Access-Control-List

icacls:用 DENY ACE 覆蓋現有 ACL

  • January 30, 2015

帶有 /grant:r 的 Icacls 將用指定的新權限替換任何以前授予的顯式權限。但是 /deny 沒有 :r 開關。因此,如果想用顯式 DENY 完全替換現有 ACL,他應該首先刪除現有 SID 的單次出現,然後應用顯式 DENY。

有沒有辦法用 DENY ACL 條目直接覆蓋現有的 ACL?

這可能是設計使然,因為拒絕覆蓋授權。但是,您可以將拒絕和刪除作為單獨的步驟

icacls yourdirectory /deny user:r (or whatever) 
icacls yourdirectory /remove:g user 

引用自:https://serverfault.com/questions/663750