icacls
지정된 파일의 DACL(임의 액세스 제어 목록)을 표시 또는 수정하고 저장한 DACL을 지정된 디렉터리의 파일에 적용합니다.
참고 항목
이 명령은 사용되지 않는 cacls 명령을 대체합니다.
구문
icacls <filename> [/grant[:r] <sid>:<perm>[...]] [/deny <sid>:<perm>[...]] [/remove[:g|:d]] <sid>[...]] [/t] [/c] [/l] [/q] [/setintegritylevel <Level>:<policy>[...]]
icacls <directory> [/substitute <sidold> <sidnew> [...]] [/restore <aclfile> [/c] [/l] [/q]]
매개 변수
| 매개 변수 | 설명 |
|---|---|
| <filename> | DACL을 표시하거나 수정해야 할 파일을 지정합니다. |
| <directory> | DACL을 표시하거나 수정해야 할 디렉토리를 지정합니다. |
| /t | 현재 디렉터리 및 하위 디렉터리에서 지정 된 모든 파일에 작업을 수행합니다. |
| /c | 파일 오류 불구 하 고 작업을 계속 합니다. 오류 메시지가 계속 표시 됩니다. |
| /l | 대상 대신 바로 가기 링크에서 작업을 수행합니다. |
| /q | 성공 메시지를 표시 하지 않습니다. |
| [/save <ACLfile> [/t] [/c] [/l] [/q]] | 일치하는 모든 파일의 DACL을 /restore로 나중에 사용할 ACL(액세스 제어 목록) 파일에 저장합니다. |
| [/setowner <username> [/t] [/c] [/l] [/q]] | 지정된 된 사용자에 일치 하는 모든 파일의 소유자를 변경합니다. |
| [/findsid <sid> [/t] [/c] [/l] [/q]] | 지정된 된 보안 식별자 (SID)를 명시적으로 언급 하는 DACL을 포함 하는 일치 하는 모든 파일을 찾습니다. |
| [/ 확인 [/t] [/c] [/l] [/q]] | 표준이 아니거나 길이가 ACE(액세스 제어 항목) 수와 일치하지 않는 ACL로 모든 파일을 찾습니다. |
| [/reset [/t] [/c] [/l] [/q]] | 기본값은 대체 Acl 일치 하는 모든 파일에 대 한 Acl을 상속합니다. |
| [/grant[:r] <sid>:<perm>[...]] | 사용자 액세스 권한을 지정 하는 권한을 부여 합니다. 사용 권한을 이전에 부여 된 명시적 사용 권한을 바꿉니다. :r을 추가하지 않으면 이전에 부여된 명시적 권한에 권한이 추가됩니다. |
| [/deny <sid>:<perm>[...]] | 명시적으로 지정 된 사용자 액세스 권한을 거부합니다. 명시적 거부 ACE 명시 된 사용 권한에 대해 추가 되 고 모든 명시적 권한 부여에 동일한 사용 권한이 제거 됩니다. |
| [/remove[:g | :d]] <sid>[...] [/t] [/c] [/l] [/q] | DACL에서 지정된 된 SID의 모든 항목을 제거합니다. 이 명령은 다음도 사용할 수 있습니다.
|
| [/setintegritylevel [(CI)(OI)] <Level>:<Policy>[...]] | 일치 하는 모든 파일에는 무결성 ACE를 명시적으로 추가합니다. 수준을 다음과 같이 지정할 수 있습니다.
|
| [/substitute <sidold><sidnew> [...]] | 기존 SID(sidold)를 새 SID(sidnew)로 바꿉니다. <directory> 매개 변수와 함께 사용해야 합니다. |
| /restore <ACLfile> [/c] [/l] [/q] | <ACLfile>의 저장된 DACL을 지정된 디렉터리의 파일에 적용합니다. <directory> 매개 변수와 함께 사용해야 합니다. |
| /inheritancelevel: [e | d | r] | 다음과 같을 수 있는 상속 수준을 설정합니다.
|
설명
Sid는 숫자 또는 친숙 한 이름 형식을 사용할 수 있습니다. 숫자 형식을 사용 하는 경우 와일드 카드 문자를 붙일 * SID의 시작 부분에 있습니다.
이 명령은 ACE 항목의 표준 순서를 다음과 같이 유지합니다.
명시적 거부
명시적 권한 부여
상속 된 거부
상속 된 권한 부여
<perm>옵션은 다음 형식 중 하나로 지정할 수 있는 권한 마스크입니다.간단한 권한 시퀀스(기본 권한):
F - 모든 권한
M- 수정 액세스 권한
RX - 읽기 및 실행 액세스 권한
R - 읽기 전용 액세스 권한
W - 쓰기 전용 액세스 권한
특정 권한(고급 권한)의 괄호 안에 있는 쉼표로 구분된 목록:
D - 삭제
RC - 읽기 제어(읽기 권한)
WDAC - 쓰기 DAC(변경 권한)
WO - 쓰기 소유자(권한 얻기)
S - 동기화
AS - 시스템 보안 액세스
MA - 최대 허용
GR - 일반 읽기
GW - 일반 쓰기
GE - 일반 실행
GA - 일반 전체
RD - 데이터/목록 디렉터리 읽기
WD - 데이터 쓰기/파일 추가
AD - 데이터 추가/하위 디렉터리 추가
REA - 확장된 특성 읽기
WEA - 확장된 특성 쓰기
X - 실행/트래버스
DC - 자식 삭제
RA - 특성 읽기
WA - 특성 쓰기
상속 권한은 다음
<perm>형식 보다 우선할 수 있습니다.(I) - 상속. 부모 컨테이너에서 상속된 ACE.
(OI) - 개체 상속. 이 컨테이너의 개체는 이 ACE를 상속하게 됩니다. 디렉터리에만 적용됩니다.
(CI) - 컨테이너 상속. 이 부모 컨테이너의 컨테이너는 이 ACE를 상속하게 됩니다. 디렉터리에만 적용됩니다.
(IO) - 상속만. ACE가 부모 컨테이너에서 상속되지만 개체 자체에는 적용되지 않습니다. 디렉터리에만 적용됩니다.
(NP) - 상속을 전파하지 않음. ACE가 부모 컨테이너에서 컨테이너 및 개체에 의해 상속되고 중첩된 컨테이너로 전파되지 않습니다. 디렉터리에만 적용됩니다.
예제
모든 파일에 대 한 Dacl는 C:\Windows 디렉터리 및 하위 디렉터리를 ACLFile 파일을 저장 하려면 다음을 입력 합니다.
icacls c:\windows\* /save aclfile /t
C:\Windows 디렉터리 및 하위 디렉터리에 있는 ACLFile 내의 모든 파일에 대 한 Dacl을 복원 하려면 다음을 입력 합니다.
icacls c:\windows\ /restore aclfile
사용자 User1 삭제 및 쓰기 DAC 권한을 Test1이라는 파일에 부여하려면 다음을 입력합니다.
icacls test1 /grant User1:(d,wdac)
SID S-1-1-0 삭제 및 쓰기 DAC 권한으로 정의된 사용자를 Test2라는 파일에 부여하려면 다음을 입력합니다.
icacls test2 /grant *S-1-1-0:(d,wdac)