普通文章

SetACL Command: Remove Audit Entries – Grok

By wooblog

权限软件SetACL,怎么用命令消除审核者?

SetACL 命令行工具简介

SetACL(通常指 SetACL.exe)是一个免费的命令行工具,用于管理 Windows NTFS 文件和文件夹的访问控制列表 (ACL)。它可以精确控制 DACL(访问权限)和 SACL(系统访问控制列表,用于审核/审计)。在权限管理中,“审核者”通常指 SACL 中的条目,这些条目记录用户对文件/文件夹的访问行为(如读取、写入等),常用于安全审计。

如果您想“消除审核者”,即移除 SACL 中的特定审核条目(例如针对某个用户或组的审核规则),可以使用 SetACL 的 -actn trustee 操作来删除受托人(trustee)的审核设置。以下是详细步骤和命令示例。

前提条件

  • 下载 SetACL.exe:从官方网站( https://helgeklein.com/setacl/)下载最新版本(支持 Windows 10/11/Server)。
  • 以管理员身份运行命令提示符(CMD)或 PowerShell。
  • 测试前备份 ACL:使用 SetACL.exe -on "路径" -ot file -actn acl -op dacl+sacl -xml -backup "备份文件.xml" 导出当前权限。

基本命令结构

要移除审核者(SACL 条目),核心参数:

  • -on "路径" :目标文件或文件夹路径(例如 "C:\MyFolder")。
  • -ot file :对象类型(file 为文件/文件夹)。
  • -actn trustee :操作类型(trustee 表示管理受托人/用户)。
  • -trst "n1:用户;ta:remtrst;w:sacl" :受托人规则。
    • n1:用户 :指定要移除的用户或组(例如 "n1:DOMAIN\Auditors" 或 "n1:Everyone")。
    • ta:remtrst :动作(remtrst 表示移除受托人)。
    • w:sacl :作用于 SACL(审核列表);如果只影响 DACL,用 w:dacl 。
  • -rec cont_obj :递归应用到子文件夹和文件(可选;cont_obj 表示容器和对象)。
  • -ignoreerr :忽略错误,继续处理。

示例命令

  1. 移除特定用户的审核条目(非递归)
    text

    SetACL.exe -on "C:\MyFolder" -ot file -actn trustee -trst "n1:DOMAIN\Auditors;ta:remtrst;w:sacl"
    • 这会从 C:\MyFolder 的 SACL 中完全移除 "DOMAIN\Auditors" 组的审核规则(包括成功/失败审核)。
  2. 递归移除审核者(子文件夹和文件)
    text

    SetACL.exe -on "C:\MyFolder" -ot file -actn trustee -rec cont_obj -trst "n1:DOMAIN\Auditors;ta:remtrst;w:sacl" -ignoreerr
    • 适用于整个目录树,忽略单个文件错误。
  3. 移除所有审核条目(清空整个 SACL)
    text

    SetACL.exe -on "C:\MyFolder" -ot file -actn acl -op sacl -set "n:Everyone;w:SACL;ta:None"
    • 这设置 SACL 为无审核(ta:None 表示无审核)。或用 -actn trustee -trst "n1:Everyone;ta:remtrst;w:sacl" 移除 Everyone 的审核。
  4. 移除 DACL 和 SACL 中的特定用户(如果审核者也影响访问权限)
    text

    SetACL.exe -on "C:\MyFolder" -ot file -actn trustee -trst "n1:DOMAIN\Auditors;ta:remtrst;w:dacl,sacl" -rec cont_obj
    • w:dacl,sacl 表示同时作用于访问权限和审核。

验证命令

运行后,用以下命令检查 SACL:

text

SetACL.exe -on "C:\MyFolder" -ot file -actn acl -op sacl -xml
  • 输出 XML 格式的 SACL;如果无审核条目,则已消除。

注意事项

  • 权限要求 :必须有“更改权限”或“完全控制”权限,否则命令失败。
  • 备份重要 :修改 SACL 前备份,以防意外。
  • 常见错误 :如果路径包含空格,用双引号包围;用户名为 SID 时,用 n1:S-1-5-…。
  • 替代工具 :如果 SetACL 不便,Windows 内置 icacls 可移除 DACL,但对 SACL 支持有限(用 PowerShell 的 Get-Acl -Audit 和 Set-Acl 结合)。SetACL 更适合精确审核管理。
  • 更多帮助 :运行 SetACL.exe -h 查看完整语法,或参考官方文档。

如果您的场景更具体(如网络共享或特定用户),提供更多细节,我可以细化命令!

1.4秒

快速模式

Grok
Socat端口转发隐蔽方法

登录

还没有账号吗? 注册

忘记密码?

注册

重设密码

请输入您的用户名或电子邮箱地址。您会收到一封包含创建新密码链接的电子邮件。