icacls

Отображает или изменяет списки управления доступом для указанных файлов и применяет хранимые списки управления доступом к файлам в указанных каталогах.

Примечание.

Эта команда заменяет нерекомендуемую команду cacls.

Синтаксис

icacls <filename> [/grant[:r] <sid>:<perm>[...]] [/deny <sid>:<perm>[...]] [/remove[:g|:d]] <sid>[...]] [/t] [/c] [/l] [/q] [/setintegritylevel <Level>:<policy>[...]]
icacls <directory> [/substitute <sidold> <sidnew> [...]] [/restore <aclfile> [/c] [/l] [/q]]

Параметры

Параметр Описание
<filename> Указывает файл, для которого нужно отобразить или изменить списки DACL.
<directory> Указывает каталог, для которого следует отображать или изменять списки DACL.
/T Выполняет операцию по всем указанным файлам в текущем каталоге и его подкаталогах.
/c Продолжает операцию, несмотря на все ошибки файла. Сообщения об ошибках по-прежнему отображаются.
/l Выполняет операцию по символьной ссылке вместо назначения.
/q Подавляет сообщения об успешном выполнении.
[/save <ACLfile> [/t] [/c] [/l] [/q]] Сохраняет списки управления доступом для всех соответствующих файлов в файл списка управления доступом (ACL) для последующего использования с /restore.
[/setowner <username> [/t] [/c] [/l] [/q]] Изменяет владельца всех соответствующих файлов указанному пользователю.
[/findsid <sid> [/t] [/c] [/l] [/q]] Находит все соответствующие файлы, содержащие DACL, явно упоминание заданного идентификатора безопасности (SID).
[/verify [/t] [/c] [/l] [/q]] Находит все файлы со списками управления доступом, которые не являются каноническими или имеют длину, несогласованную с числом элементов управления доступом (ACE).
[/reset [/t] [/c] [/l] [/q]] Заменяет списки ACL на унаследованные списки управления доступом по умолчанию для всех соответствующих файлов.
[/grant[:r] <sid>:perm><[...]] Предоставляет указанные права доступа пользователей. Разрешения заменяют ранее предоставленные явные разрешения.

Не добавляя параметр :r, означает, что разрешения добавляются к любым ранее предоставленным явным разрешениям.

[/deny <sid>:<perm>[...]] Явно запрещает указанные права доступа пользователей. Явное отклонение ACE добавляется для указанных разрешений и те же разрешения в любом явном предоставлении удаляются.
[/remove[:g | :d]] sid>[...] <[/t] [/c] [/l] [/q] [/q] Удаляет все вхождения указанного идентификатора безопасности из DACL. Эта команда также может использовать:
  • :g — удаляет все вхождения предоставленных прав на указанный идентификатор безопасности.
  • :d. Удаляет все вхождения запрещенных прав на указанный идентификатор безопасности.
[/setintegritylevel [(CI)(OI)] <Level>:<Policy>[...]] Явно добавляет ACE целостности во все соответствующие файлы. Уровень можно указать следующим образом:
  • l — низкий
  • m- Средний
  • h — высокий
Параметры наследования для ACE целостности могут предшествовать уровню и применяются только к каталогам.
[/заменить <sidold><sidnew> [...]] Заменяет существующий идентификатор безопасности (sidold) новым идентификатором безопасности (sidnew). Требуется использовать с параметром <directory> .
/restore <ACLfile> [/c] [/l] [/q] Применяет хранимые списки управления доступом к <ACLfile> файлам в указанном каталоге. Требуется использовать с параметром <directory> .
/inheritancelevel: [e | d | r] Задает уровень наследования, который может быть:
  • e — включает наследование
  • d . Отключает наследование и копирует acEs
  • r — отключает наследование и удаляет только унаследованные acEs

Замечания

  • Идентификаторы SID могут находиться в виде числовых или понятных имен. Если используется числовая форма, прикрепите дикий карта символ * к началу идентификатора безопасности.

  • Эта команда сохраняет канонический порядок записей ACE следующим образом:

    • Явные отказы

    • Явные гранты

    • Унаследованные отказы

    • Унаследованные гранты

  • Параметр <perm> — это маска разрешений, которую можно указать в одной из следующих форм:

    • Последовательность простых прав (базовые разрешения):

      • F — полный доступ

      • M- Изменение доступа

      • RX — доступ для чтения и выполнения

      • R — доступ только для чтения

      • W — доступ только для записи

    • Разделенный запятыми список в скобках определенных прав (расширенные разрешения):

      • D — удаление

      • RC — элемент управления чтением (разрешения на чтение)

      • WDAC — запись DAC (разрешения на изменение)

      • WO — запись владельца (взять на себя ответственность)

      • S — синхронизация

      • AS — безопасность системы доступа

      • MA — максимально допустимо

      • GR — универсальное чтение

      • GW — универсальная запись

      • GE — универсальное выполнение

      • Общедоступная версия — универсальное все

      • Удаленный рабочий центр — чтение каталога данных и списка

      • WD — запись данных и добавление файла

      • AD — добавление данных или добавление подкаталога

      • REA — чтение расширенных атрибутов

      • WEA — запись расширенных атрибутов

      • X — Выполнение и обход

      • КОНТРОЛЛЕР домена — удаление дочернего элемента

      • RA — чтение атрибутов

      • WA — запись атрибутов

    • Права наследования могут предшествовать любой <perm> форме:

      • (I) - Наследуется. ACE наследуется от родительского контейнера.

      • (OI) — Наследование объекта. Объекты в этом контейнере наследуют этот ACE. Применяется только к каталогам.

      • (CI) — наследование контейнера. Контейнеры в этом родительском контейнере наследуют этот ACE. Применяется только к каталогам.

      • (операции ввода-вывода) - Наследуется только. ACE наследуется от родительского контейнера, но не применяется к самому объекту. Применяется только к каталогам.

      • (NP) - Не распространяется наследование. ACE наследуется контейнерами и объектами родительского контейнера, но не распространяется на вложенные контейнеры. Применяется только к каталогам.

Примеры

Чтобы сохранить DACLs для всех файлов в каталоге C:\Windows и его подкаталогах в файл ACLFile, введите следующее:

icacls c:\windows\* /save aclfile /t

Чтобы восстановить списки данных для каждого файла в ACLFile, существующем в каталоге C:\Windows и его подкаталогах, введите следующее:

icacls c:\windows\ /restore aclfile

Чтобы предоставить пользователю user1 Delete and Write DAC разрешения на файл с именем Test1, введите следующее:

icacls test1 /grant User1:(d,wdac)

Чтобы предоставить пользователю разрешения sid S-1-1-0 Delete and Write DAC в файл с именем Test2, введите:

icacls test2 /grant *S-1-1-0:(d,wdac)