icacls

  • 3 Minuten Lesedauer
Parameter BESCHREIBUNG
<filename> Gibt die Datei an, für die DACLs angezeigt werden.
<Verzeichnis> Gibt das Verzeichnis an, für das DACLs angezeigt werden.
/t Führt den Vorgang für alle angegebenen Dateien im aktuellen Verzeichnis und seinen Unterverzeichnissen aus.
/c Setzt den Vorgang trotz Dateifehlern fort. Fehlermeldungen werden weiterhin angezeigt.
/l Führt den Vorgang für eine symbolische Verknüpfung anstelle des Ziels aus.
/q Unterdrückt Erfolgsmeldungen.
[/save < ACLfile > [/t] [/c] [/l] [/q]] Speichert DACLs für alle übereinstimmenden Dateien zur späteren Verwendung mit /restorein aclfile.
[/se username <> [/t] [/c] [/l] [/q]] Ändert den Besitzer aller übereinstimmenden Dateien in den angegebenen Benutzer.
[/findsid < sid > [/t] [/c] [/l] [/q]] Sucht alle übereinstimmenden Dateien, die eine DACL enthalten, die explizit die angegebene Sicherheits-ID (SID) erwähnt.
[/verify [/t] [/c] [/l] [/q]] Sucht alle Dateien mit ACLs, die nicht kanonisch sind oder längenkonsistent mit der ACE-Anzahl (Access Control Entry) sind.
[/reset [/t] [/c] [/l] [/q]] Ersetzt ACLs durch geerbte Standard-ACLs für alle übereinstimmenden Dateien.
[/grant[:r] < sid > : < perm > [...]] Gewährt angegebene Benutzerzugriffsrechte. Berechtigungen ersetzen explizite Berechtigungen, die zuvor gewährt wurden.

Wenn Sie nicht :r hinzufügen,bedeutet dies, dass Berechtigungen allen zuvor erteilten expliziten Berechtigungen hinzugefügt werden.
[/deny < sid > : < perm > [...]] Verweigert explizit angegebene Benutzerzugriffsrechte. Ein expliziter ACE zum Verweigern wird für die angegebenen Berechtigungen hinzugefügt, und die gleichen Berechtigungen in jeder expliziten Gewährung werden entfernt.
[/remove[:g | :d]] < sid > [...] [/t] [/c] [/l] [/q] Entfernt alle Vorkommen der angegebenen SID aus der DACL. Dieser Befehl kann auch Folgenden verwenden:
  • :g : Entfernt alle Vorkommen gewährter Rechte für die angegebene SID.
  • :d: Entfernt alle Vorkommen verweigerter Rechte für die angegebene SID.
[/setintegritylevel [(CI)(OI)] < Ebene: >< Richtlinie > [...]] Fügt allen übereinstimmenden Dateien explizit einen Integritäts-ACE hinzu. Die Ebene kann wie die folgenden angegeben werden:
  • l – Niedrig
  • m– Mittel
  • h – Hoch
Vererbungsoptionen für den Integritäts-ACE können vor der Ebene stehen und werden nur auf Verzeichnisse angewendet.
[/substitute < sidold >< sidnew > [...]] Ersetzt eine vorhandene SID (sidold) durch eine neue SID (sidnew). Erfordert die Verwendung von mit dem <directory> -Parameter.
/restore < ACLfile > [/c] [/l] [/q] Wendet gespeicherte DACLs von <ACLfile> auf Dateien im angegebenen Verzeichnis an. Erfordert die Verwendung von mit dem <directory> -Parameter.
/inheritancelevel: [e | d | r] Legt die Vererbungsebene fest, die wie die folgenden sein kann:
  • e : Aktiviert vererbung
  • d : Deaktiviert die Vererbung und kopiert die ACEs.
  • r: Entfernt alle geerbten ACEs.

Bemerkungen

  • SIDs können entweder in numerischer oder benutzerfreundlicher Namensform sein. Wenn Sie ein numerisches Formular verwenden, bringen Sie das Platzhalterzeichen * am Anfang der SID an.

  • Dieser Befehl behält die kanonische Reihenfolge von ACE-Einträgen wie die folgenden bei:

    • Explizite Denials

    • Explizite Genehmigungen

    • Geerbte Denials

    • Geerbte Berechtigungen

  • Die <perm> Option ist eine Berechtigungsmaske, die in einer der folgenden Formen angegeben werden kann:

    • Eine Abfolge einfacher Rechte:

      • F – Vollzugriff

      • M– Ändern des Zugriffs

      • RX– Lese- und Ausführungszugriff

      • R – Schreibgeschützter Zugriff

      • W – Schreibzugriff

    • Eine durch Komma getrennte Liste in Klammern bestimmter Rechte:

      • D – Löschen

      • RC – Steuerelement "Lesen"

      • WDAC – Schreiben einer DAC

      • WO – Schreibbesitzer

      • S – Synchronisieren

      • AS: Zugriff auf die Systemsicherheit

      • MA – Maximal zulässig

      • GR – Generischer Lesebegriff

      • GW – Generischer Schreibzugriff

      • GE – Generische Ausführung

      • Allgemein allgemein – Alle generisch

      • RD: Lesen des Daten-/Listenverzeichnisses

      • WD – Schreiben von Daten/Hinzufügen einer Datei

      • AD– Anfügen von Daten/Hinzufügen eines Unterverzeichnisses

      • REA – Lesen erweiterter Attribute

      • WEA – Schreiben erweiterter Attribute

      • X – Ausführen/Durchlaufen

      • DC – Untergeordnetes Löschen

      • RA – Lesen von Attributen

      • WA: Schreiben von Attributen

    • Vererbungsrechte können vor beiden <perm> Formularen stehen und werden nur auf Verzeichnisse angewendet:

      • (OI) – Objekt erben

      • (CI) – Containervererbung

      • (E/A): Nur erben

      • (NP) – Erben nicht weitervererben

Beispiele

Geben Sie Zum Speichern der DACLs für alle Dateien im Verzeichnis C:\Windows und den unteren Verzeichnissen in der Datei ACLFile Ein:

icacls c:\windows\* /save aclfile /t

Geben Sie Zum Wiederherstellen der DACLs für jede Datei in ACLFile, die im Verzeichnis "C:\Windows" und seinen Unterverzeichnissen vorhanden ist, Ein:

icacls c:\windows\ /restore aclfile

Um dem Benutzer User1 DAC-Berechtigungen zum Löschen und Schreiben für eine Datei mit dem Namen Test1 zu gewähren, geben Sie:

icacls test1 /grant User1:(d,wdac)

Um dem durch sid S-1-1-0 definierten Benutzer DAC-Berechtigungen zum Löschen und Schreiben für eine Datei mit dem Namen Test2 zu gewähren, geben Sie:

icacls test2 /grant *S-1-1-0:(d,wdac)

Weitere Verweise

Zeigt oder ändert DACLs (Discretionary Access Control Lists) für bestimmte Dateien an, und wendet gespeicherte DACLs auf Dateien in angegebenen Verzeichnissen an.

Hinweis

Dieser Befehl ersetzt den veralteten Befehl "ls".

Syntax

icacls <filename> [/grant[:r] <sid>:<perm>[...]] [/deny <sid>:<perm>[...]] [/remove[:g|:d]] <sid>[...]] [/t] [/c] [/l] [/q] [/setintegritylevel <Level>:<policy>[...]]
icacls <directory> [/substitute <sidold> <sidnew> [...]] [/restore <aclfile> [/c] [/l] [/q]]

Parameter