다음을 통해 공유

icacls

지정된 파일에 대한 임의 DACL(액세스 제어 목록)을 표시하거나 수정하고 저장된 DACL을 지정된 디렉터리의 파일에 적용합니다.

참고 항목

이 명령은 사용되지 않는 cacls 명령을 대체합니다.

구문

icacls name [/save aclfile] [/setowner user] [/findsid Sid] [/verify] [/reset] [/T] [/C] [/L] [/Q]
icacls name [/grant[:r] Sid:perm[...]] [/deny Sid:perm [...]] [/remove[:g|:d]] Sid[...]]] [/setintegritylevel Level:policy[...]] [/T] [/C] [/L] [/Q]
icacls directory [/substitute SidOld SidNew [...]] [/restore aclfile] [/C] [/L] [/Q]

매개 변수

매개 변수 설명
<name> DACL을 표시하거나 수정해야 할 파일을 지정합니다.
<directory> DACL을 표시하거나 수정해야 할 디렉토리를 지정합니다.
/t 현재 디렉터리 및 하위 디렉터리에서 지정 된 모든 파일에 작업을 수행합니다.
/씨 파일 오류가 발생하더라도 작업을 계속합니다. 오류 메시지가 계속 표시됩니다.
/엘 대상 대신 바로 가기 링크에서 작업을 수행합니다.
/큐 성공 메시지를 표시 하지 않습니다.
/구해내다 <ACLfile> 일치하는 모든 파일에 대한 DCL을 나중에 사용할 /restore수 있도록 ACL(액세스 제어 목록) 파일에 저장합니다.
/setowner <user> 지정된 된 사용자에 일치 하는 모든 파일의 소유자를 변경합니다.
/findsid <sid> 지정된 된 보안 식별자 (SID)를 명시적으로 언급 하는 DACL을 포함 하는 일치 하는 모든 파일을 찾습니다.
/확인 정식이 아니거나 ACE(액세스 제어 항목) 개수와 일치하지 않는 길이가 있는 ACL이 있는 모든 파일을 찾습니다.
/재설정 기본값은 대체 Acl 일치 하는 모든 파일에 대 한 Acl을 상속합니다.
/grant[:r] <sid>:<perm> 사용자 액세스 권한을 지정 하는 권한을 부여 합니다. 사용 권한을 이전에 부여 된 명시적 사용 권한을 바꿉니다. :r을 추가하지 않으면 이전에 부여된 명시적 사용 권한에 사용 권한이 추가됩니다.
/deny <sid>:<perm> 명시적으로 지정 된 사용자 액세스 권한을 거부합니다. 명시적 거부 ACE 명시 된 사용 권한에 대해 추가 되 고 모든 명시적 권한 부여에 동일한 사용 권한이 제거 됩니다.
/remove: g | d <sid> DACL에서 지정된 된 SID의 모든 항목을 제거합니다. 이 명령은 다음도 사용할 수 있습니다.

  • g - 지정된 SID에 대한 부여된 권한의 모든 발생을 제거합니다.
  • d - 지정된 SID에 대한 거부된 권한의 모든 발생을 제거합니다.
    		•
    /setintegritylevel <perm><level> 일치 하는 모든 파일에는 무결성 ACE를 명시적으로 추가합니다. 수준을 다음과 같이 지정할 수 있습니다.

  • l - 저
  • m - 보통
  • h - 고

    • ACE 무결성에 대 한 상속 옵션은 수준 전후의 디렉터리에만 적용 됩니다.
    /대용하다 <sidold><sidnew> 기존 SID(sidold)를 새 SID(sidnew)로 바꿉니다. <directory> 매개 변수와 함께 사용해야 합니다.
    /restore <ACLfile> /c | /l | /q <ACLfile>의 저장된 DACL을 지정된 디렉터리의 파일에 적용합니다. <directory> 매개 변수와 함께 사용해야 합니다.
    /inheritancelevel: e | d | r 다음과 같을 수 있는 상속 수준을 설정합니다.

