Установка Запретить разрешения с ICACLS на "Эта папка"

Question

ICACLS "{PATH}" /DENY "{AD Group}:(D)"

Я хочу запретить {AD Group} удалять родительскую папку, но у меня все еще есть права на удаление дочерней папки и файлов. Однако, когда я устанавливаю DENY Delete на родительском объекте, он запрещает доступ к папке.

Я прочитал, что это ошибка синхронизации, но если я установил (D, S), я могу пройти по папке, но я также могу удалить ее.

В настоящее время ACL_FILE_IST является единственным разрешением для папки.

Кто-нибудь видел обходной путь?

ICACL КОМАНДЫ

• ICACLS "C:\TEMP\TestPermissions" /GRANT "ACL_FILE_IST:(OI)(CI)(M)"
• ICACLS "C:\TEMP\TestPermissions" /DENY "ACL_FILE_IST:(D)"

ICACLS ACL

testpermissions

D: ИАП (Д ;; 0x110000 ;;; S-1-5-21-964777865-1556211951-2005962405-8309)(А; OICI; 0x1301bf ;;; S-1-5-21-964777865-1556211951-2005962405- 8309)

Answer 1

Я использовал сторонний инструмент SETACL, чтобы решить эту проблему. Похоже, работает.

SETACL -ON "{PATH}" -OT FILE -ACTN ACE -ACE "N:{AD_GROUP};P:DELETE;I:NP;M:DENY"

Answer 2

Попробуй и протестируй> путь "icacls" / откажи группе AD:(CI)D