Icacls с / grant: r заменит любые ранее предоставленные явные разрешения новыми указанными. Но нет переключателя: r для / deny. Поэтому, если кто-то хочет полностью заменить существующий ACL явным DENY, он должен сначала удалить отдельные вхождения существующих SID, а затем применить явный DENY.
Есть ли способ напрямую перезаписать существующий ACL записью DENY ACL?
Вероятно, это сделано намеренно, потому что запрещает переопределение грантов. Однако вы можете отклонить и удалить как отдельные шаги
icacls yourdirectory /deny user:r (or whatever)
icacls yourdirectory /remove:g user