icaclsicacls
Zeigt oder ändert DACLs (Discretionary Access Control Lists) für bestimmte Dateien an, und wendet gespeicherte DACLs auf Dateien in angegebenen Verzeichnissen an.Displays or modifies discretionary access control lists (DACLs) on specified files, and applies stored DACLs to files in specified directories.
Hinweis
Dieser Befehl ersetzt den veralteten cacls-Befehl.This command replaces the deprecated cacls command.
SyntaxSyntax
icacls <filename> [/grant[:r] <sid>:<perm>[...]] [/deny <sid>:<perm>[...]] [/remove[:g|:d]] <sid>[...]] [/t] [/c] [/l] [/q] [/setintegritylevel <Level>:<policy>[...]]
icacls <directory> [/substitute <sidold> <sidnew> [...]] [/restore <aclfile> [/c] [/l] [/q]]
ParameterParameters
ParameterParameter | BESCHREIBUNGDescription |
---|---|
<filename> |
Gibt die Datei an, für die DACLs angezeigt werden sollen.Specifies the file for which to display DACLs. |
<directory> |
Gibt das Verzeichnis an, für das DACLs angezeigt werden sollen.Specifies the directory for which to display DACLs. |
/t/t | Führt den Vorgang für alle angegebenen Dateien im aktuellen Verzeichnis und seinen Unterverzeichnissen aus.Performs the operation on all specified files in the current directory and its subdirectories. |
/C/c | Der Vorgang wird trotz aller Datei Fehler fortgesetzt.Continues the operation despite any file errors. Fehlermeldungen werden weiterhin angezeigt.Error messages will still be displayed. |
/l/l | Führt den Vorgang für einen symbolischen Link anstelle seines Ziels aus.Performs the operation on a symbolic link instead of its destination. |
/q/q | Unterdrückt Erfolgsmeldungen.Suppresses success messages. |
[/Save <ACLfile> /t /c /l [/q]][/save <ACLfile> [/t] [/c] [/l] [/q]] |
Speichert DACLs für alle übereinstimmenden Dateien in aclfile für die spätere Verwendung mit /Restore.Stores DACLs for all matching files into ACLfile for later use with /restore. |
[/SetOwner <username> /t /c /l [/q]][/setowner <username> [/t] [/c] [/l] [/q]] |
Ändert den Besitzer aller übereinstimmenden Dateien für den angegebenen Benutzer.Changes the owner of all matching files to the specified user. |
[/findsid <sid> /t /c /l [/q]][/findsid <sid> [/t] [/c] [/l] [/q]] |
Sucht alle übereinstimmenden Dateien, die eine DACL enthalten, die explizit die angegebene Sicherheits-ID (SID) erwähnt.Finds all matching files that contain a DACL explicitly mentioning the specified security identifier (SID). |
[/verify [/t] [/c] [/l] [/q]][/verify [/t] [/c] [/l] [/q]] | Findet alle Dateien mit ACLs, die nicht kanonisch sind oder Längen inkonsistent mit ACE (Access Control Entry)-Anzahlen aufweisen.Finds all files with ACLs that are not canonical or have lengths inconsistent with ACE (access control entry) counts. |
[/Reset [/t] [/c] [/l] [/q]][/reset [/t] [/c] [/l] [/q]] | Ersetzt ACLs durch geerbte Standard-ACLs für alle übereinstimmenden Dateien.Replaces ACLs with default inherited ACLs for all matching files. |
[/Grant [: r] <sid> : |
Erteilt angegebene Benutzer Zugriffsrechte.Grants specified user access rights. Berechtigungen ersetzen zuvor erteilte explizite Berechtigungen.Permissions replace previously granted explicit permissions. Wird nicht hinzu gefügt, bedeutet dies, dassBerechtigungen allen zuvor erteilten expliziten Berechtigungen hinzugefügt werden.Not adding the :r, means that permissions are added to any previously granted explicit permissions. |
[/deny <sid> : |
Verweigert explizit angegebene Benutzer Zugriffsrechte.Explicitly denies specified user access rights. Für die angegebenen Berechtigungen wird ein expliziter Verweigerungs-ACE hinzugefügt, und die gleichen Berechtigungen in expliziten Berechtigungen werden entfernt.An explicit deny ACE is added for the stated permissions and the same permissions in any explicit grant are removed. |
[/Remove [:g | :d]] <sid> [...] /t /c /l /q[/remove[:g | :d]] <sid> [...] [/t] [/c] [/l] [/q] |
Entfernt alle Vorkommen der angegebenen SID aus der DACL.Removes all occurrences of the specified SID from the DACL. Dieser Befehl kann auch Folgendes verwenden:This command can also use:
|
[/setintegritylevel [(CI) (OI)] <Level>:<Policy> [...]][/setintegritylevel [(CI)(OI)] <Level>:<Policy> [...]] |
Fügt allen übereinstimmenden Dateien explizit einen Integritäts-ACE hinzu.Explicitly adds an integrity ACE to all matching files. Die Ebene kann wie folgt angegeben werden:The level can be specified as:
|
[/Substitute <sidold> <sidnew> [...]][/substitute <sidold> <sidnew> [...]] |
Ersetzt eine vorhandene sid (sidold) durch eine neue sid (sidnew).Replaces an existing SID (sidold) with a new SID (sidnew). Erfordert die Verwendung von mit dem- <directory> Parameter.Requires using with the <directory> parameter. |
/Restore <ACLfile> [/c] [/l] [/q]/restore <ACLfile> [/c] [/l] [/q] |
Wendet gespeicherte DACLs von <ACLfile> auf Dateien im angegebenen Verzeichnis an.Applies stored DACLs from <ACLfile> to files in the specified directory. Erfordert die Verwendung von mit dem- <directory> Parameter.Requires using with the <directory> parameter. |
/inheritancelevel:[e | d | r] /inheritancelevel:[e | d | r] |
Legt die Vererbungs Ebene fest. Dies kann wie folgt lauten:Sets the inheritance level, which can be:
|
HinweiseRemarks
SIDs können entweder in Form eines numerischen oder eines anzeigen Amens vorliegen.SIDs may be in either numerical or friendly name form. Wenn Sie ein numerisches Format verwenden, können Sie das Platzhalter Zeichen * an den Anfang der SID anbinden.If you use a numerical form, affix the wildcard character * to the beginning of the SID.
