У меня есть сценарий с множеством дочерних папок, и некоторые из них должны иметь явные разрешения NTFS без отключения унаследованных разрешений NTFS. Выглядит примерно так, как показано ниже
root (содержит корень группы NTFS) child1 - требует явных разрешений (содержит root-группу, необходимо добавить group-child1) child2 - не требует изменений (содержит корень группы) child3 - требует явных разрешений (содержит root-группу , необходимо добавить group-child3) child4 - Требуются явные разрешения (содержит root-группу, необходимо добавить group-child4) child5 - Требуются явные разрешения (содержит group-root, необходимо добавить group-child5) child6 - Не требуется изменение (содержит корень группы) child7 - не требует изменений (содержит корень группы)
Есть ли способ иметь только group-childX для дочерних папок, которым требуются явные разрешения, без отключения наследования
Примечание: пользователи, присутствующие в root-группе, также могут быть в group-child1, group-child3, group-child4 и group-child5. Причина в том, что дочерние папки, которым требуются явные разрешения (без отключения наследования), предназначены для определенного пользователя домена, содержащего конфиденциальные данные, которые должны быть предоставлены только группе NTFS group-childX. Я не хочу удалять права наследования, потому что это сильно усложнит администрирование папок. Я попытался добавить разрешения deny для root-прав группы в дочерние папки child1, child3, child4, child5 и добавить group-childX, но он запретил доступ для пользователей в обеих группах.
Чтобы удалить ACE групп или пользователей без отключения наследования, используйте CACLS *folder* /E /R *group/user*. Я знаю, что CACLS устарел, но я не нашел эквивалента при использовании iCacls или SETACL.