基本介紹
- 中文名:Icacls
- :指定要為其顯示 Dacl 的檔案
- :定要為其顯示 Dacl 的目錄
- /t:指定檔案上的操作
語法,參數,注意,示例,
語法
icacls <FileName> [/grant[:r] <Sid>:<Perm>[...]] [/deny <Sid>:<Perm>[...]] [/remove[:g|:d]] <Sid>[...]] [/t] [/c] [/l] [/q] [/setintegritylevel <Level>:<Policy>[...]]
icacls <Directory> [/substitute <SidOld> <SidNew> [...]] [/restore <ACLfile> [/c] [/l] [/q]]
icacls <Directory> [/substitute <SidOld> <SidNew> [...]] [/restore <ACLfile> [/c] [/l] [/q]]
參數
| 參數 | 說明 | |
|---|---|---|
<FileName> | 指定要為其顯示 Dacl 的檔案。 | |
<Directory> | 指定要為其顯示 Dacl 的目錄。 | |
/t | 執行當前目錄及其子目錄中的所有指定檔案上的操作。 | |
/c | 繼續操作而不考慮檔案的任何錯誤。 仍將顯示錯誤訊息。 | |
/l | 執行上一個符號連結,而不是其目標的操作。 | |
/q | 禁止顯示成功訊息。 | |
[/save <ACLfile>[] /t[] /c[] /l[/q]] | 將 Dacl 所有匹配的檔案存儲到ACLfile 以便稍後使用/restore。 | |
[/ setowner <Username>[] /t[] /c[] /l[/q]] | 改為指定的用戶匹配的所有檔案的所有者。 | |
[/ findSID <Sid>[] /t[] /c[] /l[/q]] | 查找所有匹配的檔案包含 DACL 明確涉及指定的安全標識符 (SID)。 | |
[/verify [/t] [/c] [/l] [/q]] | 查找所有具有不規範或有長度與 ACE (訪問控制條目) 計數不一致的 Acl 的檔案。 | |
[/reset [/t] [/c] [/l] [/q]] | 用默認值替換 Acl 繼承 Acl 的所有匹配的檔案。 | |
[/grant [: r] <Sid>: <Perm> [...]] | 授予指定用戶的訪問許可權。 許可權替換以前的顯式授予的許可權。 不帶: r,添加到以前被顯式許可權授予任何許可權。 | |
[/deny <Sid>: <Perm> [...]] | 顯式拒絕指定的用戶的訪問許可權。 顯式拒絕 ACE 的規定的許可權將被添加,刪除在任何顯式授予的許可權。 | |
[/remove [:g|:d]] <Sid> [...]][] /t[] /c[] /l[] /q | 從 DACL 中移除指定的 SID 的所有匹配項。 : g中刪除指定的 sid 授予的許可權的所有匹配項。 : d中刪除指定的 SID 被拒絕的許可權的所有匹配項。 | |
[/ setintegritylevel [(CI)(OI)] <Level>: <Policy> [...]] | 顯式 ACE 完整性向所有匹配的檔案。level 指定為: L [低] M [中] H [高] 完整性 ACE 的繼承選項可能位於之前級別,並且只套用於目錄。 | |
[/substitute <SidOld><SidNew>[...]] | 現有的 SID (SidOld) 替換為一個新的 SID (SidNew)。 需要direcroty參數。 | |
/restore <ACLfile>[/c][/l][/q] | 將存儲的 Dacl 從ACLfile套用到指定的目錄中的檔案。 需要directory參數。 | |
注意
Sid 可以採用數字格式或友好的名稱格式。如果給定數字格式,那么請在 SID 的開頭添加一個 *。
/T 指示在以該名稱指定的目錄下的所有匹配檔案/目錄上執行此操作。
/C 指示此操作將在所有檔案錯誤上繼續進行。仍將顯示錯誤訊息。
/L 指示此操作在符號連結本身而不是其目標上執行。
/Q 指示 icacls 應該禁止顯示成功訊息。
ICACLS 保留 ACE 項的規範順序:
顯式拒絕
顯式授予
繼承的拒絕
繼承的授予
顯式拒絕
顯式授予
繼承的拒絕
繼承的授予
perm 是許可權掩碼,可以兩種格式之一指定:
簡單許可權序列:
N - 無訪問許可權
F - 完全訪問許可權
M - 修改許可權
RX - 讀取和執行許可權
R - 唯讀許可權
W - 只寫許可權
D - 刪除許可權
在括弧中以逗號分隔的特定許可權列表:
DE - 刪除
RC - 讀取控制
WDAC - 寫入 DAC
WO - 寫入所有者
S - 同步
AS - 訪問系統安全性
MA - 允許的最大值
GR - 一般性讀取
GW - 一般性寫入
GE - 一般性執行
GA - 全為一般性
RD - 讀取數據/列出目錄
WD - 寫入數據/添加檔案
AD - 附加數據/添加子目錄
REA - 讀取擴展屬性
WEA - 寫入擴展屬性
X - 執行/遍歷
DC - 刪除子項
RA - 讀取屬性
WA - 寫入屬性
繼承許可權可以優先於每種格式,但只套用於目錄:
(OI) - 對象繼承
(CI) - 容器繼承
(IO) - 僅繼承
(NP) - 不傳播繼承
(I) - 從父容器繼承的許可權
簡單許可權序列:
N - 無訪問許可權
F - 完全訪問許可權
M - 修改許可權
RX - 讀取和執行許可權
R - 唯讀許可權
W - 只寫許可權
D - 刪除許可權
在括弧中以逗號分隔的特定許可權列表:
DE - 刪除
RC - 讀取控制
WDAC - 寫入 DAC
WO - 寫入所有者
S - 同步
AS - 訪問系統安全性
MA - 允許的最大值
GR - 一般性讀取
GW - 一般性寫入
GE - 一般性執行
GA - 全為一般性
RD - 讀取數據/列出目錄
WD - 寫入數據/添加檔案
AD - 附加數據/添加子目錄
REA - 讀取擴展屬性
WEA - 寫入擴展屬性
X - 執行/遍歷
DC - 刪除子項
RA - 讀取屬性
WA - 寫入屬性
繼承許可權可以優先於每種格式,但只套用於目錄:
(OI) - 對象繼承
(CI) - 容器繼承
(IO) - 僅繼承
(NP) - 不傳播繼承
(I) - 從父容器繼承的許可權
示例
icacls c:\windows\* /save AclFile /T
- 將 c:\windows 及其子目錄下所有檔案的ACL 保存到 AclFile。
- 將 c:\windows 及其子目錄下所有檔案的ACL 保存到 AclFile。
icacls c:\windows\ /restore AclFile
- 將還原 c:\windows 及其子目錄下存在的 AclFile 內所有檔案的 ACL。
- 將還原 c:\windows 及其子目錄下存在的 AclFile 內所有檔案的 ACL。
icacls file /grant Administrator:(D,WDAC)
- 將授予用戶對檔案刪除和寫入 DAC 的管理員許可權。
- 將授予用戶對檔案刪除和寫入 DAC 的管理員許可權。
icacls file /grant *S-1-1-0:(D,WDAC)
- 將授予由 sid S-1-1-0 定義的用戶對檔案刪除和寫入 DAC 的許可權。
- 將授予由 sid S-1-1-0 定義的用戶對檔案刪除和寫入 DAC 的許可權。
