icaclsicacls

Zeigt oder ändert DACLs (Discretionary Access Control Lists) für bestimmte Dateien an, und wendet gespeicherte DACLs auf Dateien in angegebenen Verzeichnissen an.Displays or modifies discretionary access control lists (DACLs) on specified files, and applies stored DACLs to files in specified directories.

Hinweis

Dieser Befehl ersetzt den veralteten cacls-Befehl.This command replaces the deprecated cacls command.

SyntaxSyntax

icacls <filename> [/grant[:r] <sid>:<perm>[...]] [/deny <sid>:<perm>[...]] [/remove[:g|:d]] <sid>[...]] [/t] [/c] [/l] [/q] [/setintegritylevel <Level>:<policy>[...]]
icacls <directory> [/substitute <sidold> <sidnew> [...]] [/restore <aclfile> [/c] [/l] [/q]]

ParameterParameters

ParameterParameter BESCHREIBUNGDescription
<filename> Gibt die Datei an, für die DACLs angezeigt werden sollen.Specifies the file for which to display DACLs.
<directory> Gibt das Verzeichnis an, für das DACLs angezeigt werden sollen.Specifies the directory for which to display DACLs.
/t/t Führt den Vorgang für alle angegebenen Dateien im aktuellen Verzeichnis und seinen Unterverzeichnissen aus.Performs the operation on all specified files in the current directory and its subdirectories.
/C/c Der Vorgang wird trotz aller Datei Fehler fortgesetzt.Continues the operation despite any file errors. Fehlermeldungen werden weiterhin angezeigt.Error messages will still be displayed.
/l/l Führt den Vorgang für einen symbolischen Link anstelle seines Ziels aus.Performs the operation on a symbolic link instead of its destination.
/q/q Unterdrückt Erfolgsmeldungen.Suppresses success messages.
[/Save <ACLfile> /t /c /l [/q]][/save <ACLfile> [/t] [/c] [/l] [/q]] Speichert DACLs für alle übereinstimmenden Dateien in aclfile für die spätere Verwendung mit /Restore.Stores DACLs for all matching files into ACLfile for later use with /restore.
[/SetOwner <username> /t /c /l [/q]][/setowner <username> [/t] [/c] [/l] [/q]] Ändert den Besitzer aller übereinstimmenden Dateien für den angegebenen Benutzer.Changes the owner of all matching files to the specified user.
[/findsid <sid> /t /c /l [/q]][/findsid <sid> [/t] [/c] [/l] [/q]] Sucht alle übereinstimmenden Dateien, die eine DACL enthalten, die explizit die angegebene Sicherheits-ID (SID) erwähnt.Finds all matching files that contain a DACL explicitly mentioning the specified security identifier (SID).
[/verify [/t] [/c] [/l] [/q]][/verify [/t] [/c] [/l] [/q]] Findet alle Dateien mit ACLs, die nicht kanonisch sind oder Längen inkonsistent mit ACE (Access Control Entry)-Anzahlen aufweisen.Finds all files with ACLs that are not canonical or have lengths inconsistent with ACE (access control entry) counts.
[/Reset [/t] [/c] [/l] [/q]][/reset [/t] [/c] [/l] [/q]] Ersetzt ACLs durch geerbte Standard-ACLs für alle übereinstimmenden Dateien.Replaces ACLs with default inherited ACLs for all matching files.
[/Grant [: r] <sid> : [...]][/grant[:r] <sid>:[...]] Erteilt angegebene Benutzer Zugriffsrechte.Grants specified user access rights. Berechtigungen ersetzen zuvor erteilte explizite Berechtigungen.Permissions replace previously granted explicit permissions.

Wird nicht hinzu gefügt, bedeutet dies, dassBerechtigungen allen zuvor erteilten expliziten Berechtigungen hinzugefügt werden.Not adding the :r, means that permissions are added to any previously granted explicit permissions.

[/deny <sid> : [...]][/deny <sid>:[...]] Verweigert explizit angegebene Benutzer Zugriffsrechte.Explicitly denies specified user access rights. Für die angegebenen Berechtigungen wird ein expliziter Verweigerungs-ACE hinzugefügt, und die gleichen Berechtigungen in expliziten Berechtigungen werden entfernt.An explicit deny ACE is added for the stated permissions and the same permissions in any explicit grant are removed.
[/Remove [:g | :d]] <sid> [...] /t /c /l /q[/remove[:g | :d]] <sid>[...] [/t] [/c] [/l] [/q] Entfernt alle Vorkommen der angegebenen SID aus der DACL.Removes all occurrences of the specified SID from the DACL. Dieser Befehl kann auch Folgendes verwenden:This command can also use:
  • : g -entfernt alle Vorkommen der gewährten Rechte für die angegebene SID.:g - Removes all occurrences of granted rights to the specified SID.
  • :d : entfernt alle Vorkommen abgelehnter Rechte für die angegebene SID.:d - Removes all occurrences of denied rights to the specified SID.
[/setintegritylevel [(CI) (OI)] <Level>:<Policy> [...]][/setintegritylevel [(CI)(OI)] <Level>:<Policy>[...]] Fügt allen übereinstimmenden Dateien explizit einen Integritäts-ACE hinzu.Explicitly adds an integrity ACE to all matching files. Die Ebene kann wie folgt angegeben werden:The level can be specified as:
  • l -niedrigl - Low
  • m-Mittelm- Medium
  • h -hochh - High
Vererbungs Optionen für den Integritäts-ACE können der Ebene vorangestellt werden und werden nur auf Verzeichnisse angewendet.Inheritance options for the integrity ACE may precede the level and are applied only to directories.
[/Substitute <sidold> <sidnew> [...]][/substitute <sidold> <sidnew> [...]] Ersetzt eine vorhandene sid (sidold) durch eine neue sid (sidnew).Replaces an existing SID (sidold) with a new SID (sidnew). Erfordert die Verwendung von mit dem- <directory> Parameter.Requires using with the <directory> parameter.
/Restore <ACLfile> [/c] [/l] [/q]/restore <ACLfile> [/c] [/l] [/q] Wendet gespeicherte DACLs von <ACLfile> auf Dateien im angegebenen Verzeichnis an.Applies stored DACLs from <ACLfile> to files in the specified directory. Erfordert die Verwendung von mit dem- <directory> Parameter.Requires using with the <directory> parameter.
/inheritancelevel:[e | d | r]/inheritancelevel:[e | d | r] Legt die Vererbungs Ebene fest. Dies kann wie folgt lauten:Sets the inheritance level, which can be:
  • e -aktiviert Vererbunge - Enables inheritance
  • d : Deaktivieren der Vererbung und Kopieren der ACEsd - Disables inheritance and copies the ACEs
  • r -entfernt alle geerbten ACEsr - Removes all inherited ACEs

