icacls
Отображает или изменяет списки управления доступом для указанных файлов и применяет хранимые списки управления доступом к файлам в указанных каталогах.
Примечание.
Эта команда заменяет нерекомендуемую команду cacls.
Синтаксис
icacls <filename> [/grant[:r] <sid>:<perm>[...]] [/deny <sid>:<perm>[...]] [/remove[:g|:d]] <sid>[...]] [/t] [/c] [/l] [/q] [/setintegritylevel <Level>:<policy>[...]]
icacls <directory> [/substitute <sidold> <sidnew> [...]] [/restore <aclfile> [/c] [/l] [/q]]
Параметры
| Параметр | Описание |
|---|---|
| <filename> | Указывает файл, для которого нужно отобразить или изменить списки DACL. |
| <directory> | Указывает каталог, для которого следует отображать или изменять списки DACL. |
| /T | Выполняет операцию по всем указанным файлам в текущем каталоге и его подкаталогах. |
| /c | Продолжает операцию, несмотря на все ошибки файла. Сообщения об ошибках по-прежнему отображаются. |
| /l | Выполняет операцию по символьной ссылке вместо назначения. |
| /q | Подавляет сообщения об успешном выполнении. |
| [/save <ACLfile> [/t] [/c] [/l] [/q]] | Сохраняет списки управления доступом для всех соответствующих файлов в файл списка управления доступом (ACL) для последующего использования с /restore. |
| [/setowner <username> [/t] [/c] [/l] [/q]] | Изменяет владельца всех соответствующих файлов указанному пользователю. |
| [/findsid <sid> [/t] [/c] [/l] [/q]] | Находит все соответствующие файлы, содержащие DACL, явно упоминание заданного идентификатора безопасности (SID). |
| [/verify [/t] [/c] [/l] [/q]] | Находит все файлы со списками управления доступом, которые не являются каноническими или имеют длину, несогласованную с числом элементов управления доступом (ACE). |
| [/reset [/t] [/c] [/l] [/q]] | Заменяет списки ACL на унаследованные списки управления доступом по умолчанию для всех соответствующих файлов. |
| [/grant[:r] <sid>:perm><[...]] | Предоставляет указанные права доступа пользователей. Разрешения заменяют ранее предоставленные явные разрешения. Не добавляя параметр :r, означает, что разрешения добавляются к любым ранее предоставленным явным разрешениям. |
| [/deny <sid>:<perm>[...]] | Явно запрещает указанные права доступа пользователей. Явное отклонение ACE добавляется для указанных разрешений и те же разрешения в любом явном предоставлении удаляются. |
| [/remove[:g | :d]] sid>[...] <[/t] [/c] [/l] [/q] [/q] | Удаляет все вхождения указанного идентификатора безопасности из DACL. Эта команда также может использовать:
|
| [/setintegritylevel [(CI)(OI)] <Level>:<Policy>[...]] | Явно добавляет ACE целостности во все соответствующие файлы. Уровень можно указать следующим образом:
|
| [/заменить <sidold><sidnew> [...]] | Заменяет существующий идентификатор безопасности (sidold) новым идентификатором безопасности (sidnew). Требуется использовать с параметром <directory> . |
| /restore <ACLfile> [/c] [/l] [/q] | Применяет хранимые списки управления доступом к <ACLfile> файлам в указанном каталоге. Требуется использовать с параметром <directory> . |
| /inheritancelevel: [e | d | r] | Задает уровень наследования, который может быть:
|
Замечания
Идентификаторы SID могут находиться в виде числовых или понятных имен. Если используется числовая форма, прикрепите дикий карта символ * к началу идентификатора безопасности.
Эта команда сохраняет канонический порядок записей ACE следующим образом:
Явные отказы
Явные гранты
Унаследованные отказы
Унаследованные гранты
Параметр
<perm>— это маска разрешений, которую можно указать в одной из следующих форм:Последовательность простых прав (базовые разрешения):
F — полный доступ
M- Изменение доступа
RX — доступ для чтения и выполнения
R — доступ только для чтения
W — доступ только для записи
Разделенный запятыми список в скобках определенных прав (расширенные разрешения):
D — удаление
RC — элемент управления чтением (разрешения на чтение)
WDAC — запись DAC (разрешения на изменение)
WO — запись владельца (взять на себя ответственность)
S — синхронизация
AS — безопасность системы доступа
MA — максимально допустимо
GR — универсальное чтение
GW — универсальная запись
GE — универсальное выполнение
Общедоступная версия — универсальное все
Удаленный рабочий центр — чтение каталога данных и списка
WD — запись данных и добавление файла
AD — добавление данных или добавление подкаталога
REA — чтение расширенных атрибутов
WEA — запись расширенных атрибутов
X — Выполнение и обход
КОНТРОЛЛЕР домена — удаление дочернего элемента
RA — чтение атрибутов
WA — запись атрибутов
Права наследования могут предшествовать любой
<perm>форме:(I) - Наследуется. ACE наследуется от родительского контейнера.
(OI) — Наследование объекта. Объекты в этом контейнере наследуют этот ACE. Применяется только к каталогам.
(CI) — наследование контейнера. Контейнеры в этом родительском контейнере наследуют этот ACE. Применяется только к каталогам.
(операции ввода-вывода) - Наследуется только. ACE наследуется от родительского контейнера, но не применяется к самому объекту. Применяется только к каталогам.
(NP) - Не распространяется наследование. ACE наследуется контейнерами и объектами родительского контейнера, но не распространяется на вложенные контейнеры. Применяется только к каталогам.
Примеры
Чтобы сохранить DACLs для всех файлов в каталоге C:\Windows и его подкаталогах в файл ACLFile, введите следующее:
icacls c:\windows\* /save aclfile /t
Чтобы восстановить списки данных для каждого файла в ACLFile, существующем в каталоге C:\Windows и его подкаталогах, введите следующее:
icacls c:\windows\ /restore aclfile
Чтобы предоставить пользователю user1 Delete and Write DAC разрешения на файл с именем Test1, введите следующее:
icacls test1 /grant User1:(d,wdac)
Чтобы предоставить пользователю разрешения sid S-1-1-0 Delete and Write DAC в файл с именем Test2, введите:
icacls test2 /grant *S-1-1-0:(d,wdac)