icacls
Affiche ou modifie les listes de contrôle d’accès discrétionnaire (DACL) sur les fichiers spécifiés et applique les DACL stockées aux fichiers des répertoires spécifiés.
Notes
Cette commande remplace la commande cacls dépréciée.
Syntaxe
icacls <filename> [/grant[:r] <sid>:<perm>[...]] [/deny <sid>:<perm>[...]] [/remove[:g|:d]] <sid>[...]] [/t] [/c] [/l] [/q] [/setintegritylevel <Level>:<policy>[...]]
icacls <directory> [/substitute <sidold> <sidnew> [...]] [/restore <aclfile> [/c] [/l] [/q]]
Paramètres
| Paramètre | Description |
|---|---|
| <filename> | Spécifie le fichier pour lequel afficher ou modifier les DACL. |
| <directory> | Spécifie le répertoire pour lequel afficher ou modifier les DACL. |
| /t | Effectue l’opération sur tous les fichiers spécifiés dans le répertoire actif et ses sous-répertoires. |
| /C | Continue l’opération malgré les éventuelles erreurs de fichier. Les messages d’erreur seront toujours affichés. |
| /l | Effectue l’opération sur un lien symbolique au lieu de sa destination. |
| /q | Supprime les messages de réussite des opérations. |
| [/save < ACLfile> [/t] [/c] [/l] [/q]] | Stocke les DACL pour tous les fichiers correspondants dans un fichier de liste de contrôle d’accès (ACL) pour une utilisation ultérieure avec /restore. |
| [/setowner <username> [/t] [/c] [/l] [/q]] | Modifie le propriétaire de tous les fichiers correspondants sur l’utilisateur spécifié. |
| [/findsid <sid> [/t] [/c] [/l] [/q]] | Recherche tous les fichiers correspondants qui contiennent une DACL mentionnant explicitement l’identificateur de sécurité (SID) spécifié. |
| [/verify [/t] [/c] [/l] [/q]] | Recherche tous les fichiers avec des listes de contrôle d’accès qui ne sont pas canoniques ou dont les longueurs sont incompatibles avec le nombre d’entrées de contrôle d’accès (ACE). |
| [/reset [/t] [/c] [/l] [/q]] | Remplace les listes de contrôle d’accès par défaut héritées pour tous les fichiers correspondants. |
| [/grant[:r] <sid>:<perm>[...]] | Octroie les droits d’accès utilisateur spécifiés. Les autorisations remplacent les autorisations explicites précédemment accordées. Ne pas ajouter :r signifie que les autorisations sont ajoutées à toutes les autorisations explicites précédemment accordées. |
| [/deny <sid>:<perm>[...]] | Refuse explicitement les droits d’accès utilisateur spécifiés. Une ACE de refus explicite est ajoutée pour les autorisations indiquées et les mêmes autorisations dans n’importe quel octroi explicite sont supprimées. |
| [/remove[:g | :d]] <sid>[...] [/t] [/c] [/l] [/q] | Supprime toutes les occurrences du SID spécifié de la DACL. Cette commande peut également utiliser :
|
| [/setintegritylevel [(CI)(OI)] < Level>:<Policy>[...]] | Ajoute explicitement une ACE d’intégrité à tous les fichiers correspondants. Le niveau peut être spécifié comme suit :
|
| [/substitute <sidold><sidnew> [...]] | Remplace un SID existant (sidold) par un nouveau SID (sidnew). Nécessite une utilisation avec le paramètre <directory>. |
| /restore <ACLfile> [/c] [/l] [/q] | Applique les DACL stockées de <ACLfile> aux fichiers dans le répertoire spécifié. Nécessite une utilisation avec le paramètre <directory>. |
| /inheritancelevel : [e | d | r] | Définit le niveau d’héritage, qui peut être :
|
Notes
Les SID peuvent être sous forme numérique ou sous forme de nom convivial. Si vous utilisez une forme numérique, apposez le caractère générique * au début du SID.
Cette commande conserve l’ordre canonique des entrées ACE comme suit :
Dénis explicites
Octrois explicites
Dénis hérités
Octrois hérités
L’option
<perm>est un masque d’autorisation qui peut être spécifié dans l’une des formes suivantes :Séquence de droits simples (autorisations de base) :
F - Accès complet
M- Accès en modification
RX - Accès en lecture et exécution
R - Accès en lecture seule
W - Accès en écriture seule
Liste séparée par des virgules entre parenthèses de droits spécifiques (autorisations avancées) :
D - Supprimer
RC - Contrôle de lecture (autorisations de lecture)
WDAC - DAC d’écriture (autorisations de modification)
WO - Propriétaire d’écriture (prendre possession)
S - Synchroniser
AS - Sécurité du système d’accès
MA - Maximum autorisé
GR - Lecture générique
GW - Écriture générique
GE - Exécution générique
GA - Tout générique
RD - Lire des données/Répertorier les répertoires
WD - Écrire des données/Ajouter un fichier
AD - Ajouter des données/Ajouter un sous-répertoire
REA - Lire les attributs étendus
WEA - Écrire des attributs étendus
X - Exécuter/Parcourir
DC - Supprimer un enfant
RA - Attributs de lecture
WA - Attributs d’écriture
Les droits d’héritage peuvent précéder les deux formes
<perm>:(I) - Hériter. ACE héritée du conteneur parent.
(OI) - Héritage par les objets. Les objets de ce conteneur hériteront de cette ACE. S’applique uniquement aux répertoires.
(CI) - Héritage par les conteneurs. Les conteneurs de ce conteneur parent héritent de cette ACE. S’applique uniquement aux répertoires.
(E/S) - Hériter uniquement. ACE héritée du conteneur parent, mais ne s’applique pas à l’objet lui-même. S’applique uniquement aux répertoires.
(NP) - Ne pas propager l’héritage. ACE héritée par les conteneurs et les objets du conteneur parent, mais ne se propage pas aux conteneurs imbriqués. S’applique uniquement aux répertoires.
Exemples
Pour enregistrer les DACL de tous les fichiers du répertoire C:\Windows et de ses sous-répertoires dans le fichier ACLFile, tapez :
icacls c:\windows\* /save aclfile /t
Pour restaurer les DACL pour chaque fichier dans le fichier ACLFile dans le répertoire C:\Windows et ses sous-répertoires, tapez :
icacls c:\windows\ /restore aclfile
Pour accorder à l’utilisateur user1 les autorisations DAC Supprimer et Écrire sur un fichier nommé Test1, tapez :
icacls test1 /grant User1:(d,wdac)
Pour accorder à l’utilisateur défini par le SID S-1-1-0 des autorisations DAC Supprimer et Écrire sur un fichier nommé Test2, tapez :
icacls test2 /grant *S-1-1-0:(d,wdac)