¿Cómo volver a aplicar los permisos heredados originales a los archivos creados siendo administrador?

tag-icon tag-icon windows-server-2012-r2 windows-server-2016 file-permissions access-control-list administrative-privileges
¿Cómo volver a aplicar los permisos heredados originales a los archivos creados siendo administrador?

Espero que alguien pueda responder esto de una vez por todas, esto me está volviendo loco desde hace meses.

  • Plataforma: Servidor de windows, cualquier versión. Este problema no ocurre en unpuesto de trabajo.
  • Problema:

En una carpeta, cada vez que creo archivos mientras estoyAdministrador(desde el símbolo del sistema o desde una ejecución por lotes "Como administrador", el usuario con el que estoy conectado no puede editar los archivos creados. Al conjunto de permisos le falta mi usuario con "permisos especiales" (lo que sea que eso signifique), mientras que esto no sucede en una estación de trabajo.

Probé muchas versiones de ICACLS, entre ellas la que aparece todo el tiempo en los resultados de búsqueda: ICACLS folder /reset /C /L /Ty no ayuda: mi usuario todavía no puede editar los archivos a menos que esté en el conjunto de permisos.

El único bypass que encontré es forzar la concesión de acceso completo a mi usuario de esta manera:icacls folder /grant %USERNAME%@%USERDNSDOMAIN%:F /T /C /Q

El problema es que el conjunto de permisos para archivos aún no coincide con lo que deberían ser:

  • falta CREADOR DUEÑO
  • COMPUTERNAME\A los usuarios les falta herencia ("Permisos especiales")

¿Hay algo que estoy haciendo mal?

¿Cuál es la mejor práctica al ejecutar lotes como administrador, cuando desea que los archivos creados tengan los mismos permisos que si no estuviera ejecutando el lote como administrador? ¿Es posible restablecer los permisos a la forma en que deberían ser sin escribir un lote con múltiples condiciones?

Respuesta1

No creo que estés haciendo nada malo y que el sistema esté funcionando según lo diseñado. Cuando ejecuta un script con una cuenta elevada dentro de una sesión sin privilegios, está creando el archivo como administrador. Hasta donde tengo entendido, los miembros del grupo de administradores tendrán permiso completo, no la cuenta de usuario que inició sesión. Los permisos de usuario deberán agregarse al archivo exactamente como lo está omitiendo. También puedes usar takeown %USERNAME% en tu script para cambiar el propietario del archivo. Creo que necesitarás agregar las condiciones a tus archivos por lotes.

Respuesta2

no hay solución, solo una alternativa: fuerce la aplicación de permisos otorgando acceso completo al usuario de su elección:

icacls folder /grant %USERNAME%@%USERDNSDOMAIN%:F /T /C /Q

información relacionada