icacls test /grant user:(oi)(ci)f icacls test /grant:r user:(oi)(io)rx
Der icacls-Test gibt die Ausgabe aus
test PC\user:(OI)(IO)(RX) PC\user:(OI)(CI)(F)
Und ich denke, die GUI zeigt nur (OI) (CI) (F), da sie (OI) (IO) (RX) enthält.
Fehlt mir etwas? Ist das ein Fehler oder beabsichtigt?
Ich kann keine autorisierende Quelle finden, die erläutert, warum der Befehl "grant: r" nicht alle Berechtigungen für den angegebenen Benutzer ersetzt. Meine * Vermutung * ist, dass Admins eine Möglichkeit benötigen, um eine bestimmte Berechtigung + ACE für die Vererbung zu ersetzen (z. B. Nur Lesezugriff für Dateien gewähren), ohne andere Berechtigungen zu berühren (oder neu festzulegen). Es scheint, dass die Schalter '/ reset' oder `/ remove 'für den Fall vorgesehen sind, dass alle Berechtigungen für einen Benutzer ersetzt werden müssen. Ich stimme dem Hilfetext für `/ grant zu: r` ist in seiner Funktion nicht sehr erschöpfend.
Twisty Impersonator vor 6 Jahren
0
1 Antwort auf die Frage
1
Twisty Impersonator
Ihr erster Befehl gewährt vollen Zugriff auf den Ordner "Diesen Ordner, Unterordner und Dateien".
Die Berechtigungen werden nicht durch den zweiten Befehl ersetzt, dem Lese- und Ausführungsberechtigungen für Dateien nur aufgrund der Objektvererbungskombination erteilt werden (OI)(IO). Anscheinend können Sie Berechtigungen, die für "Dieser Ordner, Unterordner und Dateien" gelten, nicht durch Berechtigungen ersetzen, die nur für Dateien gelten.
Um die Vollzugriffsberechtigung durch Lese- und Ausführungsberechtigungen für "Dieser Ordner, Unterordner und Dateien" zu ersetzen, verwenden Sie im zweiten Befehl dieselbe Objektvererbung: