Я смотрю на использование icacls.exe. Однако, прежде чем продолжить, я хотел прояснить разницу между этими двумя ACL:
(OI) - object inherit
(CI) - container inherit
Эти флаги контролируют наследование списков ACL. Есть и другие флаги - IO и NP. Вы можете узнать о них больше в статье, на которую я ссылаюсь ниже.
Короче говоря, записи управления доступом (ACE), помеченные только как «Наследование объекта», применяют этот ACE к файлам в папке, но не к подпапкам в этой папке. ACE, помеченные только как «Наследование контейнера», применяют этот ACE к подпапкам папки, но не к файлам.
Возможны и другие варианты. Здесь вы можете увидеть более подробные, удобочитаемые описания: