使用icacls删除文件权限

Question

有人能帮我从使用icacls的文件中删除特定的安全组吗？

该文件具有从文件所在文件夹继承的所有安全设置。因此，我想从文件的ACL列表中删除所有组，然后分配不同的组。

我怎样才能做到这一点？

Answer 1

首先，您需要删除对象的继承，可以通过运行：icacls file.txt /inheritance:d (其中file.txt是要更改的文件)来完成。

这将删除继承，但将继承的ACL复制到file.txt。如果您确定您不需要继承的任何ACL，您可以只使用：icacls file.txt /inheritance:r，但是要小心，这样做时不要意外地删除您自己的权限。

然后，可以使用：icacls file.txt /remove:g NTDOMAIN\sAMAccountName从对象的ACL中删除用户或组，也可以使用UPN指定用户/组(例如，bob.smith@activedirectory.example.com)。

在将用户/组添加到ACL时，需要考虑希望他们拥有哪些权限。如果是full control，则用F表示。如果是modify，则用M表示。Read and Execute的字母RX。

将用户/组添加到ACL的命令是：icacls file.txt /grant NTDOMAIN\sAMAccountName:(M) -它将向我们指定的帐户/组授予modify权限(M)。

您可能希望在删除文件继承之前将显式用户/组添加到ACL中，而不是“从文件的ACL列表中删除所有组，然后分配不同的组”，因为这可能最终会将您从ACL中删除并将您从ACL中锁定。