none
windows2012R2共享权限ACL无法去掉设定权限者的账号 RRS feed

  • 问题

  • 主机名:CNA-BJ10
    操作系统:Win2012R2
    共享目录:IT$
    权限设定人:on000012  所属组:domain admins

    问题点:on000012这个账号是设定IT$共享文件夹的权限的,IT-G组和11001_security_WR组内成员能够看到ACL
    中的on000012账号。我的想法是on000012能够设定IT$这个目录的权限,并且on000012这个账号不出现在ACL列表中。
    谢谢啦。

    或者说,通过什么方法,把win2012的磁盘模式(姑且称呼为磁盘模式)改成win2003的模式。让编辑共享文件夹权限的账号,不出现在ACL的列表中。

    再次感谢


    hahale



    2016年10月26日 5:41

答案

  • 這個問題, 可以一開始以管理員身份運行命令提示符

    cmd

    然後用

    mkdir FOLDER

    新建目錄, 接着用

    icacls FOLDER /inheritance:r

    刪除繼承

    有選擇的的通過

    icacls FOLDER /grant USER_NO1:(oi)(ci)(gr)

    這類參數賦予權限, 期間可以賦予當前管理員帳戶 (oi)(ci)(f) 權限
    修改目錄的所有者爲 SYSTEM

    icacls FOLDER /setowner SYSTEM

    如果有必要, 最後移除管理員的權限

    icacls FOLDER /remove:g ADMIN

    另外一種方法是, 通過 psexec, 任務計劃的交互方式, 或預先設置的批處理方式, 直接以 SYSTEM 帳戶設置目錄權限.

    不過涉及到目錄權限重設, 所以無論是用那種特權帳戶都要小心操作, 免得手誤改成其他目錄了.

    還有一種方法是通過 

    cacls /s

    直接賦予目錄特定的 SDDL, 當然 icals 也有類似參數.
    PowerShell 也有 get-acl 和 set-acl 可用, 不過個人覺原生命令 cacls 更方便.


    Folding@Home

    2016年10月28日 3:03

全部回复

  • 经过测试,用icacls命令可以删除ACL中的it的账号信息。

    使用管理员登录系统,

    icacls d:\111 /remove:g  on000012 on000011 /T

    执行效果,删除d:\111下所有文件夹及文件中“on000011、on000012”的权限,不论继承和不继承.

    但不能彻底解决IT管理员加权限后,留下管理员账号的问题。


    hahale

    2016年10月26日 9:34
  • 你好 Hahale,

    您可以建立一个隐藏用户,但没有其他微软内置的程序和方法可以达成对一个用户隐藏在特定的策略下。

    诚挚敬意

    John


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年10月27日 6:55
  • 你好 Hahale,

    您可以建立一个隐藏用户,但没有其他微软内置的程序和方法可以达成对一个用户隐藏在特定的策略下。

    诚挚敬意

    John


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    您好,john,

    我百度了一下,建立隐藏账号需要修改文件服务器的注册表,服务器已在运行了,我不敢随意修改注册表呀。

    再次感谢您

    通过我的部长了解到,在总公司IT本部实现了这个功能,我的部长本人不好意思向本部IT进行咨询。



    hahale


    2016年10月27日 8:05
  • 您好 Hahale,

    微软并没有特定的详细的文档来说明这个功能,我建议您可以去咨询您公司的IT部门寻求帮助,如果您可以把您的解决方案提供在这里,其他有同样需求的用户也将会受到您的帮助。

    诚挚敬意

    John


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年10月28日 2:26
  • 這個問題, 可以一開始以管理員身份運行命令提示符

    cmd

    然後用

    mkdir FOLDER

    新建目錄, 接着用

    icacls FOLDER /inheritance:r

    刪除繼承

    有選擇的的通過

    icacls FOLDER /grant USER_NO1:(oi)(ci)(gr)

    這類參數賦予權限, 期間可以賦予當前管理員帳戶 (oi)(ci)(f) 權限
    修改目錄的所有者爲 SYSTEM

    icacls FOLDER /setowner SYSTEM

    如果有必要, 最後移除管理員的權限

    icacls FOLDER /remove:g ADMIN

    另外一種方法是, 通過 psexec, 任務計劃的交互方式, 或預先設置的批處理方式, 直接以 SYSTEM 帳戶設置目錄權限.

    不過涉及到目錄權限重設, 所以無論是用那種特權帳戶都要小心操作, 免得手誤改成其他目錄了.

    還有一種方法是通過 

    cacls /s

    直接賦予目錄特定的 SDDL, 當然 icals 也有類似參數.
    PowerShell 也有 get-acl 和 set-acl 可用, 不過個人覺原生命令 cacls 更方便.


    Folding@Home

    2016年10月28日 3:03
  • 您好,

    想确认您当前的问题是否已经被解决,如果您需要进一步的帮助,欢迎回到论坛,我们将为您做出更好的技术支持。

    诚挚敬意

    John


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年11月8日 1:49
  • 這個問題, 可以一開始以管理員身份運行命令提示符

    cmd

    然後用

    mkdir FOLDER

    新建目錄, 接着用

    icacls FOLDER /inheritance:r

    刪除繼承

    有選擇的的通過

    icacls FOLDER /grant USER_NO1:(oi)(ci)(gr)


    repl,非常感谢您。我最终的解决方法是用使用域管理员登录文件服务器,用icacls命令删除ACL中,出现的it管理员账号。谢谢您


    hahale

    2016年11月11日 8:29
  • 您好,

    想确认您当前的问题是否已经被解决,如果您需要进一步的帮助,欢迎回到论坛,我们将为您做出更好的技术支持。

    诚挚敬意


    John,非常感谢,问题变向解决了。再次感谢。

    hahale

    2016年11月11日 8:31