Dieser Befehl behält die kanonische Reihenfolge der ACE-Einträge wie folgt bei:This command preserves the canonical order of ACE entries as:
Explizite VerweigerungenExplicit denials
Explizite ZuweisungenExplicit grants
Geerbte VerweigerungenInherited denials
Geerbte ZuweisungenInherited grants
<perm>
Bei der Option handelt es sich um eine Berechtigungs Maske, die in einer der folgenden Formen angegeben werden kann:The<perm>
option is a permission mask that can be specified in one of the following forms:Eine Sequenz von einfachen rechten:A sequence of simple rights:
F -VollzugriffF - Full access
M-Zugriff ändernM- Modify access
RX -Lese-und Ausführungs ZugriffRX - Read and execute access
R -Schreib geschützter ZugriffR - Read-only access
W -Schreib geschützter ZugriffW - Write-only access
Eine durch Trennzeichen getrennte Liste in Klammern spezifischer Rechte:A comma-separated list in parenthesis of specific rights:
D -löschenD - Delete
RC -Steuerelement lesenRC - Read control
WDac -Schreiben von DACWDAC - Write DAC
- /SchreibbesitzerWO - Write owner
S -synchronisierenS - Synchronize
Systemsicherheit als ZugriffAS - Access system security
MA -maximal zulässigMA - Maximum allowed
Gr -generischer LesevorgangGR - Generic read
GW -generischer SchreibvorgangGW - Generic write
Ge -generische AusführungGE - Generic execute
GA Allgemeine allgemeine VerfügbarkeitGA - Generic all
RD -Lesedaten/Listen VerzeichnisRD - Read data/list directory
WD -Daten schreiben/Datei hinzufügenWD - Write data/add file
AD -Daten anfügen/Unterverzeichnis hinzufügenAD - Append data/add subdirectory
REA -Erweiterte Attribute lesenREA - Read extended attributes
WEA : Erweiterte Attribute schreibenWEA - Write extended attributes
X -Execute/TraversierenX - Execute/traverse
DC -untergeordnetes Element löschenDC - Delete child
RA -Attribute lesenRA - Read attributes
WA -Attribute schreibenWA - Write attributes
Vererbungs Rechte können einer der beiden
<perm>
Formulare vorangestellt werden, und Sie werden nur auf Verzeichnisse angewendet:Inheritance rights may precede either<perm>
form, and they are applied only to directories:(OI) -Objekt erben(OI) - Object inherit
(CI) -Container erben(CI) - Container inherit
(IO) -nur Erben(IO) - Inherit only
(NP) -nicht erben propagieren(NP) - Do not propagate inherit
BeispieleExamples
Wenn Sie die DACLs für alle Dateien im Verzeichnis "c:\Windows" und deren Unterverzeichnisse in der aclfile-Datei speichern möchten, geben Sie Folgendes ein:To save the DACLs for all files in the C:\Windows directory and its subdirectories to the ACLFile file, type:
icacls c:\windows\* /save aclfile /t
Geben Sie Folgendes ein, um die DACLs für jede Datei in aclfile wiederherzustellen, die im Verzeichnis "c:\Windows" und in den zugehörigen Unterverzeichnissen vorhanden ist:To restore the DACLs for every file within ACLFile that exists in the C:\Windows directory and its subdirectories, type:
icacls c:\windows\ /restore aclfile
Geben Sie Folgendes ein, um dem Benutzer user1 Berechtigungen zum Löschen und Schreiben von DAC für eine Datei namens Test1 zu erteilen:To grant the user User1 Delete and Write DAC permissions to a file named Test1, type:
icacls test1 /grant User1:(d,wdac)
Geben Sie Folgendes ein, um dem Benutzer, der durch sid S-1-1-0 definiert ist, DAC-Berechtigungen für eine Datei mit dem Namen test2 zu erteilen:To grant the user defined by SID S-1-1-0 Delete and Write DAC permissions to a file, named Test2, type:
icacls test2 /grant *S-1-1-0:(d,wdac)