icacls
Visar eller ändrar diskretionära åtkomstkontrollistor (DACLs) på angivna filer och tillämpar lagrade DACL:er på filer i angivna kataloger.
Anmärkning
Det här kommandot ersätter det inaktuella kommandot cacls.
Syntax
icacls <filename> [/grant[:r] <sid>:<perm>[...]] [/deny <sid>:<perm>[...]] [/remove[:g|:d]] <sid>[...]] [/t] [/c] [/l] [/q] [/setintegritylevel <Level>:<policy>[...]]
icacls <directory> [/substitute <sidold> <sidnew> [...]] [/restore <aclfile> [/c] [/l] [/q]]
Parameterar
Parameter | Beskrivning |
---|---|
<filnamn> | Anger för vilken fil DACLs ska visas eller ändras. |
<katalog> | Anger den katalog för vilken DACL:er ska visas eller ändras. |
/t | Utför åtgärden på alla angivna filer i den aktuella katalogen och dess underkataloger. |
/c | Fortsätter åtgärden trots eventuella filfel. Felmeddelanden visas fortfarande. |
/l | Utför åtgärden på en symbolisk länk i stället för målet. |
/q | Undertrycker lyckade meddelanden. |
[/spara <ACLfile> [/t] [/c] [/l] [/q]] | Lagrar DACL:er för alla matchande filer i en ACL-fil (access control list) för senare användning med /restore. |
[/setowner <användarnamn> [/t] [/c] [/l] [/q]] | Ändrar ägaren till alla matchande filer till den angivna användaren. |
[/findsid <sid> [/t] [/c] [/l] [/q]] | Hittar alla matchande filer som innehåller en DACL som uttryckligen nämner den angivna säkerhetsidentifieraren (SID). |
[/verify [/t] [/c] [/l] [/q]] | Hittar alla filer med ACL:er som inte är kanoniska eller har längder som är inkonsekventa med ace-antal (access control entry). |
[/reset [/t] [/c] [/l] [/q]] | Ersätter ACL:er med standard ärvda ACL:er för alla matchande filer. |
[/grant[:r] <sid>:<perm>[...]] | Beviljar angivna användaråtkomsträttigheter. Behörigheter ersätter tidigare beviljade explicita behörigheter. Att inte lägga till :rinnebär att behörigheter läggs till i tidigare beviljade explicita behörigheter. |
[/neka <sid>:<perm>[...]] | Nekar uttryckligen angivna användaråtkomsträttigheter. En explicit neka ACE läggs till för de angivna behörigheterna och samma behörigheter i alla explicita bidrag tas bort. |
[/remove[:g | :d]] <sid>[...] [/t] [/c] [/l] [/q] | Tar bort alla förekomster av angivet SID från DACL. Det här kommandot kan också använda:
|
[/setintegritylevel [(CI)(OI)] <Level>:<Policy>[...]] | Lägger uttryckligen till ett integritets-ACE till alla matchande filer. Nivån kan anges som:
|
[/substitut <sidold><sidnew> [...]] | Ersätter ett befintligt SID (sidold) med ett nytt SID (sidnew). Kräver användning med parametern <directory> . |
/restore <ACLfile> [/c] [/l] [/q] | Tillämpar lagrade DACL:er från <ACLfile> på filer i den angivna katalogen. Kräver användning med parametern <directory> . |
/inheritancelevel: [e | d | r] | Anger arvsnivån, vilket kan vara:
|
Anmärkningar
SID:er kan vara i antingen numeriskt eller eget namnformulär. Om du använder ett numeriskt formulär fäster du jokertecknet * i början av SID.
Det här kommandot bevarar den kanoniska ordningen för ACE-poster som:
Explicita förnekanden
Explicita bidrag
Ärvda förnekanden
Ärvda bidrag
Alternativet
<perm>
är en behörighetsmask som kan anges i något av följande formulär:En sekvens med enkla rättigheter (grundläggande behörigheter):
F – Fullständig åtkomst
M– Ändra åtkomst
RX- – Läsa och köra åtkomst
R – Skrivskyddad åtkomst
W – Skrivskyddad åtkomst
En kommaavgränsad lista inom parentes av specifika rättigheter (avancerade behörigheter):
D – Ta bort
RC – Läskontroll (läsbehörigheter)
WDAC- – Skriv DAC (ändringsbehörigheter)
WO – Skriv ägare (ta ägarskap)
S – Synkronisera
AS- – Åtkomstsystemsäkerhet
MA- – Högsta tillåtna
GR – Allmän läsning
GW – Allmän skrivning
GE – Allmän körning
GA- – Allmän alla
RD- – Läsa data/lista-katalog
WD- – Skriva data/lägga till fil
AD – Lägga till data/lägg till underkatalog
REA- – Läsa utökade attribut
WEA- – Skriva utökade attribut
X – Kör/bläddra
DC- – Ta bort underordnad
RA- – läsattribut
WA- – Skrivattribut
Arvsrättigheter kan föregå antingen
<perm>
formulär:(I) – Ärver. ACE ärvs från den överordnade containern.
(OI) – objektet ärver. Objekt i den här containern ärver detta ACE. Gäller endast för kataloger.
(CI) – Container ärver. Containrar i den här överordnade containern ärver detta ACE. Gäller endast för kataloger.
(I/O) – ärver endast. ACE ärvs från den överordnade containern, men gäller inte för själva objektet. Gäller endast för kataloger.
(NP) – Sprid inte ärver. ACE ärvs av containrar och objekt från den överordnade containern, men sprids inte till kapslade containrar. Gäller endast för kataloger.
Exempel
Om du vill spara DACLs för alla filer i C:\Windows-katalogen och dess underkataloger till ACLFile-filen skriver du:
icacls c:\windows\* /save aclfile /t
Om du vill återställa DACLs för varje fil i ACLFile som finns i katalogen C:\Windows och dess underkataloger skriver du:
icacls c:\windows\ /restore aclfile
Om du vill ge användaren User1 Ta bort och skriva DAC-behörigheter till en fil med namnet Test1 skriver du:
icacls test1 /grant User1:(d,wdac)
Om du vill bevilja användaren som definierats av SID S-1-1-0 Ta bort och skriva DAC-behörigheter till en fil med namnet Test2 skriver du:
icacls test2 /grant *S-1-1-0:(d,wdac)