Share via


icacls

Muestra o modifica las listas de control de acceso discrecional (DACL) en los archivos especificados y aplica las DACL almacenadas a los archivos de los directorios especificados.

Nota:

Este comando reemplaza el comando cacls en desuso.

Sintaxis

icacls <filename> [/grant[:r] <sid>:<perm>[...]] [/deny <sid>:<perm>[...]] [/remove[:g|:d]] <sid>[...]] [/t] [/c] [/l] [/q] [/setintegritylevel <Level>:<policy>[...]]
icacls <directory> [/substitute <sidold> <sidnew> [...]] [/restore <aclfile> [/c] [/l] [/q]]

Parámetros

Parámetro Descripción
<filename> Especifica el archivo para el que se van a mostrar o modificar las DACL.
<directorio> Especifica el directorio para el que se van a mostrar o modificar las DACL.
/t Realiza la operación en todos los archivos especificados del directorio actual y sus subdirectorios.
/C Continúa la operación a pesar de los errores de archivo. Los mensajes de error se seguirán mostrando.
/l Realiza la operación en un vínculo simbólico en lugar de en su destino.
/q Elimina los mensajes de éxito.
[/save <ACLfile> [/t] [/c] [/l] [/q]] Almacena las DACL para todos los archivos coincidentes en un archivo de lista de control de acceso (ACL) para su uso posterior con /restore.
[/setowner <username> [/t] [/c] [/l] [/q]] Cambia el propietario de todos los archivos coincidentes al usuario especificado.
[/findsid <sid> [/t] [/c] [/l] [/q]] Busca todos los archivos coincidentes que contienen una DACL que mencione explícitamente el identificador de seguridad (SID) especificado.
[/verify [/t] [/c] [/l] [/q]] Busca todos los archivos con ACL que no son canónicos o tienen longitudes incoherentes con recuentos de entrada de control de acceso (ACE).
[/reset [/t] [/c] [/l] [/q]] Reemplaza las ACL por las ACL heredadas predeterminadas para todos los archivos coincidentes.
[/grant[:r] <sid>:<perm>[...]] Concede derechos de acceso de usuario especificados. Los permisos reemplazan los permisos explícitos concedidos previamente.

No agregar :r significa que los permisos se agregan a los permisos explícitos concedidos previamente.

[/deny <sid>:<perm>[...]] Deniega explícitamente los derechos de acceso de usuario especificados. Se agrega una ACE de denegación explícita para los permisos indicados y se quitan los mismos permisos en cualquier concesión explícita.
[/remove[:g | :d]] <sid>[...] [/t] [/c] [/l] [/q] Quita todas las coincidencias del SID especificado de DACL. Este comando también puede usar:
  • :g: quita todas las coincidencias de derechos concedidos al SID especificado.
  • :d: quita todas las coincidencias de derechos denegados en el SID especificado.
[/setintegritylevel [(CI)(OI)] <Level>:<Policy>[...]] Agrega explícitamente una ACE de integridad a todos los archivos coincidentes. El nivel se puede especificar como:
  • l: bajo
  • m: medio
  • h: alto
Las opciones de herencia para la ACE de integridad pueden preceder al nivel y solo se aplican a los directorios.
[/substitute <sidold><sidnew> [...]] Reemplaza un SID existente (sidold) por un nuevo SID (sidnew). Requiere el uso con el parámetro <directory>.
/restore <ACLfile> [/c] [/l] [/q] Aplica las DACL almacenadas de <ACLfile> a los archivos del directorio especificado. Requiere el uso con el parámetro <directory>.
/inheritancelevel: [e | d | r] Establece el nivel de herencia, que puede ser:
  • e: habilita la herencia
  • d: deshabilita la herencia y copia las ACE
  • r: deshabilita la herencia y quita solo las ACE heredadas

Comentarios

  • Los SID pueden estar en forma numérica o de nombre descriptivo. Si usa una forma numérica, añada el carácter comodín * al principio del SID.

  • Este comando conserva el orden canónico de las entradas ACE como:

    • Denegaciones explícitas

    • Concesiones explícitas

    • Denegaciones heredadas

    • Concesiones heredadas

  • La opción <perm> es una máscara de permisos que se puede especificar en una de las siguientes formas:

    • Secuencia de derechos simples (permisos básicos):

      • F: acceso total

      • M: modificar el acceso

      • RX: acceso de lectura y ejecución

      • R: acceso de solo lectura

      • W: acceso de solo escritura

    • Una lista separada por comas entre paréntesis de derechos específicos (permisos avanzados):

      • D: eliminar

      • RC: control de lectura (permisos de lectura)

      • WDAC: escritura de DAC (cambiar permisos)

      • WO: propietario de escritura (tomar posesión)

      • S: sincronizar

      • AS: seguridad del sistema de acceso

      • MA: máximo permitido

      • GR: lectura genérica

      • GW: escritura genérica

      • GE: ejecución genérica

      • GA: todo genérico

      • RD: directorio de lectura de datos/lista

      • WD: escribir datos o agregar archivo

      • AD: anexar datos o agregar subdirectorios

      • REA: leer atributos extendidos

      • WEA: escribir atributos extendidos

      • X: ejecutar/atravesar

      • DC: eliminar elemento secundario

      • RA: lectura de atributos

      • WA: escritura de atributos

    • Los derechos de herencia pueden venir precedidos de cualquier forma <perm>:

      • (I): heredar. ACE heredada del contenedor primario.

      • (OI): herencia de objeto. Los objetos de este contenedor heredarán esta ACE. Solo se aplica a los directorios.

      • (CI): herencia de contenedor. Los contenedores de este contenedor primario heredarán esta ACE. Solo se aplica a los directorios.

      • (E/S): solo herencia. ACE heredada del contenedor primario, pero no se aplica al propio objeto. Solo se aplica a los directorios.

      • (NP): no propaga la herencia. ACE heredada por contenedores y objetos del contenedor primario, pero no se propaga a contenedores anidados. Solo se aplica a los directorios.

Ejemplos

Para guardar las DACL para todos los archivos del directorio C:\Windows y sus subdirectorios en el archivo ACLFile, escriba:

icacls c:\windows\* /save aclfile /t

Para restaurar las DACL de cada archivo dentro de ACLFile que exista en el directorio C:\Windows y sus subdirectorios, escriba:

icacls c:\windows\ /restore aclfile

Para conceder al usuario los permisos DAC de borrado y escritura de User1 en un archivo denominado Test1, escriba:

icacls test1 /grant User1:(d,wdac)

Para conceder al usuario definido por SID S-1-1-0 los permisos DAC de borrado y escritura en un archivo denominado Test2, escriba:

icacls test2 /grant *S-1-1-0:(d,wdac)