Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Muestra o modifica listas de control de acceso discrecional (DACL) en archivos especificados y aplica las DACL almacenadas a los archivos de los directorios especificados.
Nota:
Este comando reemplaza el comando cacls en desuso.
Sintaxis
icacls name [/save aclfile] [/setowner user] [/findsid Sid] [/verify] [/reset] [/T] [/C] [/L] [/Q]
icacls name [/grant[:r] Sid:perm[...]] [/deny Sid:perm [...]] [/remove[:g|:d]] Sid[...]]] [/setintegritylevel Level:policy[...]] [/T] [/C] [/L] [/Q]
icacls directory [/substitute SidOld SidNew [...]] [/restore aclfile] [/C] [/L] [/Q]
Parámetros
Parámetro | Descripción |
---|---|
<name> |
Especifica el archivo para el que se van a mostrar o modificar las DACL. |
<directory> |
Especifica el directorio para el que se van a mostrar o modificar las DACL. |
/t | Realiza la operación en todos los archivos especificados del directorio actual y sus subdirectorios. |
/c | Continúa la operación aunque se produzcan errores de archivo. Los mensajes de error se siguen mostrando. |
/l | Realiza la operación en un vínculo simbólico en lugar de su destino. |
/q | Suprime los mensajes correctos. |
/salvar <ACLfile> |
Almacena las DACL para todos los archivos coincidentes en un archivo de lista de control de acceso (ACL) para su uso posterior con /restore . |
/setowner <user> |
Cambia el propietario de todos los archivos coincidentes al usuario especificado. |
/findsid <sid> |
Busca todos los archivos coincidentes que contienen una DACL que menciona explícitamente el identificador de seguridad (SID) especificado. |
/verificar | Busca todos los archivos con ACL que no son canónicos o tienen longitudes incoherentes con recuentos de entrada de control de acceso (ACE). |
/restablecimiento | Reemplaza las ACL por las ACL heredadas predeterminadas para todos los archivos coincidentes. |
/grant[:r] <sid> :<perm> |
Concede derechos de acceso de usuario especificados. Los permisos reemplazan los permisos explícitos concedidos previamente. No agregar :r significa que los permisos se agregan a los permisos explícitos concedidos previamente. |
/deny <sid> :<perm> |
Deniega explícitamente los derechos de acceso de usuario especificados. Se agrega una ACE de denegación explícita para los permisos indicados y se quitan los mismos permisos en cualquier concesión explícita. |
/remove: g | d <sid> |
Quita todas las apariciones del SID especificado de la DACL. Este comando también puede usar: |
/setintegritylevel <perm><level> |
Agrega explícitamente una ACE de integridad a todos los archivos coincidentes. El nivel se puede especificar como: Las opciones de herencia para la ACE de integridad pueden preceder al nivel y solo se aplican a los directorios. |
/sustituto <sidold> <sidnew> |
Reemplaza un SID existente (sidold) por un nuevo SID (sidnew). Requiere el uso con el parámetro <directory> . |
/restore <ACLfile> /c | /l | /q |
Aplica las DACL almacenadas de <ACLfile> a los archivos del directorio especificado. Requiere el uso con el parámetro <directory> . |
/inheritancelevel: e | d | r | Establece el nivel de herencia, que puede ser: |
Observaciones
Los SID pueden estar en formato numérico o descriptivo. Si usa una forma numérica, afija el carácter comodín * al principio del SID.
Este comando conserva el orden canónico de las entradas ACE como:
Denegaciones explícitas
Concesiones explícitas
Denegaciones heredadas
Concesiones heredadas
La
<perm>
opción es una máscara de permiso que se puede especificar para los derechos básicos, los derechos avanzados o los derechos de herencia:Secuencia de derechos simples (permisos básicos) sin necesidad de usar paréntesis:
- N : sin acceso
- F: acceso completo
- M : modificación del acceso
- RX: acceso de lectura y ejecución
- R: acceso de solo lectura
- W: acceso de solo escritura
- D : Eliminación del acceso
Lista separada por comas de derechos específicos (permisos avanzados) que deben usar paréntesis:
- DE : Eliminar
- RC: control de lectura (permisos de lectura)
- WDAC: escritura de DAC (permisos de cambio)
- WO: propietario de escritura (toma posesión)
- S: sincronizar
- AS: seguridad del sistema de acceso
- de MA: máximo permitido
- GR: lectura genérica
- GW: escritura genérica
- GE: ejecución genérica
- de disponibilidad general: todos los genéricos
- de Escritorio remoto: directorio de lectura de datos o lista
- WD: escribir datos o agregar archivo
- de AD: anexar datos o agregar subdirectorio
- REA: leer atributos extendidos
- WEA: escritura de atributos extendidos
- X: ejecutar o atravesar
- dc: eliminación de elementos secundarios
- ra: atributos de lectura
- WA: escritura de atributos
Secuencia de derechos de herencia que deben usar paréntesis:
- (I): heredar. ACE heredada del contenedor primario.
- (OI): hereda de objeto. Los objetos de este contenedor heredan esta ACE. Solo se aplica a los directorios.
- (CI): se hereda el contenedor. Los contenedores de este contenedor primario heredan esta ACE. Solo se aplica a los directorios.
- (E/ S): solo hereda. ACE heredada del contenedor primario, pero no se aplica al propio objeto. Solo se aplica a los directorios.
- (NP): no propagar heredar. ACE heredada por contenedores y objetos del contenedor primario, pero no se propaga a contenedores anidados. Solo se aplica a los directorios.
Ejemplos
Para guardar las DACL para todos los archivos del directorio C:\Windows y sus subdirectorios en el archivo ACLFile, escriba:
icacls c:\windows\* /save aclfile /t
Para restaurar las DACL de todos los archivos de ACLFile que existen en el directorio C:\Windows y sus subdirectorios, escriba:
icacls c:\windows\ /restore aclfile
Para conceder al usuario los permisos User1 Delete y Write DAC a un archivo denominado Test1, escriba:
icacls test1 /grant User1:(d,wdac)
Para conceder al usuario definido por SID S-1-1-0 permisos Delete and Write DAC a un archivo denominado TestFile, escriba:
icacls TestFile /grant *S-1-1-0:(d,wdac)
Para aplicar un nivel de integridad alto a un directorio y asegurarse de que sus archivos y subdirectorios heredan este nivel, escriba:
icacls "myDirectory" /setintegritylevel (CI)(OI)H