Warum kann ich eine Gruppe mit icacls nicht aus einer Datei entfernen, nachdem ich den Lesezugriff widerrufen habe?

2126
Zhro

Warum kann ich eine Gruppe nicht aus einer Datei entfernen, wenn ihr die Leseberechtigung verweigert wird, obwohl ich über die Leseberechtigung meines Kontos verfügt, Mitglied der Gruppe Administratoren ist und icacls von einer Eingabeaufforderung mit erhöhten Rechten aus ausführt?

Dadurch wird die Gruppe "Benutzer" einfach entfernt:

copy a b icacls b /inheritance:d icacls b /remove:g "Users"

Ergebnis: Die Datei hat nicht mehr die Gruppe "Benutzer".

Wenn ich jedoch den Lesezugriff entferne, kann die Gruppe nicht von icacls entfernt werden:

copy a b icacls b /inheritance:d icacls b /deny "Users":r icacls b /remove:g "Users"

Ergebnis: Die Datei hat noch die Gruppe "Benutzer".

Um dies zu umgehen, muss ich zunächst einer Gruppe die Berechtigung "Vollzugriff" erteilen und dann /removesicherstellen, dass die Gruppe entfernt wird. Dies fühlt sich jedoch wie eine Schwachstelle an, da eine bestimmte Gruppe kurzzeitig vollen Zugriff haben wird.

1

1 Antwort auf die Frage

1
Twisty Impersonator

Sie benutzen den falschen Schalter. Sie müssen verwenden /remove:d:

icacls b /remove:d "Users"

Wenn einer Gruppe Berechtigungen verweigert wurden, gibt es keine Rechte, die der /remove:gSwitch entfernen kann.

Alternativ können Sie alle der Gruppe zugewiesenen Berechtigungen entfernen, unabhängig davon, ob sie gewähren oder ablehnen.

icacls b /remove "Users"

Zusammenfassung

  • /remove:gEntfernt Rechte, die (G) angemeldet sind
  • /remove:dEntfernt Rechte, die (D) aktiviert sind
  • /remove Entfernt alle Rechte

Weitere Informationen zu Icacls-Switches finden Sie im TechNet .

Ich musste `/ remove BUILTIN \ Users` auf meinem Server verwenden. Ich weiß nicht, warum "BUILTIN \" für ein Entfernen erforderlich war, funktioniert gut bei Zuschüssen. AlwaysLearning vor 6 Jahren 0

Verwandte Probleme