Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Menampilkan atau memodifikasi daftar kontrol akses diskresi (DACL) pada file tertentu dan menerapkan DACL tersimpan ke file dalam direktori tertentu.
Note
Perintah ini menggantikan perintah cacls yang tidak digunakan lagi.
Syntax
icacls name [/save aclfile] [/setowner user] [/findsid Sid] [/verify] [/reset] [/T] [/C] [/L] [/Q]
icacls name [/grant[:r] Sid:perm[...]] [/deny Sid:perm [...]] [/remove[:g|:d]] Sid[...]]] [/setintegritylevel Level:policy[...]] [/T] [/C] [/L] [/Q]
icacls directory [/substitute SidOld SidNew [...]] [/restore aclfile] [/C] [/L] [/Q]
Parameters
| Parameter | Description |
|---|---|
<name> |
Menentukan file yang akan ditampilkan atau diubah DACLnya. |
<directory> |
Menentukan direktori untuk menampilkan atau memodifikasi DACL. |
| /t | Melakukan operasi pada semua file yang ditentukan dalam direktori saat ini dan subdirektorinya. |
| /c | Melanjutkan operasi meskipun terjadi kesalahan file. Pesan kesalahan masih ditampilkan. |
| /l | Melakukan operasi pada tautan simbolis alih-alih tujuannya. |
| /q | Menekan pesan keberhasilan. |
/simpan <ACLfile> |
Menyimpan DACL untuk semua file yang cocok ke dalam file daftar kontrol akses (ACL) untuk digunakan nanti dengan /restore. |
/pemilik set <user> |
Mengubah pemilik semua file yang cocok ke pengguna yang ditentukan. |
/temukan sid <sid> |
Menemukan semua file yang cocok yang berisi DACL yang secara eksplisit menyebutkan pengidentifikasi keamanan (SID) yang ditentukan. |
| /verify | Menemukan semua file dengan ACL yang tidak kanonis atau memiliki panjang yang tidak konsisten dengan jumlah entri kontrol akses (ACE). |
| /reset | Mengganti ACL dengan ACL yang diwariskan default untuk semua file yang cocok. |
/hibah[:r] <sid>:<perm> |
Memberikan hak akses pengguna tertentu. Izin menggantikan izin eksplisit yang diberikan sebelumnya. Tidak menambahkan :r berarti bahwa izin ditambahkan ke izin eksplisit yang diberikan sebelumnya. |
/tolak <sid>:<perm> |
Secara eksplisit menolak hak akses pengguna yang ditentukan. ACE tolak eksplisit ditambahkan untuk izin yang dinyatakan dan izin yang sama dalam setiap pemberian eksplisit dihapus. |
/hapus: g | d <sid> |
Menghapus semua kemunculan SID yang ditentukan dari DACL. Perintah ini juga dapat menggunakan: |
/setintegritylevel <perm><level> |
Secara eksplisit menambahkan ACE integritas ke semua file yang cocok. Tingkat dapat ditentukan sebagai: Opsi pewarisan untuk ACE integritas dapat mendahului tingkat dan hanya diterapkan ke direktori. |
/pengganti <sidold><sidnew> |
Mengganti SID yang ada (sidold) dengan SID baru (sidnew). Memerlukan penggunaan dengan parameter <directory>. |
/restore <ACLfile> /c | /l | /q |
Menerapkan DACL tersimpan dari <ACLfile> ke file dalam direktori yang ditentukan. Memerlukan penggunaan dengan parameter <directory>. |
| /tingkat warisan: e | d | r | Mengatur tingkat pewarisan, yang dapat berupa: |
Remarks
SID mungkin dalam bentuk nama numerik atau ramah. Jika Anda menggunakan formulir numerik, akhiri karakter kartubebas * ke awal SID.
Perintah ini mempertahankan urutan kanonis entri ACE sebagai:
Explicit denials
Explicit grants
Inherited denials
Inherited grants
Opsinya
<perm>adalah masker izin yang dapat ditentukan untuk hak dasar, hak lanjutan, atau hak warisan:Urutan hak sederhana (izin dasar) tanpa perlu menggunakan tanda kurung:
- N - Tidak ada akses
- F - Akses penuh
- M - Ubah akses
- RX - Baca dan jalankan akses
- R - Akses baca-saja
- W - Akses hanya tulis
- D - Hapus akses
Daftar hak tertentu yang dipisahkan koma (izin tingkat lanjut) yang harus menggunakan tanda kurung:
- DE - Hapus
- RC - Kontrol baca (izin baca)
- WDAC - Tulis DAC (ubah izin)
- WO - Menulis pemilik (mengambil kepemilikan)
- S - Sinkronkan
- AS - Keamanan sistem akses
- MA - Maksimum yang diizinkan
- GR - Bacaan umum
- GW - Penulisan generik
- GE - Eksekusi generik
- GA - Generik semua
- RD - Baca direktori data/daftar
- WD - Tulis data/tambahkan file
- AD - Menambahkan data/menambahkan subdirektori
- REA - Baca atribut yang diperluas
- WEA - Menulis atribut yang diperluas
- X - Eksekusi/melintasi
- DC - Hapus turunan
- RA - Atribut baca
- WA - Tulis atribut
Urutan hak warisan yang harus menggunakan tanda kurung:
- (I) - Mewarisi. ACE diwarisi dari kontainer induk.
- (OI) - Objek mewarisi. Objek dalam kontainer ini mewarisi ACE ini. Hanya berlaku untuk direktori.
- (CI) - Wadah mewarisi. Kontainer dalam kontainer induk ini mewarisi ACE ini. Hanya berlaku untuk direktori.
- (IO) - Hanya mewarisi. ACE diwarisi dari kontainer induk, tetapi tidak berlaku untuk objek itu sendiri. Hanya berlaku untuk direktori.
- (NP) - Jangan menyebarkan warisan. ACE diwariskan oleh kontainer dan objek dari kontainer induk, tetapi tidak menyebar ke kontainer berlapis. Hanya berlaku untuk direktori.
Examples
Untuk menyimpan DACL untuk semua file di direktori C:\Windows dan subdirektorinya ke file ACLFile, ketik:
icacls c:\windows\* /save aclfile /t
Untuk memulihkan DACL untuk setiap file dalam ACLFile yang ada di direktori C:\Windows dan subdirektorinya, ketik:
icacls c:\windows\ /restore aclfile
Untuk memberikan pengguna izin User1 Delete dan Write DAC ke file bernama Test1, ketik:
icacls test1 /grant User1:(d,wdac)
Untuk memberi pengguna yang ditentukan oleh izin SID S-1-1-0 Delete dan Write DAC ke file bernama TestFile, ketik:
icacls TestFile /grant *S-1-1-0:(d,wdac)
Untuk menerapkan tingkat integritas tinggi ke direktori dan memastikan bahwa file dan subdirektorinya mewarisi tingkat ini, ketik:
icacls "myDirectory" /setintegritylevel (CI)(OI)H