Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Zobrazí nebo upraví volitelné seznamy řízení přístupu (DACL) u zadaných souborů a použije uložené seznamy DACL na soubory v zadaných adresářích.
Note
Tento příkaz nahrazuje zastaralý příkaz cacls.
Syntax
icacls name [/save aclfile] [/setowner user] [/findsid Sid] [/verify] [/reset] [/T] [/C] [/L] [/Q]
icacls name [/grant[:r] Sid:perm[...]] [/deny Sid:perm [...]] [/remove[:g|:d]] Sid[...]]] [/setintegritylevel Level:policy[...]] [/T] [/C] [/L] [/Q]
icacls directory [/substitute SidOld SidNew [...]] [/restore aclfile] [/C] [/L] [/Q]
Parameters
| Parameter | Description |
|---|---|
<name> |
Určuje soubor, pro který se mají zobrazovat nebo upravovat seznamy DAC. |
<directory> |
Určuje adresář, pro který se mají zobrazovat nebo upravovat seznamy DAC. |
| /t | Provede operaci pro všechny zadané soubory v aktuálním adresáři a jeho podadresářích. |
| /c | Pokračuje v operaci i v případě, že dojde k chybám souboru. Pořád se zobrazují chybové zprávy. |
| /l | Provede operaci na symbolickém odkazu místo cíle. |
| /q | Potlačí zprávy o úspěchu. |
/uložit <ACLfile> |
Ukládá seznamy DACL pro všechny odpovídající soubory do souboru seznamu řízení přístupu (ACL) pro pozdější použití s /restore. |
/setowner <user> |
Změní vlastníka všech odpovídajících souborů na zadaného uživatele. |
/findsid <sid> |
Vyhledá všechny odpovídající soubory, které obsahují seznam DACL explicitně zmínící zadaný identifikátor zabezpečení (SID). |
| /verify | Vyhledá všechny soubory s seznamy ACL, které nejsou kanonické nebo mají nekonzistentní počet položek řízení přístupu (ACE). |
| /reset | Nahradí seznamy ACL výchozími zděděnými seznamy ACL pro všechny odpovídající soubory. |
/grant[:r] <sid>:<perm> |
Uděluje zadaná uživatelská přístupová práva. Oprávnění nahrazují dříve udělená explicitní oprávnění. Nepřidání :r znamená, že oprávnění jsou přidána ke všem dříve uděleným explicitním oprávněním. |
/odepřít <sid>:<perm> |
Explicitně odmítne zadaná uživatelská přístupová práva. Pro uvedená oprávnění se přidá explicitní odepření ACE a odeberou se stejná oprávnění v jakémkoli explicitním udělení. |
/odstranit: g | d <sid> |
Odebere všechny výskyty zadaného identifikátoru SID z seznamu DACL. Tento příkaz může také použít: |
/nastavená úroveň integrity <perm><level> |
Explicitně přidá ACE integritu do všech odpovídajících souborů. Úroveň lze zadat takto: Možnosti dědičnosti pro integritu ACE mohou předcházet úrovni a jsou použity pouze pro adresáře. |
/náhrada <sidold><sidnew> |
Nahradí existující identifikátor SID (sidold) novým identifikátorem SID (sidnew). Vyžaduje použití s parametrem <directory>. |
/restore <ACLfile> /c | /l | /q |
Použije uložené seznamy DACL z <ACLfile> na soubory v zadaném adresáři. Vyžaduje použití s parametrem <directory>. |
| /dědičnost: e | d | r | Nastaví úroveň dědičnosti, což může být: |
Remarks
Identifikátory SID můžou být v číselné nebo popisné podobě názvu. Pokud používáte číselný formulář, připevnit zástupný znak * na začátek identifikátoru SID.
Tento příkaz zachovává kanonické pořadí položek ACE jako:
Explicit denials
Explicit grants
Inherited denials
Inherited grants
Tato
<perm>možnost je maska oprávnění, kterou je možné zadat pro základní práva, rozšířená práva nebo práva dědičnosti:Posloupnost jednoduchých práv (základních oprávnění) bez nutnosti používat závorky:
- N - Žádný přístup
- F - Plný přístup
- M - Úprava přístupu
- RX - Přístup pro čtení a spouštění
- R – Přístup pouze pro čtení
- W – Přístup pouze pro zápis
- D - Odstranit přístup
Čárkami oddělený seznam konkrétních práv (upřesňujících oprávnění), která musí používat závorky:
- DE - Smazat
- RC - Ovládání čtení (oprávnění ke čtení)
- WDAC - Zápis DAC (změna oprávnění)
- WO - Vlastník zápisu (převzetí vlastnictví)
- S - Synchronizovat
- AS - Zabezpečení přístupového systému
- MA - Maximum povolené
- GR - Obecné čtení
- GW - Obecný zápis
- GE - Obecné spuštění
- GA - Obecné vše
- RD - Čtení adresáře dat/seznamu
- WD - Zápis dat/přidání souboru
- AD - připojit data/přidat podadresář
- REA - Čtení rozšířených atributů
- WEA - Zápis rozšířených atributů
- X - Provést/procházet
- DC – Odstranit podřízenou položku
- RA - Čtení atributů
- WA - Zápis atributů
Posloupnost práv dědičnosti, která musí používat závorky:
- (i) - Zdědit. ACE zděděná z nadřazeného kontejneru.
- (OI) - Objekt zdědit. Objekty v tomto kontejneru dědí tuto funkci ACE. Platí jenom pro adresáře.
- (CI) – Kontejner zdědí. Kontejnery v tomto nadřazeného kontejneru dědí tuto ACE. Platí jenom pro adresáře.
- (IO) – Pouze zdědit. ACE zděděná z nadřazeného kontejneru, ale nevztahuje se na samotný objekt. Platí jenom pro adresáře.
- (NP) - Nepropagovat inherit. ACE zděděné kontejnery a objekty z nadřazeného kontejneru, ale nešíří se do vnořených kontejnerů. Platí jenom pro adresáře.
Examples
Chcete-li uložit seznamy DACL pro všechny soubory v adresáři C:\Windows a jeho podadresářích do souboru ACLFile, zadejte:
icacls c:\windows\* /save aclfile /t
Chcete-li obnovit seznamy DACL pro každý soubor v souboru ACLFile, který existuje v adresáři C:\Windows a jeho podadresářích, zadejte:
icacls c:\windows\ /restore aclfile
Pokud chcete uživateli User1 Udělit oprávnění k odstranění a zápisu DAC do souboru s názvem Test1, zadejte:
icacls test1 /grant User1:(d,wdac)
Pokud chcete uživateli definovanému identifikátorem SID S-1-1-0 udělit oprávnění k odstranění a zápisu DAC do souboru s názvem TestFile, zadejte:
icacls TestFile /grant *S-1-1-0:(d,wdac)
Chcete-li u adresáře použít vysokou úroveň integrity a zajistit, aby jeho soubory i podadresáře zdědily tuto úroveň, zadejte:
icacls "myDirectory" /setintegritylevel (CI)(OI)H