Access-Control-List
icacls:用 DENY ACE 覆蓋現有 ACL
帶有 /grant:r 的 Icacls 將用指定的新權限替換任何以前授予的顯式權限。但是 /deny 沒有 :r 開關。因此,如果想用顯式 DENY 完全替換現有 ACL,他應該首先刪除現有 SID 的單次出現,然後應用顯式 DENY。
有沒有辦法用 DENY ACL 條目直接覆蓋現有的 ACL?
這可能是設計使然,因為拒絕覆蓋授權。但是,您可以將拒絕和刪除作為單獨的步驟
icacls yourdirectory /deny user:r (or whatever) icacls yourdirectory /remove:g user