icacls

• Berlaku untuk:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Stack HCI, versions 23H2 and 22H2

Menampilkan atau memodifikasi daftar kontrol akses diskresi (DACL) pada file tertentu, dan menerapkan DACL tersimpan ke file dalam direktori tertentu.

Catatan

Perintah ini menggantikan perintah cacls yang tidak digunakan lagi.

Sintaks

icacls <filename> [/grant[:r] <sid>:<perm>[...]] [/deny <sid>:<perm>[...]] [/remove[:g|:d]] <sid>[...]] [/t] [/c] [/l] [/q] [/setintegritylevel <Level>:<policy>[...]]
icacls <directory> [/substitute <sidold> <sidnew> [...]] [/restore <aclfile> [/c] [/l] [/q]]

Parameter

Parameter	Deskripsi
<filename>	Menentukan file yang akan ditampilkan atau diubah DACLnya.
<direktori>	Menentukan direktori untuk menampilkan atau memodifikasi DACL.
/T	Melakukan operasi pada semua file yang ditentukan dalam direktori saat ini dan subdirektorinya.
c	Melanjutkan operasi meskipun ada kesalahan file. Pesan kesalahan masih akan ditampilkan.
/L	Melakukan operasi pada tautan simbolis alih-alih tujuannya.
/q	Menekan pesan keberhasilan.
[/simpan <ACLfile> [/t] [/c] [/l] [/q]]	Menyimpan DACL untuk semua file yang cocok ke dalam file daftar kontrol akses (ACL) untuk digunakan nanti dengan /restore.
[/setowner <username> [/t] [/c] [/l] [/q]]	Mengubah pemilik semua file yang cocok ke pengguna yang ditentukan.
[/findsid <sid> [/t] [/c] [/l] [/q]]	Menemukan semua file yang cocok yang berisi DACL yang secara eksplisit menyebutkan pengidentifikasi keamanan (SID) yang ditentukan.
[/verify [/t] [/c] [/l] [/q]]	Menemukan semua file dengan ACL yang tidak kanonis atau memiliki panjang yang tidak konsisten dengan jumlah entri kontrol akses (ACE).
[/reset [/t] [/c] [/l] [/q]]	Mengganti ACL dengan ACL yang diwariskan default untuk semua file yang cocok.
[/grant[:r] <sid>:<perm>[...]]	Memberikan hak akses pengguna tertentu. Izin menggantikan izin eksplisit yang diberikan sebelumnya. Tidak menambahkan :r, berarti bahwa izin ditambahkan ke izin eksplisit yang diberikan sebelumnya.
[/tolak <sid>:<perm>[...]]	Secara eksplisit menolak hak akses pengguna yang ditentukan. ACE tolak eksplisit ditambahkan untuk izin yang dinyatakan dan izin yang sama dalam setiap pemberian eksplisit dihapus.
[/remove[:g | :d]] <sid>[...] [/t] [/c] [/l] [/q]	Menghapus semua kemunculan SID yang ditentukan dari DACL. Perintah ini juga dapat menggunakan: :g - Menghapus semua kemunculan hak yang diberikan untuk SID yang ditentukan. :d - Menghapus semua kemunculan hak yang ditolak ke SID yang ditentukan.
[/setintegritylevel [(CI)(OI)] <Tingkat>:<Kebijakan>[...]]	Secara eksplisit menambahkan ACE integritas ke semua file yang cocok. Tingkat dapat ditentukan sebagai: L - Rendah m- Sedang h - Tinggi Opsi pewarisan untuk ACE integritas dapat mendahului tingkat dan hanya diterapkan ke direktori.
[/ganti <sidold><sidnew> [...]]	Mengganti SID (sidold) yang ada dengan SID baru (sidnew). Memerlukan penggunaan dengan <directory> parameter .
/restore <ACLfile> [/c] [/l] [/q]	Menerapkan DACL tersimpan dari <ACLfile> ke file dalam direktori yang ditentukan. Memerlukan penggunaan dengan <directory> parameter .
/inheritancelevel: [e | d | r]	Mengatur tingkat pewarisan, yang dapat berupa: e - Mengaktifkan pewarisan d - Menonaktifkan pewarisan dan menyalin ACE r - Menonaktifkan pewarisan dan hanya menghapus ASE yang diwariskan

Keterangan

• SID mungkin dalam bentuk nama numerik atau ramah. Jika Anda menggunakan formulir numerik, akhiri karakter * kartubebas ke awal SID.

• Perintah ini mempertahankan urutan kanonis entri ACE sebagai:

  • Penolakan eksplisit

  • Pemberian eksplisit

  • Penolakan yang diwariskan

  • Pemberian yang diwariskan

• Opsinya <perm> adalah masker izin yang dapat ditentukan dalam salah satu formulir berikut:

  • Urutan hak sederhana (izin dasar):

    • F - Akses penuh

    • M- Ubah akses

    • RX - Membaca dan menjalankan akses

    • R - Akses baca-saja

    • W - Akses hanya tulis

  • Daftar yang dipisahkan koma dalam tanda kurung hak tertentu (izin tingkat lanjut):

    • D - Hapus

    • RC - Kontrol baca (izin baca)

    • WDAC - Tulis DAC (ubah izin)

    • WO - Pemilik tulis (ambil kepemilikan)

    • S - Sinkronkan

    • AS - Keamanan sistem akses

    • MA - Maksimum yang diizinkan

    • GR - Bacaan umum

    • GW - Penulisan generik

    • GE - Eksekusi generik

    • GA - Generik semua

    • RD - Membaca direktori data/daftar

    • WD - Menulis data/menambahkan file

    • AD - Menambahkan data/menambahkan subdirektori

    • REA - Membaca atribut yang diperluas

    • WEA - Menulis atribut yang diperluas

    • X - Jalankan/melintasi

    • DC - Hapus anak

    • RA - Membaca atribut

    • WA - Menulis atribut

  • Hak warisan dapat mendahului salah satu <perm> bentuk:

    • - Warisan. ACE diwarisi dari kontainer induk.

    • (OI) - Objek mewarisi. Objek dalam kontainer ini akan mewarisi ACE ini. Hanya berlaku untuk direktori.

    • (CI) - Pewarisan kontainer. Kontainer dalam kontainer induk ini akan mewarisi ACE ini. Hanya berlaku untuk direktori.

    • (IO) - Hanya warisan. ACE diwarisi dari kontainer induk, tetapi tidak berlaku untuk objek itu sendiri. Hanya berlaku untuk direktori.

    • (NP) - Jangan menyebarkan warisan. ACE diwariskan oleh kontainer dan objek dari kontainer induk, tetapi tidak menyebar ke kontainer berlapis. Hanya berlaku untuk direktori.

Contoh

Untuk menyimpan DACL untuk semua file di direktori C:\Windows dan subdirektorinya ke file ACLFile, ketik:

icacls c:\windows\* /save aclfile /t

Untuk memulihkan DACL untuk setiap file dalam ACLFile yang ada di direktori C:\Windows dan subdirektorinya, ketik:

icacls c:\windows\ /restore aclfile

Untuk memberikan pengguna izin User1 Delete dan Write DAC ke file bernama Test1, ketik:

icacls test1 /grant User1:(d,wdac)

Untuk memberi pengguna yang ditentukan oleh izin SID S-1-1-0 Delete dan Write DAC ke file, bernama Test2, ketik:

icacls test2 /grant *S-1-1-0:(d,wdac)

Tautan terkait

• Kunci Sintaks Baris Perintah