他のアクセス許可を変更せずに、特定のユーザーグループの完全なアクセス許可を、ファイルサーバー上のすべてのフォルダー/ファイルおよびサブフォルダーに追加する必要があります。
数年前、誰かがファイルサーバーのフォルダインフラストラクチャから "Administrators"グループを削除し、すべての新しいフォルダが "Domain Admins"権限で作成されました。ここで、ファイルサーバーのローカル管理者のメンバーである専用のActive Directoryグループを作成しましたが、多くのサブフォルダーとファイルで継承が無効になっているため、このグループにすべてのフォルダーとサブフォルダーへのアクセス権を与えることはできません。継承が無効になっているすべてのフォルダーに対してこのグループを手動で追加できることは承知していますが、ここでは数百のフォルダーについて話しています。それで、この新しいADグループにファイルサーバー上のすべてのフォルダーへのフルアクセスを与えることは可能ですか?
icacls.exe を使用できます
例えば:
icacls "<root folder>" /grant "Domain Admins":F /t
「Domain Admins」グループへのフルアクセスを「ルートフォルダ」とその中のすべてのフォルダに追加します。
Grantの後に ":r"を追加すると、アクセス許可は追加されずに置き換えられます。
icacls "<root folder>" /grant:r "Domain Admins":F /t
基本的な権限は次のとおりです。
Full Control (F)
Modify (M)
Read & Execute (RX)
List Folder Contents (X,RD,RA,REA,RC)
Read (R)
Write (W)
高度な権限は次のとおりです。
Full Control (F)
Traverse folder / execute file (X)
List folder / read data (RD)
Read attributes (RA)
Read extended attributes (REA)
Create file / write data (WD)
Create folders / append data (AD)
Write attributes (WA)
Write extended attributes (WEA)
Delete subfolders and files (DC)
Delete (D)
Read permissions (RC)
Change permissions (WDAC)
Take ownership (WO)
フォルダーの継承を指定することもできます。
This folder only
This folder, subfolders and files (OI)(CI)
This folder and subfolders (CI)
This folder and files (OI)
Subfolders and files only (OI)(CI)(NP)(IO)
Subfolders only (CI)(IO)
Files only (OI)(IO)