icacls

  • 아티클

지정된 파일의 DACL(임의 액세스 제어 목록)을 표시 또는 수정하고 저장한 DACL을 지정된 디렉터리의 파일에 적용합니다.

참고 항목

이 명령은 사용되지 않는 cacls 명령을 대체합니다.

구문

icacls <filename> [/grant[:r] <sid>:<perm>[...]] [/deny <sid>:<perm>[...]] [/remove[:g|:d]] <sid>[...]] [/t] [/c] [/l] [/q] [/setintegritylevel <Level>:<policy>[...]]
icacls <directory> [/substitute <sidold> <sidnew> [...]] [/restore <aclfile> [/c] [/l] [/q]]

매개 변수

매개 변수 설명
<filename> DACL을 표시하거나 수정할 파일을 지정합니다.
<directory> DACL을 표시하거나 수정할 디렉터리를 지정합니다.
/t 현재 디렉터리 및 하위 디렉터리에서 지정 된 모든 파일에 작업을 수행합니다.
/c 파일 오류 불구 하 고 작업을 계속 합니다. 오류 메시지가 계속 표시 됩니다.
/l 대상 대신 기호 링크에서 작업을 수행합니다.
/q 성공 메시지를 표시 하지 않습니다.
[/save <ACLfile> [/t] [/c] [/l] [/q]] 일치하는 모든 파일에 대한 DCL을 나중에 /restore에서 사용할 수 있도록 ACL(액세스 제어 목록) 파일에 저장합니다.
[/setowner <사용자 이름> [/t] [/c] [/l] [/q]] 지정된 된 사용자에 일치 하는 모든 파일의 소유자를 변경합니다.
[/findsid <sid> [/t] [/c] [/l] [/q]] 지정된 된 보안 식별자 (SID)를 명시적으로 언급 하는 DACL을 포함 하는 일치 하는 모든 파일을 찾습니다.
[/ 확인 [/t] [/c] [/l] [/q]] 정식이 아니거나 ACE(액세스 제어 항목) 개수와 일치하지 않는 길이가 있는 ACL이 있는 모든 파일을 찾습니다.
[/reset [/t] [/c] [/l] [/q]] 기본값은 대체 Acl 일치 하는 모든 파일에 대 한 Acl을 상속합니다.
[/grant[:r] <sid>:<perm>[...]] 사용자 액세스 권한을 지정 하는 권한을 부여 합니다. 사용 권한을 이전에 부여 된 명시적 사용 권한을 바꿉니다.

:r추가하지 않으면 이전에 부여된 명시적 사용 권한에 사용 권한이 추가됩니다.
[/deny <sid>:<perm>[...]] 명시적으로 지정 된 사용자 액세스 권한을 거부합니다. 명시적 거부 ACE 명시 된 사용 권한에 대해 추가 되 고 모든 명시적 권한 부여에 동일한 사용 권한이 제거 됩니다.
[/remove[:g | :d]] <sid>[...] [/t] [/c] [/l] [/q] DACL에서 지정된 된 SID의 모든 항목을 제거합니다. 이 명령은 다음을 사용할 수도 있습니다.
  • :g - 지정된 SID에 대한 부여된 권한의 모든 발생을 제거합니다.
  • :d - 지정된 SID에 대한 거부된 권한의 모든 발생을 제거합니다.
[/setintegritylevel [(CI)(OI)] <Level>:<Policy>[...]] 일치 하는 모든 파일에는 무결성 ACE를 명시적으로 추가합니다. 수준은 다음과 같이 지정할 수 있습니다.
  • l - 낮음
  • m- 보통
  • h - 높음
ACE 무결성에 대 한 상속 옵션은 수준 전후의 디렉터리에만 적용 됩니다.
[/substitute <sidold><sidnew> [...]] 기존 SID(sidold)를 새 SID(sidnew)로 바꿉니다. 매개 변수와 함께 사용해야 합니다 <directory> .
/restore <ACLfile> [/c] [/l] [/q] 지정된 디렉터리의 파일에 저장된 DACL <ACLfile> 을 적용합니다. 매개 변수와 함께 사용해야 합니다 <directory> .
/inheritancelevel: [e | d | r] 다음과 같은 상속 수준을 설정합니다.
  • e - 상속 사용
  • d - 상속을 사용하지 않도록 설정하고 ACE를 복사합니다.
  • r - 상속을 사용하지 않도록 설정하고 상속된 ACE만 제거합니다.

