Wie entferne ich eine Benutzergruppe aus dem Benutzerprofilordner aller Benutzer in Windows 7/2008?

574
eng3

Ich bin gezwungen, einen Benutzer hinzuzufügen, der möglicherweise nur Zugriff auf einen Ordner hat. Daher muss ich die Benutzer- und Domänenbenutzerberechtigungen aus allen meinen Dateien entfernen. Im Moment kann jeder Benutzer den Ordner sehen. Alle Benutzerordner verfügen über Leseberechtigungen für die integrierte Gruppe "DOMAIN \ Users". Ich möchte diese entfernen. Ich habe versucht, im Benutzerordner zu laufen:

for /d %G in (*) do icacls %G /remove Users /t"

und es tut etwas mit allen Dateien und Ordnern, aber wenn ich zurück gehe und nachprüfe, ist die Benutzerberechtigung immer noch vorhanden.

0
`icacls /?` sagt die Syntax `… / remove [: [g | d]] Sid`. Sie müssen _SID_ verwenden. Um _SID_ für die lokale Gruppe "BUILTIN \ Users" zu erhalten, analysieren Sie "whoami / groups / FO CSV" oder "wmic path win32_group", wobei "Caption ="% ComputerName% \\ Users "" Sid Sid "erhält. Google für _Get SID von AD (Active Directory) Nutzer / Gruppe_, wenn Sie es benötigen. JosefZ vor 6 Jahren 0
@JosefZ: Es gibt auch einen Hinweis, dass "SIDs in numerischer Form _oder_ Anzeigename" angegeben werden können. grawity vor 6 Jahren 0

1 Antwort auf die Frage

1
JosefZ

Betrifft anscheinend /removekeine geerbten ACLs:

C:\Windows\System32> pushd d:\bat\files2  d:\bat\files2> for /d %G in (*) do @icacls %G /T | findstr /I "folder \\Users" folder BUILTIN\Administrators:(F) BUILTIN\Users:(I)(RX) BUILTIN\Users:(I)(OI)(CI)(IO)(GR,GE) folder\xxx.csv BUILTIN\Administrators:(F) BUILTIN\Users:(I)(RX)  d:\bat\files2> for /d %G in (*) do @icacls %G /remove Users /T processed file: folder processed file: folder\xxx.csv Successfully processed 2 files; Failed processing 0 files  d:\bat\files2> for /d %G in (*) do @icacls %G /T | findstr /I "folder \\Users" folder BUILTIN\Administrators:(F) BUILTIN\Users:(I)(RX) BUILTIN\Users:(I)(OI)(CI)(IO)(GR,GE) folder\xxx.csv BUILTIN\Administrators:(F) BUILTIN\Users:(I)(RX)

Man muss die Vererbung deaktivieren und zuerst die ACEs kopieren : 

d:\bat\files2> for /d %G in (*) do @(icacls %G /inheritance:d /T&&icacls %G /remove Users /T) processed file: folder processed file: folder\xxx.csv Successfully processed 2 files; Failed processing 0 files processed file: folder processed file: folder\xxx.csv Successfully processed 2 files; Failed processing 0 files  d:\bat\files2> for /d %G in (*) do @icacls %G /T | findstr /I "folder \\Users" folder BUILTIN\Administrators:(F) folder\xxx.csv BUILTIN\Administrators:(F)

Beachten Sie die Verwendung des &&Bedieners in dem folgenden Einzeiler

for /d %G in (*) do @(icacls %G /inheritance:d /T&&icacls %G /remove Users /T)

anstatt 

for /d %G in (*) do @icacls %G /inheritance:d /T for /d %G in (*) do @icacls %G /remove Users /T

Beispiel auf folgende Dateistruktur angewendet:

d:\bat\files2> tree . /f  D:\BAT\FILES2 │ SampleInput.eml │ └───folder xxx.csv

Verwandte Probleme