Dela via


icacls

Visar eller ändrar diskretionära åtkomstkontrollistor (DACLs) på angivna filer och tillämpar lagrade DACL:er på filer i angivna kataloger.

Anmärkning

Det här kommandot ersätter det inaktuella kommandot cacls.

Syntax

icacls <filename> [/grant[:r] <sid>:<perm>[...]] [/deny <sid>:<perm>[...]] [/remove[:g|:d]] <sid>[...]] [/t] [/c] [/l] [/q] [/setintegritylevel <Level>:<policy>[...]]
icacls <directory> [/substitute <sidold> <sidnew> [...]] [/restore <aclfile> [/c] [/l] [/q]]

Parameterar

Parameter Beskrivning
<filnamn> Anger för vilken fil DACLs ska visas eller ändras.
<katalog> Anger den katalog för vilken DACL:er ska visas eller ändras.
/t Utför åtgärden på alla angivna filer i den aktuella katalogen och dess underkataloger.
/c Fortsätter åtgärden trots eventuella filfel. Felmeddelanden visas fortfarande.
/l Utför åtgärden på en symbolisk länk i stället för målet.
/q Undertrycker lyckade meddelanden.
[/spara <ACLfile> [/t] [/c] [/l] [/q]] Lagrar DACL:er för alla matchande filer i en ACL-fil (access control list) för senare användning med /restore.
[/setowner <användarnamn> [/t] [/c] [/l] [/q]] Ändrar ägaren till alla matchande filer till den angivna användaren.
[/findsid <sid> [/t] [/c] [/l] [/q]] Hittar alla matchande filer som innehåller en DACL som uttryckligen nämner den angivna säkerhetsidentifieraren (SID).
[/verify [/t] [/c] [/l] [/q]] Hittar alla filer med ACL:er som inte är kanoniska eller har längder som är inkonsekventa med ace-antal (access control entry).
[/reset [/t] [/c] [/l] [/q]] Ersätter ACL:er med standard ärvda ACL:er för alla matchande filer.
[/grant[:r] <sid>:<perm>[...]] Beviljar angivna användaråtkomsträttigheter. Behörigheter ersätter tidigare beviljade explicita behörigheter.

Att inte lägga till :rinnebär att behörigheter läggs till i tidigare beviljade explicita behörigheter.

[/neka <sid>:<perm>[...]] Nekar uttryckligen angivna användaråtkomsträttigheter. En explicit neka ACE läggs till för de angivna behörigheterna och samma behörigheter i alla explicita bidrag tas bort.
[/remove[:g | :d]] <sid>[...] [/t] [/c] [/l] [/q] Tar bort alla förekomster av angivet SID från DACL. Det här kommandot kan också använda:
  • :g – Tar bort alla förekomster av beviljade rättigheter till angivet SID.
  • :d – Tar bort alla förekomster av nekade rättigheter till angivet SID.
[/setintegritylevel [(CI)(OI)] <Level>:<Policy>[...]] Lägger uttryckligen till ett integritets-ACE till alla matchande filer. Nivån kan anges som:
  • l - Låg
  • m– medel
  • h - Hög
Arvsalternativ för integriteten ACE kan föregå nivån och tillämpas endast på kataloger.
[/substitut <sidold><sidnew> [...]] Ersätter ett befintligt SID (sidold) med ett nytt SID (sidnew). Kräver användning med parametern <directory>.
/restore <ACLfile> [/c] [/l] [/q] Tillämpar lagrade DACL:er från <ACLfile> på filer i den angivna katalogen. Kräver användning med parametern <directory>.
/inheritancelevel: [e | d | r] Anger arvsnivån, vilket kan vara:
  • e – Aktiverar arv
  • d – Inaktiverar arv och kopierar ACL:er
  • r – Inaktiverar arv och tar endast bort ärvda ACL:er

Anmärkningar

  • SID:er kan vara i antingen numeriskt eller eget namnformulär. Om du använder ett numeriskt formulär fäster du jokertecknet * i början av SID.

  • Det här kommandot bevarar den kanoniska ordningen för ACE-poster som:

    • Explicita förnekanden

    • Explicita bidrag

    • Ärvda förnekanden

    • Ärvda bidrag

  • Alternativet <perm> är en behörighetsmask som kan anges i något av följande formulär:

    • En sekvens med enkla rättigheter (grundläggande behörigheter):

      • F – Fullständig åtkomst

      • M– Ändra åtkomst

      • RX- – Läsa och köra åtkomst

      • R – Skrivskyddad åtkomst

      • W – Skrivskyddad åtkomst

    • En kommaavgränsad lista inom parentes av specifika rättigheter (avancerade behörigheter):

      • D – Ta bort

      • RC – Läskontroll (läsbehörigheter)

      • WDAC- – Skriv DAC (ändringsbehörigheter)

      • WO – Skriv ägare (ta ägarskap)

      • S – Synkronisera

      • AS- – Åtkomstsystemsäkerhet

      • MA- – Högsta tillåtna

      • GR – Allmän läsning

      • GW – Allmän skrivning

      • GE – Allmän körning

      • GA- – Allmän alla

      • RD- – Läsa data/lista-katalog

      • WD- – Skriva data/lägga till fil

      • AD – Lägga till data/lägg till underkatalog

      • REA- – Läsa utökade attribut

      • WEA- – Skriva utökade attribut

      • X – Kör/bläddra

      • DC- – Ta bort underordnad

      • RA- – läsattribut

      • WA- – Skrivattribut

    • Arvsrättigheter kan föregå antingen <perm> formulär:

      • (I) – Ärver. ACE ärvs från den överordnade containern.

      • (OI) – objektet ärver. Objekt i den här containern ärver detta ACE. Gäller endast för kataloger.

      • (CI) – Container ärver. Containrar i den här överordnade containern ärver detta ACE. Gäller endast för kataloger.

      • (I/O) – ärver endast. ACE ärvs från den överordnade containern, men gäller inte för själva objektet. Gäller endast för kataloger.

      • (NP) – Sprid inte ärver. ACE ärvs av containrar och objekt från den överordnade containern, men sprids inte till kapslade containrar. Gäller endast för kataloger.

Exempel

Om du vill spara DACLs för alla filer i C:\Windows-katalogen och dess underkataloger till ACLFile-filen skriver du:

icacls c:\windows\* /save aclfile /t

Om du vill återställa DACLs för varje fil i ACLFile som finns i katalogen C:\Windows och dess underkataloger skriver du:

icacls c:\windows\ /restore aclfile

Om du vill ge användaren User1 Ta bort och skriva DAC-behörigheter till en fil med namnet Test1 skriver du:

icacls test1 /grant User1:(d,wdac)

Om du vill bevilja användaren som definierats av SID S-1-1-0 Ta bort och skriva DAC-behörigheter till en fil med namnet Test2 skriver du:

icacls test2 /grant *S-1-1-0:(d,wdac)