如何使用icacls正确地订购NTFS ACL？

Question

我有一个深层次的目录结构：部门 -> 工作# -> 文档 -> EMail

在文档级别，我有4个组继承自根和一个组(st_JobDocs)显式。都继承到子文件夹。

st_JobAdmin: grant F
st_Job_R: grant RX
st_JobDocs: grant F
st_ITStorageAdmin: grant F
st_GlobalDeny: deny F

在电子邮件级别，我希望删除st_JobDocs和st_Job_R组；保留st_GlobalDeny、st_ITStorageAdmin和st_JobAdmin；添加st_JobDocsEmail:(OI)(CI)(F)。

为此，我从部门级别运行：

for /D %%D in (*) do for /D %%F in (%%D\Docs) do icacls "%%F\E-Mail" /inheritance:d
for /D %%D in (*) do for /D %%F in (%%D\Docs) do icacls "%%F\E-Mail" /remove:g "st_Job_R"
for /D %%D in (*) do for /D %%F in (%%D\Docs) do icacls "%%F\E-Mail" /remove:g "st_JobDocs"
for /D %%D in (*) do for /D %%F in (%%D\Docs) do icacls "%%F\E-Mail" /remove:d "st_GlobalDeny""
for /D %%D in (*) do for /D %%F in (%%D\Docs) do icacls "%%F\E-Mail" /grant:r "st_JobDocsEmail":(OI)(CI)(F)
for /D %%D in (*) do for /D %%F in (%%D\Docs) do icacls "%%F\E-Mail" /deny "st_GlobalDeny":(OI)(CI)(F)

我认为，通过删除st_GlobalDeny并在最后添加它，我将保持对权限优先级的遵从:显式拒绝、允许、继承拒绝、允许。但是，由于某些原因，当我检查其中一个文件夹的“安全”选项卡时，会得到以下错误：

对目录的权限排序不正确，这可能导致某些条目无效。

有人能帮我理解一下顺序吗?为什么我的顺序不对？另外，是否有命令行工具来更正订单？

作为一个附带的问题，是否可以只删除一个组的继承，而不是使用icacls和/inheritance:d删除所有继承？

谢谢!

Answer 1

全局拒绝未被删除。在/remove:d "st_GlobalDeny“行的脚本示例中，末尾有一个额外的引号。