icacls
Muestra o modifica las listas de control de acceso discrecional (DACL) en los archivos especificados y aplica las DACL almacenadas a los archivos de los directorios especificados.
Nota:
Este comando reemplaza el comando cacls en desuso.
Sintaxis
icacls <filename> [/grant[:r] <sid>:<perm>[...]] [/deny <sid>:<perm>[...]] [/remove[:g|:d]] <sid>[...]] [/t] [/c] [/l] [/q] [/setintegritylevel <Level>:<policy>[...]]
icacls <directory> [/substitute <sidold> <sidnew> [...]] [/restore <aclfile> [/c] [/l] [/q]]
Parámetros
| Parámetro | Descripción |
|---|---|
| <filename> | Especifica el archivo para el que se van a mostrar o modificar las DACL. |
| <directorio> | Especifica el directorio para el que se van a mostrar o modificar las DACL. |
| /t | Realiza la operación en todos los archivos especificados del directorio actual y sus subdirectorios. |
| /C | Continúa la operación a pesar de los errores de archivo. Los mensajes de error se seguirán mostrando. |
| /l | Realiza la operación en un vínculo simbólico en lugar de en su destino. |
| /q | Elimina los mensajes de éxito. |
| [/save <ACLfile> [/t] [/c] [/l] [/q]] | Almacena las DACL para todos los archivos coincidentes en un archivo de lista de control de acceso (ACL) para su uso posterior con /restore. |
| [/setowner <username> [/t] [/c] [/l] [/q]] | Cambia el propietario de todos los archivos coincidentes al usuario especificado. |
| [/findsid <sid> [/t] [/c] [/l] [/q]] | Busca todos los archivos coincidentes que contienen una DACL que mencione explícitamente el identificador de seguridad (SID) especificado. |
| [/verify [/t] [/c] [/l] [/q]] | Busca todos los archivos con ACL que no son canónicos o tienen longitudes incoherentes con recuentos de entrada de control de acceso (ACE). |
| [/reset [/t] [/c] [/l] [/q]] | Reemplaza las ACL por las ACL heredadas predeterminadas para todos los archivos coincidentes. |
| [/grant[:r] <sid>:<perm>[...]] | Concede derechos de acceso de usuario especificados. Los permisos reemplazan los permisos explícitos concedidos previamente. No agregar :r significa que los permisos se agregan a los permisos explícitos concedidos previamente. |
| [/deny <sid>:<perm>[...]] | Deniega explícitamente los derechos de acceso de usuario especificados. Se agrega una ACE de denegación explícita para los permisos indicados y se quitan los mismos permisos en cualquier concesión explícita. |
| [/remove[:g | :d]] <sid>[...] [/t] [/c] [/l] [/q] | Quita todas las coincidencias del SID especificado de DACL. Este comando también puede usar:
|
| [/setintegritylevel [(CI)(OI)] <Level>:<Policy>[...]] | Agrega explícitamente una ACE de integridad a todos los archivos coincidentes. El nivel se puede especificar como:
|
| [/substitute <sidold><sidnew> [...]] | Reemplaza un SID existente (sidold) por un nuevo SID (sidnew). Requiere el uso con el parámetro <directory>. |
| /restore <ACLfile> [/c] [/l] [/q] | Aplica las DACL almacenadas de <ACLfile> a los archivos del directorio especificado. Requiere el uso con el parámetro <directory>. |
| /inheritancelevel: [e | d | r] | Establece el nivel de herencia, que puede ser:
|
Comentarios
Los SID pueden estar en forma numérica o de nombre descriptivo. Si usa una forma numérica, añada el carácter comodín * al principio del SID.
Este comando conserva el orden canónico de las entradas ACE como:
Denegaciones explícitas
Concesiones explícitas
Denegaciones heredadas
Concesiones heredadas
La opción
<perm>es una máscara de permisos que se puede especificar en una de las siguientes formas:Secuencia de derechos simples (permisos básicos):
F: acceso total
M: modificar el acceso
RX: acceso de lectura y ejecución
R: acceso de solo lectura
W: acceso de solo escritura
Una lista separada por comas entre paréntesis de derechos específicos (permisos avanzados):
D: eliminar
RC: control de lectura (permisos de lectura)
WDAC: escritura de DAC (cambiar permisos)
WO: propietario de escritura (tomar posesión)
S: sincronizar
AS: seguridad del sistema de acceso
MA: máximo permitido
GR: lectura genérica
GW: escritura genérica
GE: ejecución genérica
GA: todo genérico
RD: directorio de lectura de datos/lista
WD: escribir datos o agregar archivo
AD: anexar datos o agregar subdirectorios
REA: leer atributos extendidos
WEA: escribir atributos extendidos
X: ejecutar/atravesar
DC: eliminar elemento secundario
RA: lectura de atributos
WA: escritura de atributos
Los derechos de herencia pueden venir precedidos de cualquier forma
<perm>:(I): heredar. ACE heredada del contenedor primario.
(OI): herencia de objeto. Los objetos de este contenedor heredarán esta ACE. Solo se aplica a los directorios.
(CI): herencia de contenedor. Los contenedores de este contenedor primario heredarán esta ACE. Solo se aplica a los directorios.
(E/S): solo herencia. ACE heredada del contenedor primario, pero no se aplica al propio objeto. Solo se aplica a los directorios.
(NP): no propaga la herencia. ACE heredada por contenedores y objetos del contenedor primario, pero no se propaga a contenedores anidados. Solo se aplica a los directorios.
Ejemplos
Para guardar las DACL para todos los archivos del directorio C:\Windows y sus subdirectorios en el archivo ACLFile, escriba:
icacls c:\windows\* /save aclfile /t
Para restaurar las DACL de cada archivo dentro de ACLFile que exista en el directorio C:\Windows y sus subdirectorios, escriba:
icacls c:\windows\ /restore aclfile
Para conceder al usuario los permisos DAC de borrado y escritura de User1 en un archivo denominado Test1, escriba:
icacls test1 /grant User1:(d,wdac)
Para conceder al usuario definido por SID S-1-1-0 los permisos DAC de borrado y escritura en un archivo denominado Test2, escriba:
icacls test2 /grant *S-1-1-0:(d,wdac)