Windows怎么用PowerShell批量管理文件权限_Windows如何递归修改文件夹及子目录的访问权限【进阶】

如果您需要在Windows系统中批量调整文件或文件夹的访问控制列表（ACL），PowerShell提供了原生、灵活且可精确控制的命令行能力。以下是实现递归修改指定路径下所有子项权限的具体操作步骤：

一、使用Set-Acl配合Get-Acl递归重置目标路径ACL

该方法通过获取基准目录的ACL对象，再将其应用到所有子项，适用于需统一继承父级权限结构的场景。操作前需确保当前用户对目标路径具有“完全控制”或“修改”权限，否则部分子项将跳过处理。

1、以管理员身份启动PowerShell。

2、执行命令获取基准目录的ACL对象：$acl = Get-Acl “C:\Your\Target\Folder”。

3、使用Get-ChildItem递归获取所有子项，并逐个设置ACL：Get-ChildItem “C:\Your\Target\Folder” -Recurse | ForEach-Object { Set-Acl $_.FullName $acl }。

4、若需同时处理目录本身，可在命令中添加 -Force 参数并前置调用 Set-Acl “C:\Your\Target\Folder” $acl。

二、使用icacls命令行工具批量授予指定用户/组权限

icacls是Windows内置的高效权限管理工具，支持通配符与递归开关，适合快速赋予读取、写入或完全控制等标准权限组合，且无需PowerShell脚本环境即可运行。

1、以管理员身份打开PowerShell或CMD窗口。

2、执行递归授权命令：icacls “C:\Your\Target\Folder” /grant:r “DOMAIN\Username:(OI)(CI)F” /T。

3、其中 (OI) 表示对象继承，(CI) 表示容器继承，F 表示完全控制；/T 启用全树遍历，/grant:r 表示替换现有条目而非追加。

4、如需仅授予读取权限，将 F 替换为 R；如需添加而不替换，去掉 :r 后缀。

三、通过PowerShell创建自定义ACE并批量应用

该方法允许精确构造访问控制项（ACE），例如限制某用户仅对文件生效、对文件夹仅具遍历权，或拒绝特定操作（如删除子项），适用于复杂权限策略部署。

1、以管理员身份启动PowerShell。

2、定义安全标识符与访问规则：$sid = New-Object System.Security.Principal.NTAccount(“BUILTIN\Users”)。

3、创建仅作用于文件的读取ACE：$rule = New-Object System.Security.AccessControl.FileSystemAccessRule($sid, “Read”, “Object”, “None”, “Allow”)。

4、获取目标路径ACL副本，添加规则，再写回：$acl = Get-Acl “C:\Your\Target\Folder”; $acl.SetAccessRule($rule); Get-ChildItem “C:\Your\Target\Folder” -File -Recurse | ForEach-Object { Set-Acl $_.FullName $acl }。

四、禁用继承并清除所有现有ACE后重新设定

当目标路径存在大量冲突或冗余权限条目时，可先剥离继承关系并清空所有显式ACE，再从零构建干净的权限模型，避免旧规则干扰新策略生效。

1、以管理员身份启动PowerShell。

2、执行命令断开继承并移除所有现存ACE：icacls “C:\Your\Target\Folder” /inheritance:d /remove:g * /T。

3、确认继承已禁用且无残留条目后，单独为所需主体授予权限，例如：icacls “C:\Your\Target\Folder” /grant:r “Administrators:(OI)(CI)F” “SYSTEM:(OI)(CI)F”。

4、若需保留当前所有者信息，添加 /setowner “DOMAIN\OwnerName” 子命令。

五、基于CSV配置文件驱动的权限批量部署

该方法适用于需按路径、用户、权限类型、继承标志等多维度差异化赋权的大规模环境，通过外部CSV文件定义策略，提升可维护性与复用性。

1、准备CSV文件（如permissions.csv），内容格式为：Path,Identity,AccessRights,InheritanceFlags,PropagationFlags,Type，每行一条规则。

2、以管理员身份启动PowerShell，导入模块并读取配置：$rules = Import-Csv “C:\config\permissions.csv”。

3、遍历每条规则，构造FileSystemAccessRule对象并应用：foreach ($r in $rules) { $acl = Get-Acl $r.Path; $ace = New-Object System.Security.AccessControl.FileSystemAccessRule($r.Identity, $r.AccessRights, $r.InheritanceFlags, $r.PropagationFlags, $r.Type); $acl.SetAccessRule($ace); Set-Acl $r.Path $acl }。