Una observación primero: cada vez que bloquea la herencia, se corta la flexibilidad futura. Evito bloquear la herencia a toda costa.
Si necesita que los usuarios puedan enumerar el contenido de la carpeta "E: \ Directorios principales" de nivel superior, por ejemplo, considere el siguiente permiso:
- SISTEMA - Control total - Aplicado a esta carpeta, subcarpetas y archivos
- BUILTIN \ Administrators - Control total - Aplicado a esta carpeta, subcarpetas y archivos
- BUILTIN \ Usuarios autenticados - Leer y ejecutar - Aplicado solo a esta carpeta
El último permiso no se hereda en las subcarpetas. En cada subcarpeta, la herencia permanece habilitada y simplemente especifica al usuario con los derechos "Modificar" o "Control total" (dependiendo de cómo se sienta acerca de que los usuarios puedan establecer permisos dentro de su directorio de inicio). (Por lo general, establezco ese último permiso agregando "Usuarios autenticados" en la hoja de propiedades de seguridad no "Avanzada", desmarcando las casillas de verificación "Leer" y "Leer y ejecutar". Luego procedo al cuadro de diálogo "Avanzado" y cambio la casilla Configuración "Aplicar en" para ese ACE a "Esta carpeta solamente". Esa es la forma más fácil, en términos de número de clics, para configurarlo.)
Entonces, tu guión se convierte en:
set /p userDir=Enter the login of the user's directory you're modifying permissions for. (i.e. jDoe)
TAKEOWN /f "E:\Home Directories\%userDir%" /r /d y
ICACLS "E:\Home Directories\%userDir%" /reset /T
ICACLS "E:\Home Directories\%userDir%" /grant:r "MYDOMAIN\%userDir%":(OI)(CI)F
ICACLS "E:\Home Directories\%userDir%" /setowner "MYDOMAIN\%userDir%" /T
Sospecho firmemente que la adición del permiso "Usuarios autenticados" que describí anteriormente con la herencia establecida en "Esta carpeta solamente" le dará lo que está buscando en funcionalidad y le dará flexibilidad futura si se entera que debe establecer un permiso que podría necesitar heredar en todos los directorios principales de los usuarios en el futuro.
Este es mi SOP para directorios de inicio de usuarios, carpetas redirigidas de "Mis documentos", "Escritorio", etc., y para directorios de perfil de usuario itinerantes. Funciona muy bien
Editar
re: su comentario sobre el acceso BUILTIN \ Administrators
He tenido varias discusiones con la gente sobre mi opinión sobre la concesión de acceso a BUILTIN \ Administrators a lo largo de los años, y mi opinión es esta:
Es más fácil resolver una cierta clase de problemas de usuario si puede acceder a sus archivos. Es difícil "tomar posesión" y puede ser bastante lento si también hay una gran cantidad de archivos presentes.
Como ha visto con ICACLS, BUILTIN \ Administrators puede "asignar" la propiedad (además de "tomarla") para que no se agregue "seguridad" al no tener los archivos accesibles para BUILTIN \ Administrators en primer lugar.
A menos que esté utilizando la auditoría (y seleccionando una cantidad potencialmente enorme de entradas positivas falsas), no habrá un seguimiento de auditoría cuando un usuario BUILTIN \ Administradores tome posesión de los archivos a los que no debería acceder, los copia y luego devuelve los archivos a su propietario y permiso "adecuado".
En el mundo de Microsoft, el sistema de cifrado de archivos (EFS) está destinado a resolver el problema de evitar el acceso no autorizado de BUILTIN \ Administrators. Las ACL de NTFS no resuelven ese problema. (Obviamente, EFS no es el único programa en la ciudad. El cifrado es la verdadera respuesta para resolver el problema de "limitar el acceso del administrador de la red" sin importar cómo lo corte).
En mi opinión, no especificar BUILTIN \ Administradores con acceso a los directorios de inicio de los usuarios (y, de hecho, a cualquier carpeta) significa que está aumentando la complejidad y el tiempo necesarios para resolver problemas al tiempo que proporciona menos seguridad real ("menos que ninguno "porque imparte una falsa sensación de seguridad donde no la hay).
He dejado de tratar de ganar la discusión con la gente por lógica. Parece ser un problema emocional con algunas personas. Es como el tonto ACE "Denegar / Recibir como" que se coloca en la raíz de una organización de Exchange para evitar que ciertos grupos privilegiados abran los buzones de los usuarios. No ofrece seguridad real (ya que sin una auditoría se podría eliminar / volver a aplicar el ACE según sea necesario), una falsa sensación de seguridad y se interpone en el camino al resolver problemas reales.
Incluso si no le gusta mi argumento acerca de que BUILTIN \ Los administradores tienen acceso, desea mantener intacta la jerarquía de herencia mediante el uso de la herencia "Esta carpeta solamente" cuando corresponda. El bloqueo de la herencia en las jerarquías de permisos es una señal segura de que algo sobre el diseño está "roto" (invertido, etc.).