  • e - 상속 사용
  • d - 상속을 사용하지 않도록 설정하고 ACE 복사
  • r - 상속을 사용하지 않도록 설정하고 상속된 ACE만 제거
    		•

    설명

    • Sid는 숫자 또는 친숙 한 이름 형식을 사용할 수 있습니다. 숫자 형식을 사용 하는 경우 와일드 카드 문자를 붙일 * SID의 시작 부분에 있습니다.

    • 이 명령은 ACE 항목의 표준 순서를 다음과 같이 유지합니다.

      • 명시적 거부

      • 명시적 권한 부여

      • 상속 된 거부

      • 상속 된 권한 부여

    • <perm> 옵션은 기본 권한, 고급 권한 또는 상속 권한에 대해 지정할 수 있는 권한 마스크입니다.

      • 괄호를 사용할 필요 없이 간단한 권한(기본 권한) 시퀀스:

        • N - 액세스 권한 없음
        • F - 모든 권한
        • M - 액세스 수정
        • RX - 읽기 및 실행 액세스 권한
        • R - 읽기 전용 액세스 권한
        • W - 쓰기 전용 액세스 권한
        • D - 액세스 삭제

      • 괄호를 사용해야 하는 특정 권한(고급 권한)의 쉼표로 구분된 목록입니다.

        • DE - 삭제
        • RC - 읽기 제어(읽기 권한)
        • WDAC - 쓰기 DAC(변경 권한)
        • WO - 쓰기 소유자(권한 얻기)
        • S - 동기화
        • AS - 시스템 보안 액세스
        • MA - 최대 허용
        • GR - 일반 읽기
        • GW - 일반 쓰기
        • GE - 일반 실행
        • GA - 일반 전체
        • RD - 데이터/목록 디렉터리 읽기
        • WD - 데이터 쓰기/파일 추가
        • AD - 데이터 추가/하위 디렉터리 추가
        • REA - 확장된 특성 읽기
        • WEA - 확장된 특성 쓰기
        • X - 실행/트래버스
        • DC - 자식 삭제
        • RA - 특성 읽기
        • WA - 특성 쓰기

      • 괄호를 사용해야 하는 상속 권한 시퀀스입니다.

        • (I) - 상속. 부모 컨테이너에서 상속된 ACE.
        • (OI) - 개체 상속. 이 컨테이너의 개체는 이 ACE를 상속합니다. 디렉터리에만 적용됩니다.
        • (CI) - 컨테이너 상속. 이 부모 컨테이너의 컨테이너는 이 ACE를 상속합니다. 디렉터리에만 적용됩니다.
        • (IO) - 상속만. ACE는 부모 컨테이너에서 상속되지만 개체 자체에는 적용되지 않습니다. 디렉터리에만 적용됩니다.
        • (NP) - 상속을 전파하지 마세요. 부모 컨테이너에서 컨테이너 및 개체에 의해 상속되지만 중첩된 컨테이너로 전파되지는 않습니다. 디렉터리에만 적용됩니다.

    예제

    모든 파일에 대 한 Dacl는 C:\Windows 디렉터리 및 하위 디렉터리를 ACLFile 파일을 저장 하려면 다음을 입력 합니다.

    icacls c:\windows\* /save aclfile /t

    C:\Windows 디렉터리 및 하위 디렉터리에 있는 ACLFile 내의 모든 파일에 대 한 Dacl을 복원 하려면 다음을 입력 합니다.

    icacls c:\windows\ /restore aclfile

    사용자 User1 삭제 및 쓰기 DAC 권한을 Test1이라는 파일에 부여하려면 다음을 입력합니다.

    icacls test1 /grant User1:(d,wdac)

    SID S-1-1-0으로 정의된 사용자에게 TestFile이라는 파일에 대한 DAC 삭제 및 쓰기 권한을 부여하려면 다음을 입력합니다.

    icacls TestFile /grant *S-1-1-0:(d,wdac)

    디렉터리에 높은 무결성 수준을 적용하고 해당 파일과 하위 디렉터리가 모두 이 수준을 상속하는지 확인하려면 다음을 입력합니다.

    icacls "myDirectory" /setintegritylevel (CI)(OI)H