Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]

Groups > de.comp.os.ms-windows.misc > #235273

Re: icacls Problem

From christian_dcomwm-ENTF@soemtron.de (Christian @Soemtron)
Newsgroups de.comp.os.ms-windows.misc
Subject Re: icacls Problem
Date 2026-02-28 20:52 +0200
Organization MB-NET.NET for Open-News-Network e.V.
Message-ID <HJhIjwynVaB@point04.soemtron.de> (permalink)
References <HGQfi0EYVaB@point04.soemtron.de> <HJhHezTYVaB@point04.soemtron.de> <10nuabc$37md1$1@dont-email.me>

Show all headers | View raw

Frank Müller <dw2fm@hotmail.com> schrieb:

>>> Alle Benutzer dürfen in c:\test alles, mit einer Ausnahme:
>>> in c:\test\protected (und darunter) dürfen keinerlei
>>> Schreibvorgänge ausgeführt werden.
>> icacls.exe c:\test /grant:r *S-1-5-32-545:(OI)(CI)F /Q /C /T
>> icacls.exe c:\test\protected /inheritance:d /Q /C /T
>> icacls.exe c:\test\protected /remove:g *S-1-5-32-545 /Q /C /T
>> icacls.exe c:\test\protected /grant:r *S-1-5-32-545:(OI)(CI)RX /Q /C /T

> In Zeile 4 setzt du den RX, da hat man Lese und auch
> Ausführungszugriff, nur Ändern kann man nicht.

So soll es auch sein.

> Zeile 3 könntest du weglassen, /grant:r sollte alles
> ersetzen was für *S-1-5-32-545 gesetzt war, da
> brauchst du das nicht vorher mit /remove:g löschen.

Das habe ich versucht. Aber danach sind vorhandene Dateien löschbar.  
Irgend eine Randbedingung oder Test ist mir bei der vielen Tipperei wohl  
durch die Lappen gegangen, denn die o.g. Befehlsfolge macht auch nicht  
das Gewünschte :-( Vorhandene Dateien sind als Benutzer nicht ausführbar,  
der Benutzer-ACE fehlt. Nur neue Dateien bekommen ihn. Wie ist das zu  
erklären?
icacls c:\Test\Protected ist nicht hilfreich und zeigt vor und nach den  
beiden icacls-Aufrufen das Gleiche an.

Um es reproduzierbar zu machen, teste ich nun auf einer Neuinstallation  
mit dieser Batch (Z ist ein Netzwerk- bzw. VirtualBox-Share mit u.a.  
Vorher.exe im Verzeichnis Test\Protected):
---//---
icacls.exe c:\ /Deny *S-1-5-32-545:(AD,WD) /Remove:d *S-1-5-32-545 /Remove:g *S-1-5-11
md c:\Test
xcopy.exe /sy Z:\install\Test\Protected c:\Test\Protected\

icacls.exe c:\Test /grant:r *S-1-5-32-545:(OI)(CI)F /Q /C /T
icacls.exe c:\Test\Protected /inheritance:d /Q /C /T
icacls.exe c:\Test\Protected /remove:g *S-1-5-32-545 /Q /C /T
icacls.exe c:\Test\Protected /grant:r *S-1-5-32-545:(OI)(CI)RX /Q /C /T

copy Z:\install\Test\Nachher.exe c:\Test\Protected
icacls.exe c:\Test\Protected
icacls.exe c:\Test\Protected\Vorher.exe
icacls.exe c:\Test\Protected\Nachher.exe
---//---
Wie gesagt, Nachher.exe ist ausführbar, Vorher.exe nicht. Ohne "(OI)" im  
letzten Aufruf ist es umgekehrt. Bin ratlos...

cu,
Christian

PGP Key available.

Back to de.comp.os.ms-windows.misc | Previous | NextPrevious in thread | Next in thread | Find similar

Thread

Re: icacls Problem christian_dcomwm-ENTF@soemtron.de (Christian @Soemtron) - 2026-02-28 00:38 +0200
  Re: icacls Problem Frank Müller <dw2fm@hotmail.com> - 2026-02-28 09:51 +0100
    Re: icacls Problem christian_dcomwm-ENTF@soemtron.de (Christian @Soemtron) - 2026-02-28 20:52 +0200
      Re: icacls Problem christian_dcomwm-ENTF@soemtron.de (Christian @Soemtron) - 2026-03-04 20:53 +0200

csiph-web