Alterar rapidamente as permissões do Windows para uma enorme árvore de diretórios?

Eu tenho um diretório enorme em um sistema de arquivos NTFS (ou seja, um diretório de nível superior que contém dezenas ou centenas de milhões de nós descendentes com os nós de arquivo provavelmente em média cerca de três níveis de profundidade) para os quais preciso alterar as permissões. Em particular, preciso fornecer a um novo usuário (ou grupo) acesso somente leitura a absolutamente tudo na árvore de diretórios.

O local mais óbvio para fazer isso é no Windows Explorer, clicando com o botão direito do mouse no diretório de nível superior e indo para a guia segurança da janela de propriedades do diretório. No entanto, ao tentar as coisas óbvias, o Windows Explorer parece animado para percorrer recursivamente toda a árvore de diretórios e tentar modificar uma ou outra coisa sobre as permissões de cada nó na árvore. Isso é extremamente ineficiente para um diretório tão grande!

Alguém pode oferecer dicas para alterar permissões sem essa descida recursiva? Preciso clicar em algo específico na GUI? Preciso usar ferramentas de linha de comando? Isso poderia ser o resultado de um administrador de sistema anterior fazendo algo estranho com as permissões nesse diretório?

Também preciso habilitar o compartilhamento de rede e permitir que o usuário / grupo monte o diretório na rede. Ainda não tentei isso, então não sei se haverá uma lata de worms semelhante ao tentar ativar o compartilhamento.

Isso está no Windows 2008 Server, se for o caso.

EDIT : As pessoas estão certas que provavelmente faz mais sentido dar permissão a um grupo de domínio do que a uma conta específica, por isso anotei isso acima (é o que eu estava fazendo de qualquer maneira. Não sei por que perguntei especificamente sobre como adicionar um usuário na pergunta original. Desculpe pela falta de atenção) . Mas é claro que adicionar um grupo à lista de permissões de uma pasta não é mais rápido do que adicionar um usuário (nenhum dos grupos existentes recebe permissões somente leitura).

Nesse caso, não há necessidade de mexer nas permissões NTFS.

Basta criar um compartilhamento no diretório de nível superior e adicionar usuários ou grupos ao compartilhamento com permissão Somente leitura (ou se você desejar gravar).

Mesmo se Todos tiverem permissões NTFS de controle total no diretório de nível superior, a permissão mais restritiva (compartilhamento ou NTFS) será usada.

Se você deseja que o usuário tenha permissão de leitura em uma pasta e em todas as subpastas, as permissões das subpastas também devem ser alteradas. Parece que a herança já está definida e você não deseja esperar que essa herança se propague para todos os objetos filhos. A única coisa que você pode fazer além de esperar é adicionar o usuário a um grupo existente que tenha as permissões apropriadas, supondo que esse grupo exista.

Não existe uma maneira rápida de fazer isso. O Explorer terá prazer em rodar horas (dias?), Aplicando a nova permissão a todos os arquivos e pastas (se a herança estiver definida).

Habilitar um compartilhamento é muito mais fácil, o usuário só precisa de pelo menos permissões de leitura no compartilhamento. As permissões NTFS subjacentes determinarão o que o usuário pode realmente fazer. Observe que, se a permissão de compartilhamento for somente leitura, esse será o acesso máximo, mesmo que a segurança NTFS esteja configurada para modificar (r / w).

Você realmente deve considerar a criação de um grupo local ou de domínio e definir suas permissões no diretório de nível superior; basta adicionar usuários ao grupo, conforme necessário.