Configurando permissões NTFS para compartilhar a herança de quebras de raiz

Estou tendo um problema com o Windows 2012 R2 em que a configuração de permissões NTFS na raiz de um compartilhamento interrompe a herança e as permissões NTFS são efetivamente substituídas pelo novo ACE. A única maneira de ilustrar isso é mostrando como reproduzi esse problema.

Primeiro, vamos tirar o Share da equação - onde tudo funciona bem.

Eu criei uma pasta em C: \ chamada Data. Se eu pegar a ACL atual, tudo parece correto.

C:\>icacls c:\data
c:\data NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
    BUILTIN\Administrators:(I)(OI)(CI)(F)
    BUILTIN\Users:(I)(OI)(CI)(RX)
    BUILTIN\Users:(I)(CI)(AD)
    BUILTIN\Users:(I)(CI)(WD)
    CREATOR OWNER:(I)(OI)(CI)(IO)(F)

Agora, vou adicionar um ACE - um muito básico.

C:\>icacls c:\data /grant everyone:(RX)
processed file: c:\data
Successfully processed 1 files; Failed processing 0 files

Eu posso verificar se isso funcionou, re-executando o primeiro comando.

C:\>icacls c:\data
c:\data Everyone:(RX)
        NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
        BUILTIN\Administrators:(I)(OI)(CI)(F)
        BUILTIN\Users:(I)(OI)(CI)(RX)
        BUILTIN\Users:(I)(CI)(AD)
        BUILTIN\Users:(I)(CI)(WD)
        CREATOR OWNER:(I)(OI)(CI)(IO)(F)

Nenhum problema até agora. Agora removi a ACE e compartilhei a unidade C: \ Data como Data, usando o seguinte comando:

Net share Data=C:\Data /grant:Everyone,full

Verificando a ACL deste compartilhamento, posso ver que são iguais a C: \ Data - como deveriam ser.

C:\>hostname
mgmt57

C:\>icacls \mgmt57\data
\mgmt57\data NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
              BUILTIN\Administrators:(I)(OI)(CI)(F)
              BUILTIN\Users:(I)(OI)(CI)(RX)
              BUILTIN\Users:(I)(CI)(AD)
              BUILTIN\Users:(I)(CI)(WD)
              CREATOR OWNER:(I)(OI)(CI)(IO)(F)

Mais uma vez, adiciono a mesma ACE que a primeira, mas desta vez ao compartilhamento.

C:\>icacls \mgmt57\data /grant everyone:(RX)
processed file: \mgmt57\data
Successfully processed 1 files; Failed processing 0 files

Agora você verá o problema quando eu verificar a ACL.

C:\>icacls \mgmt57\data
\mgmt57\data Everyone:(RX)

Successfully processed 1 files; Failed processing 0 files

O mesmo problema é aparente no disco local.

C:\>icacls c:\data
c:\data Everyone:(RX)

Successfully processed 1 files; Failed processing 0 files

A única maneira de corrigir essa ACL agora é verificar a caixa destacada abaixo.

Agora,aperguntaé:comopossousaroICACLSnaraizdeumcompartilhamentosemdanificaraACLcomoilustreiaqui?

Possoconfirmarque:

• Nãoéumproblemacomumservidor-reproduziesseproblemaemmuitos.
• ÉumproblematantocomoDatacenterquantocomaediçãoStandard-masnãotenteinenhumoutroSOdiferentedoWindows2012R2.
• Osservidoresestãototalmenteatualizadoscompatches
• OproblemanãoocorreseeuadicionarACEaumasubpastasobraiz(porexemplo,seeudefinirACLdeumapasta\\server\share\),oquesignificaqueminhasoluçãoatualédefinirasACLspara\\servidor\c$\data.Observação:estasoluçãoalternativarequerquevocêsejaumadministradordoservidoremquestão,eéporissoquenãoéumasolução.Nomeucasodeuso,aspessoasquedefinemaspermissõesnãosãoAdministradores,mastêmpermissãosuficienteviaNTFSparaadicionarnovasACEs
• Aspermissõesdecompartilhamentonãosãorelevantesparaoproblema
• aspermissõesNTFSusadasnomeuexemploacimatambémnãosãorelevantes-oproblemaocorrecomqualquerpermissãoNTFSadicionadaàraizdocompartilhamento.
• UsarummétododiferentedoICACLS(porexemplo,PowershelleSet-ACL)forneceomesmoresultado
• Apenasaherançaéinterrompida-outraspermissõesqueforamatribuídasàpastaraizpermanecemintactas.Porexemplo,seeuadicionarduaspermissões,vereiasduasetodasaspermissõesherdadasdesaparecerão.
• Oproblemanãoéapenascosmético-seeuadicionarumgrupodoqualnãosoumembronaraizdocompartilhamentoe,emseguida,tentarusaroWindowsExplorerparanavegarnoequavalentelocal,recebooseguinteerro:

Desculpe por uma pergunta tão longa, mas eu queria mostrar que fiz um grande esforço para isolar esse problema. Não consegui encontrar outras pessoas com o mesmo problema.