HinweiseRemarks

  • SIDs können entweder in Form eines numerischen oder eines anzeigen Amens vorliegen.SIDs may be in either numerical or friendly name form. Wenn Sie ein numerisches Format verwenden, können Sie das Platzhalter Zeichen * an den Anfang der SID anbinden.If you use a numerical form, affix the wildcard character * to the beginning of the SID.

  • Dieser Befehl behält die kanonische Reihenfolge der ACE-Einträge wie folgt bei:This command preserves the canonical order of ACE entries as:

    • Explizite VerweigerungenExplicit denials

    • Explizite ZuweisungenExplicit grants

    • Geerbte VerweigerungenInherited denials

    • Geerbte ZuweisungenInherited grants

  • <perm>Bei der Option handelt es sich um eine Berechtigungs Maske, die in einer der folgenden Formen angegeben werden kann:The <perm> option is a permission mask that can be specified in one of the following forms:

    • Eine Sequenz von einfachen rechten:A sequence of simple rights:

      • F -VollzugriffF - Full access

      • M-Zugriff ändernM- Modify access

      • RX -Lese-und Ausführungs ZugriffRX - Read and execute access

      • R -Schreib geschützter ZugriffR - Read-only access

      • W -Schreib geschützter ZugriffW - Write-only access

    • Eine durch Trennzeichen getrennte Liste in Klammern spezifischer Rechte:A comma-separated list in parenthesis of specific rights:

      • D -löschenD - Delete

      • RC -Steuerelement lesenRC - Read control

      • WDac -Schreiben von DACWDAC - Write DAC

      • - /SchreibbesitzerWO - Write owner

      • S -synchronisierenS - Synchronize

      • Systemsicherheit als ZugriffAS - Access system security

      • MA -maximal zulässigMA - Maximum allowed

      • Gr -generischer LesevorgangGR - Generic read

      • GW -generischer SchreibvorgangGW - Generic write

      • Ge -generische AusführungGE - Generic execute

      • GA Allgemeine allgemeine VerfügbarkeitGA - Generic all

      • RD -Lesedaten/Listen VerzeichnisRD - Read data/list directory

      • WD -Daten schreiben/Datei hinzufügenWD - Write data/add file

      • AD -Daten anfügen/Unterverzeichnis hinzufügenAD - Append data/add subdirectory

      • REA -Erweiterte Attribute lesenREA - Read extended attributes

      • WEA : Erweiterte Attribute schreibenWEA - Write extended attributes

      • X -Execute/TraversierenX - Execute/traverse

      • DC -untergeordnetes Element löschenDC - Delete child

      • RA -Attribute lesenRA - Read attributes

      • WA -Attribute schreibenWA - Write attributes

    • Vererbungs Rechte können einer der beiden <perm> Formulare vorangestellt werden, und Sie werden nur auf Verzeichnisse angewendet:Inheritance rights may precede either <perm> form, and they are applied only to directories:

      • (OI) -Objekt erben(OI) - Object inherit

      • (CI) -Container erben(CI) - Container inherit

      • (IO) -nur Erben(IO) - Inherit only

      • (NP) -nicht erben propagieren(NP) - Do not propagate inherit

BeispieleExamples

Wenn Sie die DACLs für alle Dateien im Verzeichnis "c:\Windows" und deren Unterverzeichnisse in der aclfile-Datei speichern möchten, geben Sie Folgendes ein:To save the DACLs for all files in the C:\Windows directory and its subdirectories to the ACLFile file, type:

icacls c:\windows\* /save aclfile /t

Geben Sie Folgendes ein, um die DACLs für jede Datei in aclfile wiederherzustellen, die im Verzeichnis "c:\Windows" und in den zugehörigen Unterverzeichnissen vorhanden ist:To restore the DACLs for every file within ACLFile that exists in the C:\Windows directory and its subdirectories, type:

icacls c:\windows\ /restore aclfile

Geben Sie Folgendes ein, um dem Benutzer user1 Berechtigungen zum Löschen und Schreiben von DAC für eine Datei namens Test1 zu erteilen:To grant the user User1 Delete and Write DAC permissions to a file named Test1, type:

icacls test1 /grant User1:(d,wdac)

Geben Sie Folgendes ein, um dem Benutzer, der durch sid S-1-1-0 definiert ist, DAC-Berechtigungen für eine Datei mit dem Namen test2 zu erteilen:To grant the user defined by SID S-1-1-0 Delete and Write DAC permissions to a file, named Test2, type:

icacls test2 /grant *S-1-1-0:(d,wdac)

Weitere VerweiseAdditional References