Berechtigungen im lokalen Dateisystem setzen ist mit dem Windows-Explorer normalerweise kein Problem und relativ überschaubar, wenn man von der Komplexität des Windows Berechtigungs-Systems einmal absieht. Wenn man allerdings über ein Entra-ID gejointes Gerät verfügt, und man möchte ein Entra ID Konto berechtigen, funktioniert das - Stand Dezember 2025 - nicht. Im Sicherheits-Fenster wird nur die lokale Benutzerdatenbank (SAM) angezeigt, und das direkte Eingeben eines Entra-Benutzers mit seinem Namen (AzureAD\Username) schlägt fehl.
Das Problem lässt sich nur an der Kommandozeile lösen. Außerdem muss der Benutzer, der berechtigt werden soll, bereits einmal lokal an der Maschine angemeldet gewesen sein. Das lässt sich z.B. prüfen, indem man per Powershell und CIM aka WMI die gespeicherte Benutzerprofilen auflistet und nach Konten sucht, deren SID mit S-1-12-1 anfangen.
Ist das Benutzerkonto auf dem Client bekannt, kann man die Dateiberechtigungen am einfachsten per icacls.exe vergeben, da Powershell bei der Berechtigungsvergabe sehr "sperrig" sein kann, wenn man nur auf die Standard-Cmdlets zurückgreift.
icacls.exe erwartet als Parameter den Dateinamen, die Aktion (grant/deny/remove) und anschließend das Benutzerkonto, gefolgt von einem Doppelpunkt und der Berechtigung. Die Standardberechtigungen werden abgekürzt mit:
N - Kein Zugriff
F - Vollzugriff
M - Änderungszugriff
RX - Lese- und Ausführungszugriff
R - Schreibgeschützter Zugriff
W - Lesegeschützter Zugriff
D - Löschzugriff
Eine vollständige Liste aller Berechtigungen bekommt man aber auch direkt von icacls.exe, wenn man den Befehl ohne Parameter aufruft.
Der Name des Benutzerkontos beginnt immer mit azuread, gefolgt von einem \ und dem Benutzernamen. Möchte man sich selbst berechtigen, kann man den Namen mit Hilfe des Kommandozeilentools whomai.exe ermitteln.