icacls
Отображает или изменяет списки управления доступом для указанных файлов и применяет хранимые списки управления доступом к файлам в указанных каталогах.
Примечание.
Эта команда заменяет устаревшие команды cacls cacls.
Синтаксис
icacls <filename> [/grant[:r] <sid>:<perm>[...]] [/deny <sid>:<perm>[...]] [/remove[:g|:d]] <sid>[...]] [/t] [/c] [/l] [/q] [/setintegritylevel <Level>:<policy>[...]]
icacls <directory> [/substitute <sidold> <sidnew> [...]] [/restore <aclfile> [/c] [/l] [/q]]
Параметры
| Параметр | Описание |
|---|---|
| > имени файла < | Указывает файл, для которого нужно отобразить или изменить списки DACL. |
| каталог <> | Указывает каталог, для которого следует отображать или изменять списки DACL. |
| /t | Выполняет операцию по всем указанным файлам в текущем каталоге и его подкаталогах. |
| /c | Продолжает операцию, несмотря на все ошибки файла. Сообщения об ошибках по-прежнему отображаются. |
| /l | Выполняет операцию по символьной ссылке вместо назначения. |
| /q | Подавляет сообщения об успешном выполнении. |
| [/save <ACLfile> [/t] [/c] [/l] [/q]] | Сохраняет списки DAC для всех соответствующих файлов в файл списка управления доступом (ACL) для последующего использования с /restore. |
| [/setowner <имя пользователя> [/t] [/c] [/l] [/q]] | Изменяет владельца всех соответствующих файлов указанному пользователю. |
| [/findsid <sid> [/t] [/c] [/l] [/q]] | Находит все соответствующие файлы, содержащие daCL явное упоминание указанного идентификатора безопасности (SID). |
| [/verify [/t] [/c] [/l] [/q]] | Находит все файлы со списками управления доступом, которые не являются каноническими или имеют длину, несогласованную с числом элементов управления доступом (ACE). |
| [/reset [/t] [/c] [/l] [/q]] | Заменяет списки ACL на унаследованные списки управления доступом по умолчанию для всех соответствующих файлов. |
| [/grant[:r] <sid>:<perm>[...]] | Предоставляет указанные права доступа пользователей. Разрешения заменяют ранее предоставленные явные разрешения. Не добавляя :r, означает, что разрешения добавляются к любым ранее предоставленным явным разрешениям. |
| [/deny <sid>:<perm>[...]] | Явно запрещает указанные права доступа пользователей. Явное отклонение ACE добавляется для указанных разрешений и те же разрешения в любом явном предоставлении удаляются. |
| [/remove[:g | :d]] <sid>[...] [/t] [/c] [/l] [/q] | Удаляет все вхождения указанного идентификатора безопасности из DACL. Эта команда также может использовать:
|
| [/setintegritylevel [(CI)(OI)] <уровне>:<политики>[...]] | Явно добавляет ACE целостности во все соответствующие файлы. Уровень можно указать следующим образом:
|
| [/заменить <sidold><sidnew> [...]] | Заменяет существующий идентификатор безопасности (sidold) новым идентификатором безопасности (sidnew). Требуется использовать с параметром <directory>. |
| /restore <ACLfile> [/c] [/l] [/q] | Применяет хранимые списки данных из <ACLfile> к файлам в указанном каталоге. Требуется использовать с параметром <directory>. |
| /inheritancelevel: [e | d | r] | Задает уровень наследования, который может быть:
|
Замечания
Идентификаторы SID могут находиться в виде числовых или понятных имен. Если используется числовая форма, прикрепите подстановочный знак * к началу идентификатора безопасности.
Эта команда сохраняет канонический порядок записей ACE следующим образом:
Явные отказы
Явные гранты
Унаследованные отказы
Унаследованные гранты
Параметр
<perm>— это маска разрешений, которую можно указать в одной из следующих форм:Последовательность простых прав (базовые разрешения):
F — полный доступ
M— изменение доступа
RX — чтение и выполнение доступа
R — доступ только для чтения
W — доступ только для записи
Разделенный запятыми список в скобках определенных прав (расширенные разрешения):
D — удаление
RC — управление чтением (разрешения на чтение)
WDAC — запись DAC (изменение разрешений)
WO — владелец записи (взять на себя ответственность)
S — синхронизация
AS — безопасность системы доступа
MA — максимально допустимо
GR — универсальное чтение
GW — универсальная запись
GE — универсальное выполнение
общедоступной — универсальное все
RD — чтение каталога данных и списка
WD — запись данных и добавление файла
AD — добавление данных или добавление подкаталога
REA — чтение расширенных атрибутов
WEA — запись расширенных атрибутов
X — выполнение и обход
контроллера домена — удаление дочернего элемента
RA — чтение атрибутов
WA — атрибуты записи
Права наследования могут предшествовать либо
<perm>форме:(I) — наследование. ACE наследуется от родительского контейнера.
(OI) — наследование объекта. Объекты в этом контейнере наследуют этот ACE. Применяется только к каталогам.
(CI) — наследование контейнера. Контейнеры в этом родительском контейнере наследуют этот ACE. Применяется только к каталогам.
(операции ввода-вывода) — наследуется только. ACE наследуется от родительского контейнера, но не применяется к самому объекту. Применяется только к каталогам.
(NP) — не распространяется наследование. ACE наследуется контейнерами и объектами родительского контейнера, но не распространяется на вложенные контейнеры. Применяется только к каталогам.
Примеры
Чтобы сохранить DACLs для всех файлов в каталоге C:\Windows и его подкаталогах в файл ACLFile, введите следующее:
icacls c:\windows\* /save aclfile /t
Чтобы восстановить списки данных для каждого файла в ACLFile, существующем в каталоге C:\Windows и его подкаталогах, введите следующее:
icacls c:\windows\ /restore aclfile
Чтобы предоставить пользователю user1 Delete and Write DAC разрешения на файл с именем Test1, введите следующее:
icacls test1 /grant User1:(d,wdac)
Чтобы предоставить пользователю разрешения sid S-1-1-0 Delete and Write DAC в файл с именем Test2, введите:
icacls test2 /grant *S-1-1-0:(d,wdac)