설명

  • Sid는 숫자 또는 친숙 한 이름 형식을 사용할 수 있습니다. 숫자 형식을 사용 하는 경우 와일드 카드 문자를 붙일 * SID의 시작 부분에 있습니다.

  • 이 명령은 ACE 항목의 정식 순서를 다음과 같이 유지합니다.

    • 명시적 거부

    • 명시적 권한 부여

    • 상속 된 거부

    • 상속 된 권한 부여

  • 옵션은 <perm> 다음 형식 중 하나로 지정할 수 있는 권한 마스크입니다.

    • 간단한 권한 시퀀스(기본 권한):

      • F - 모든 권한

      • M- 액세스 수정

      • RX - 읽기 및 실행 액세스

      • R - 읽기 전용 액세스

      • W - 쓰기 전용 액세스

    • 특정 권한의 괄호로 쉼표로 구분된 목록(고급 권한):

      • D - 삭제

      • RC - 읽기 제어(읽기 권한)

      • WDAC - 쓰기 DAC(권한 변경)

      • WO - 쓰기 소유자(소유권 가져오기)

      • S - 동기화

      • AS - 액세스 시스템 보안

      • MA - 최대 허용

      • GR - 일반 읽기

      • GW - 제네릭 쓰기

      • GE - 제네릭 실행

      • GA - 일반 모두

      • RD - 데이터 읽기/목록 디렉터리

      • WD - 데이터 쓰기/파일 추가

      • AD - 데이터 추가/하위 디렉터리 추가

      • REA - 확장 특성 읽기

      • WEA - 확장 특성 작성

      • X - 실행/트래버스

      • DC - 자식 삭제

      • RA - 특성 읽기

      • WA - 특성 작성

    • 상속 권한은 다음 형식 <perm> 보다 우선할 수 있습니다.

      • (I) - 상속합니다. 부모 컨테이너에서 상속된 ACE입니다.

      • (OI) - 개체 상속. 이 컨테이너의 개체는 이 ACE를 상속합니다. 디렉터리에만 적용됩니다.

      • (CI) - 컨테이너가 상속됩니다. 이 부모 컨테이너의 컨테이너는 이 ACE를 상속합니다. 디렉터리에만 적용됩니다.

      • (IO) - 상속만. ACE는 부모 컨테이너에서 상속되지만 개체 자체에는 적용되지 않습니다. 디렉터리에만 적용됩니다.

      • (NP) - 상속을 전파하지 마세요. 부모 컨테이너에서 컨테이너 및 개체에 의해 상속되지만 중첩된 컨테이너로 전파되지는 않습니다. 디렉터리에만 적용됩니다.

예제

모든 파일에 대 한 Dacl는 C:\Windows 디렉터리 및 하위 디렉터리를 ACLFile 파일을 저장 하려면 다음을 입력 합니다.

icacls c:\windows\* /save aclfile /t

C:\Windows 디렉터리 및 하위 디렉터리에 있는 ACLFile 내의 모든 파일에 대 한 Dacl을 복원 하려면 다음을 입력 합니다.

icacls c:\windows\ /restore aclfile

User1 Delete 및 Write DAC 권한을 Test1 파일에 부여하려면 다음을 입력합니다.

icacls test1 /grant User1:(d,wdac)

SID S-1-1-0으로 정의된 사용자에게 Test2라는 파일에 대한 DAC 삭제 및 쓰기 권한을 부여하려면 다음을 입력합니다.

icacls test2 /grant *S-1-1-0:(d,wdac)