Primeiro, você precisa remover a herança no objeto, o que você pode fazer executando: icacls file.txt /inheritance:d (onde file.txt é o arquivo que você deseja alterar).
Isso removerá a herança, mas copiará as ACLs herdadas para file.txt . Se tiver certeza de que não precisa de nenhuma das ACLs herdadas, basta usar: icacls file.txt /inheritance:r , mas tenha cuidado para não remover acidentalmente suas próprias permissões ao fazer isso.
Em seguida, você pode remover um usuário ou grupo das ACLs em um objeto usando: icacls file.txt /remove:g NTDOMAIN\sAMAccountName ou você pode especificar o usuário / grupo usando o UPN (por exemplo, [email protected] ).
Quando você chega para adicionar usuários / grupos às ACLs, precisa pensar sobre quais permissões deseja que elas tenham. Se full control , isso é representado por F . Se modify , isso é representado por M . Read and Execute por letras RX .
O comando para adicionar um usuário / grupo às ACLs é: icacls file.txt /grant NTDOMAIN\sAMAccountName:(M) - que concede modify permissions (M) a qualquer conta / grupo que especificarmos.
Você pode adicionar usuários / grupos explícitos às ACLs antes de remover a herança no arquivo, em vez de "remover todos os grupos da lista de ACL do arquivo e atribuir grupos diferentes", porque isso pode acabar removendo você da ACL e bloqueando você.