我正在尝试使用icacls修改文件上的ACL。我希望此文件由管理员拥有,并且只能由管理员访问。我发现了如何让管理员成为文件的所有者,我知道如何从安全列表中删除一个组但我不知道如何删除所有组但是如果我不知道管理员组的名称其他团体。
我正在寻找一种方法告诉Windows我只想让管理员访问该文件,并删除任何其他用户/组(如果有的话)。
我尝试使用通配符,但它不起作用。
这是我的剧本:
$domain = [Environment]::UserDomainName
$user = [Environment]::UserName
icacls $myinvocation.mycommand.path /setowner "$domain\$user" /T
icacls $myinvocation.mycommand.path /grant "$domain\$user"
icacls $myinvocation.mycommand.path
答案 0 :(得分:2)
理论上,您可以在授予后使用:r(请参阅Docs)。但是,在实践中我无法做到这一点。我认为:r表示“仅为指定用户替换permisions ”。
我在Powershell中测试了以下解决方案,但它工作正常。
# Reset the folder to just it's inherited permissions
icaclsname c:\temp\test /reset
# Then, disable inheritance and remove all inherited permissions
icacls c:\temp\test /inheritance:r
# Note the :r after grant. It's not now needed, but I've left it in anyway.
# Permissions replace previously granted explicit permissions.
# Also note the :F, where : is escaped with `. This grants FULL CONTROL.
# You can replace F with whatever level of control is required for you.
icacls c:\temp\test /grant:r $domain\$user`:F