我来帮你梳理下这个ICACLS权限配置的问题，你遇到的情况其实是权限逻辑里的常见坑，咱们一步步拆解解决：

问题出在哪？ #

1. 过度拒绝权限锁死了正常访问：你直接给Everyone、Users、Administrator加/deny Everyone:D，Windows里拒绝权限的优先级是高于允许权限的——哪怕管理员默认有最高权限，被拒绝Delete后，连带的读取、执行权限也会被间接限制，导致文件没法正常访问。
2. 没抓准删除权限的核心来源：你换成DE参数（Delete+Read&Execute）没用，是因为删除文件的权限不止来自文件本身，还可能来自父文件夹的「删除子文件夹及文件」权限。就算文件本身设了防删，用户只要对父文件夹有这个权限，照样能删掉文件。

正确的配置步骤 #

1. 先清空错误权限，回到默认状态 #

先把之前乱加的权限清掉，避免干扰：

icacls "你的文件路径" /reset /T

2. 精准设置文件权限：防删同时保留正常访问 #

别一股脑给所有人加拒绝，要分用户组配置：

• 给普通用户保留读取、执行权限，只拒绝删除；
• 给管理员留足修改权限的空间（不然以后想改回来都难），只拒绝删除操作。

执行下面的命令（把你的文件路径换成实际路径）：

# 先给Users组开必要的访问权限：读取+执行
icacls "你的文件路径" /grant Users:(RX,R)
# 拒绝Users组删除这个文件的权限
icacls "你的文件路径" /deny Users:(D)

# 给管理员开全权限，但单独拒绝删除（同时留着修改权限的能力）
icacls "你的文件路径" /grant Administrator:(F,WDAC) /deny Administrator:(D)

这里解释下参数：

• RX是读取和执行，R是读取；
• F是完全控制，但我们用/deny覆盖了Delete权限，WDAC是允许管理员修改权限，避免把自己锁在外面；
• 只拒绝文件本身的D（Delete）权限，不会影响正常访问。

3. 关键！限制父文件夹的删除权限 #

这是90%的人会忽略的点：如果用户对文件所在的文件夹有「删除子文件夹及文件」权限，就算文件本身不能删，用户也能从文件夹层面把它删掉。所以给父文件夹加个限制：

# 拒绝Users组对父文件夹的「删除子文件夹及文件」权限
icacls "父文件夹路径" /deny Users:(DC)

DC就是「Delete Subfolders and Files」的权限缩写。

4. 验证效果 #

用普通用户登录试试：应该删不了文件，但能正常打开、执行；管理员如果要删，得先取消拒绝权限才行——既防了误删，又留了管理员的操作空间。

踩过的坑提醒 #

• 别随便给Everyone加/deny：拒绝权限优先级太高，会把所有用户（包括管理员）的正常操作都锁死；
• 分清楚文件和文件夹权限：删文件的权限是双向的，必须同时限制文件本身和父文件夹的对应权限；
• 管理员的特殊权限：管理员默认有「获取所有权」和「还原文件」权限，要是想彻底阻止管理员删文件，得额外限制这些，但不建议这么做——不然哪天你想改权限都没辙。

内容的提问来源于stack exchange，提问作者user123456