Мне нужно добавить полные разрешения для определенной группы пользователей ко всем папкам / файлам и подпапкам на нашем файловом сервере без изменения других разрешений.
Несколько лет назад кто-то удалил группу «Администраторы» из инфраструктуры папок на файловом сервере, и все новые папки были созданы с правами «Администраторы домена». Теперь я создал специальную группу Active Directory, которая является членом локальных администраторов на файловом сервере, но я не могу предоставить этой группе доступ ко всем папкам и подпапкам, потому что наследование отключено для многих подпапок и файлов. Я знаю, что могу добавить эту группу вручную для каждой папки, где наследование отключено, но мы говорим здесь о нескольких сотнях папок. Так можно ли предоставить этой новой группе AD полный доступ ко всем папкам на файловом сервере?
Вы можете использовать icacls.exe
Например:
icacls "<root folder>" /grant "Domain Admins":F /t
добавит Полный доступ к группе «Администраторы домена» к «корневой папке» и каждой папке внутри.
Если вы добавите ": r" после Grant, разрешения будут заменены, а не добавлены.
icacls "<root folder>" /grant:r "Domain Admins":F /t
Основные разрешения:
Full Control (F)
Modify (M)
Read & Execute (RX)
List Folder Contents (X,RD,RA,REA,RC)
Read (R)
Write (W)
Расширенные разрешения:
Full Control (F)
Traverse folder / execute file (X)
List folder / read data (RD)
Read attributes (RA)
Read extended attributes (REA)
Create file / write data (WD)
Create folders / append data (AD)
Write attributes (WA)
Write extended attributes (WEA)
Delete subfolders and files (DC)
Delete (D)
Read permissions (RC)
Change permissions (WDAC)
Take ownership (WO)
Вы также можете указать наследование для папок:
This folder only
This folder, subfolders and files (OI)(CI)
This folder and subfolders (CI)
This folder and files (OI)
Subfolders and files only (OI)(CI)(NP)(IO)
Subfolders only (CI)(IO)
Files only (OI)(IO)