Остановить наследование разрешений всех вложенных папок в Windows 7

у меня есть несколько папок высоком уровне. Каждая папка высокого уровня имеет куча подпапок.

мне нужно назначить одну группу "Только чтение" на высоком уровне папки, но "чтение и запись" в каждую подпапку и все ниже.

на основе вашего вопроса, вашего комментария и подтверждения того, что высокоуровневые [родительские] папки будут иметь доступ только для чтения. Также подтверждая, что все ниже вложенных папок (и файлов в каждой подпапке) получит доступ к изменению, поэтому ниже приведены два примера выполнения этого в цикле пакетной обработки; один пакетный сценарий и один экземпляр и вставка в командную строку.

набор переменных

• SET TopFolder=:

  • установить SET TopFolder= значение, равное корневой папке [parent] с полным путем и именем папки. Цикл будет установить разрешения на основе того, что существует ниже этой папки предоставление явного доступа ACL modify NFTS.

• SET UserOrGroupName=:

  • установить SET UserOrGroupName= значение, равное имени учетной записи Пользователя или группы безопасности (т. е. <LocalUserName>,<LocalGroupName>,<Domain>\<UserName> или <Domain>\<GroupName>).

Пример Копирования Из Командной Строки

@ECHO ON

SET TopFolder=C:\Users\User\Desktop\HighLevelFolder\Parent1
SET UserOrGroupName=User
::: Grant top folder read and execute access and have beneath folders and files inherit these permissions.
ICACLS "%TopFolder%" /grant:r "%UserOrGroupName%":(OI)(CI)RX
::: Iterate the subfolders beneath the [parent] root-level folder to grant the explicit modify access
FOR /F "TOKENS=*" %G IN ('DIR /B /AD "%TopFolder%\*"') DO ICACLS "%TopFolder%\%~G" /grant:r "%UserOrGroupName%":(OI)(CI)M
GOTO EOF

Пример Пакетного Скрипта

@ECHO ON

SET TopFolder=C:\Users\User\Desktop\HighLevelFolder\Parent1
SET UserOrGroupName=User
::: Grant top folder read and execute access and have beneath folders and files inherit these permissions.     
ICACLS "%TopFolder%" /grant:r "%UserOrGroupName%":(OI)(CI)RX
::: Iterate the subfolders beneath the [parent] root-level folder to grant the explicit modify access
FOR /F "TOKENS=*" %%G IN ('DIR /B /AD"%TopFolder%\*"') DO ICACLS "%TopFolder%\%%~G" /grant:r "%UserOrGroupName%":(OI)(CI)M
GOTO EOF

дальнейшее чтение и Источники

• ICACLS
• ДЛЯ /F

я использовал следующие опции ICACLS:

/grant[:r] Sid:perm grants the specified user access rights. With :r,
    the permissions replace any previously granted explicit permissions.
    Without :r, the permissions are added to any previously granted
    explicit permissions.

perm is a permission mask and can be specified in one of two forms:
    a sequence of simple rights:
            M - modify access
            RX - read and execute access

inheritance rights may precede either form and are applied
only to directories:
        (OI) - object inherit
        (CI) - container inherit