Удалить SID с помощью ICACLS

Я нашел самый портативный и самый простой способ использовать /save и /restore функции icacls:

icacls C:\ /save D:\creds.txt /T

А потом я бы использовал Vim или другой gred/sed/awk эквивалент манипулирования файлом. Это позволяет мне удалить SID, заменить SID и т. Д. После завершения работы с файлом я делаю

icacls C:\ /restore D:\creds.new.txt /T

Это. Не нужно скачивать другие программы. Не нужно изучать еще один нестандартный синтаксис командной строки. Я просто создаю фиктивный файл и использую графический интерфейс или что-то еще, чтобы сделать ACL именно таким, каким я хочу, используйте /save чтобы увидеть, как выглядит результирующая строка ACE, просто скопируйте и вставьте эту строку ACE в creds.new.txt.

Вы можете легко сделать это с помощью SetACL:

SetACL -on C:\Path -ot file -actn trustee -trst 
       "n1:S-1-5-21-1883347182-1220252494-433279356-1095;s1:y;ta:remtrst;w:dacl"

Мое предложение другому аналогичный вопрос

"возможно, вы ищете SUBINACL. Загрузите его Вот

subinacl.exe / справка / cleandeletedsidsfrom обеспечивает следующее:

/ cleandeletedsidsfrom = домен [= dacl | sacl | owner | primarygroup | all]

удалить все ACE, содержащие удаленные (недействительные) идентификаторы Sid из имени домена. Вы можете указать, какая часть дескриптора безопасности будет сканироваться (по умолчанию = все). Если владелец удален, новым владельцем будет группа «Администраторы». Если основная группа удалена, новой основной группой будет группа «Пользователи». Похоже, вы можете использовать это с /файл или /Поделиться или / подкаталоги по мере необходимости

Почему бы просто не использовать графический интерфейс? Откройте свойства папки и удалите нежелательный SID из настроек безопасности. У меня это всегда срабатывало.