Szybko zmieniasz uprawnienia systemu Windows dla ogromnego drzewa katalogów?

Mam ogromny katalog w systemie plików NTFS (tj. Katalog najwyższego poziomu zawierający dziesiątki lub setki milionów węzłów potomnych z węzłami plików prawdopodobnie o głębokości około trzech poziomów) , dla których muszę zmienić uprawnienia. W szczególności muszę przyznać nowemu użytkownikowi (lub grupie) dostęp tylko do odczytu do absolutnie wszystkiego w drzewie katalogów.

Najbardziej oczywistym miejscem do tego jest Eksplorator Windows, klikając prawym przyciskiem myszy katalog najwyższego poziomu i przechodząc do zakładki bezpieczeństwa w oknie właściwości katalogu. Jednak podczas wypróbowywania oczywistych rzeczy Eksplorator Windows wydaje się podekscytowany, aby rekurencyjnie przeglądać całe drzewo katalogów i próbować zmodyfikować coś w zakresie uprawnień każdego węzła w drzewie. Jest to wyjątkowo nieefektywne w przypadku tak dużego katalogu!

Czy ktoś może zaoferować jakieś wskazówki dotyczące zmiany uprawnień bez tego rekurencyjnego zejścia? Czy muszę kliknąć coś konkretnego w GUI? Czy muszę używać narzędzi wiersza polecenia? Czy może to wynikać z tego, że poprzedni sysadmin zrobił coś dziwnego z uprawnieniami w tym katalogu?

Muszę także włączyć udostępnianie sieci i pozwolić użytkownikowi / grupie zamontować katalog przez sieć. Jeszcze tego nie próbowałem, więc nie wiem, czy będzie podobna puszka robaków, kiedy spróbuję umożliwić udostępnianie.

Dotyczy to systemu Windows 2008 Server, jeśli ma to znaczenie.

EDYCJA : Ludzie mają rację, że prawdopodobnie bardziej sensowne jest zezwolenie na grupę domen niż na konkretne konto, więc zanotowałem to powyżej (tak robiłem i tak. Nie wiem, dlaczego konkretnie zapytałem o dodaniu użytkownika w pierwotnym pytaniu. Przepraszamy za niechlujstwo) . Ale oczywiście dodanie grupy do listy uprawnień do folderu nie jest szybsze niż dodanie użytkownika (żadna z istniejących grup nie ma uprawnień tylko do odczytu).

W takim przypadku nie trzeba zadzierać z uprawnieniami NTFS.

Po prostu utwórz udział w katalogu najwyższego poziomu i dodaj użytkowników lub grupy do udziału z uprawnieniem tylko do odczytu (lub jeśli chcesz zapisywać).

Nawet jeśli wszyscy mają uprawnienia Pełna kontrola NTFS w katalogu najwyższego poziomu, zostaną użyte najbardziej restrykcyjne uprawnienia (udział lub NTFS).

Jeśli chcesz, aby użytkownik miał uprawnienia do odczytu folderu i wszystkich podfolderów, uprawnienia do podfolderów również muszą zostać zmienione. Wygląda na to, że dziedziczenie jest już ustawione, a ty po prostu nie chcesz czekać, aż to dziedziczenie przejdzie do wszystkich obiektów potomnych. Jedyne, co możesz zrobić oprócz czekania, to dodać użytkownika do istniejącej grupy, która ma odpowiednie uprawnienia, zakładając, że taka grupa istnieje.

Nie ma na to szybkiego sposobu. Eksplorator z radością będzie pracował przez wiele godzin (dni?), Stosując nowe uprawnienia do każdego pliku i folderu (jeśli ustawiono dziedziczenie).

Włączenie udziału jest znacznie łatwiejsze, użytkownik potrzebuje przynajmniej uprawnień do odczytu udziału. Podstawowe uprawnienia NTFS określą, co użytkownik może faktycznie zrobić. Należy zauważyć, że jeśli uprawnienie do udostępniania jest tylko do odczytu, to jest to maksymalny dostęp, nawet jeśli zabezpieczenia NTFS są ustawione na modyfikację (r / w).

Naprawdę powinieneś rozważyć utworzenie grupy lokalnej lub domeny i ustawić jej uprawnienia w katalogu najwyższego poziomu, a następnie po prostu dodać użytkowników do grupy w razie potrzeby.