リモートマシンのローカルグループ用の icacls

リモートマシンのローカルグループ用の icacls

権限付与先がリモート サーバーのローカル グループである場合に、icacls を使用してリモート フォルダーの権限を調整しようとしています。マシン Foo から、マシン Bar 上のフォルダーに対するグループ Bar\Users の変更権限を付与しようとしています。すべてを Bar 上で実行することは、実際には選択肢ではありません。

私がする時

icacls \\bar\Share\Path /grant bar\Users:M

次のエラーが発生します:

bar\Users: アカウント名とセキュリティ ID 間のマッピングは行われませんでした。0 個のファイルを正常に処理しました。1 個のファイルを処理できませんでした。

グループ名を引用すると次のようになります。

icacls \\bar\Share\Path /grant bar\"Users":M

別のメッセージが表示されます:

bar"ユーザー: プライマリ ドメインと信頼されたドメイン間の信頼関係が失敗しました。0 個のファイルを正常に処理しました。1 個のファイルを処理できませんでした

何かアイデアはありますか? 私がこれを実行しているアカウントには、foo と bar の両方の管理者権限があります。foo と bar はどちらも同じドメイン上の Windows Server 2008 マシンであり、どちらもドメイン コントローラーではありません。

答え1

本当に Users グループにアクセスを許可しようとしている場合は、「bar\」を削除して、Users に許可するだけです。内部的には、foo のローカルで SID に変換され、その SID へのアクセスが許可されます。Users グループは、SID がどこでも同じである「共通アカウント」です。

更新: 以下のコメントによると、上記の方法が機能しない場合は、これが機能します。

icacls \bar\Share\Path /grant *S-1-5-32-545:M

変更は、高度なセキュリティ プロパティの特別なアクセス許可として表示されます。

関連情報