Назад | Перейти на главную страницу

icacls для локальной группы удаленной машины

Я пытаюсь использовать icacls для настройки разрешений на удаленную папку, когда получателем является локальная группа удаленного сервера. С машины Foo я пытаюсь предоставить права на изменение для группы Bar \ Users для папки на машине Bar. Выполнить все это на Bar - не вариант.

Когда я делаю

icacls \\bar\Share\Path /grant bar\Users:M

Я получаю следующую ошибку:

bar \ Users: не было выполнено сопоставление между именами учетных записей и идентификаторами безопасности. Успешно обработано 0 файлов; Не удалось обработать 1 файл

Если я процитирую название группы, например:

icacls \\bar\Share\Path /grant bar\"Users":M

Я получаю другое сообщение:

bar "Пользователи: не удалось установить доверительные отношения между основным доменом и доверенным доменом. Успешно обработано 0 файлов; Не удалось обработать 1 файл.

Есть идеи, пожалуйста? У учетной записи, под которой я это делаю, есть права администратора как на foo, так и на bar. И foo, и bar - это компьютеры с Windows Server 2008 в одном домене, и ни один из них не является контроллером домена.

Если вы действительно пытаетесь предоставить доступ группе «Пользователи», просто опустите «полосу» и предоставьте ее пользователям. Внутри он преобразуется в SID локально на foo, а затем предоставляет доступ к этому SID. Группа «Пользователи» - это «Общая учетная запись», где SID везде одинаков.

Обновление: из комментариев ниже, это будет работать, если вышеуказанное не работает:

icacls \ bar \ Share \ Path / grant * S-1-5-32-545: M

Изменение будет отображаться как особые разрешения в дополнительных свойствах безопасности.