icaclsicacls

Visualizza o modifica gli elenchi di controllo di accesso discrezionali (DACL) nei file specificati e applica gli elenchi DACL archiviati ai file nelle directory specificate.Displays or modifies discretionary access control lists (DACLs) on specified files, and applies stored DACLs to files in specified directories.

Nota

Questo comando sostituisce il comando caclsdeprecato.This command replaces the deprecated cacls command.

SintassiSyntax

icacls <filename> [/grant[:r] <sid>:<perm>[...]] [/deny <sid>:<perm>[...]] [/remove[:g|:d]] <sid>[...]] [/t] [/c] [/l] [/q] [/setintegritylevel <Level>:<policy>[...]]
icacls <directory> [/substitute <sidold> <sidnew> [...]] [/restore <aclfile> [/c] [/l] [/q]]

ParametriParameters

ParametroParameter DescrizioneDescription
<filename> Specifica il file per cui visualizzare gli elenchi DACL.Specifies the file for which to display DACLs.
<directory> Specifica la directory per cui visualizzare gli elenchi DACL.Specifies the directory for which to display DACLs.
/t/t Esegue l'operazione su tutti i file specificati nella directory corrente e nelle relative sottodirectory.Performs the operation on all specified files in the current directory and its subdirectories.
/C/c L'operazione continuerà nonostante eventuali errori nel file.Continues the operation despite any file errors. Verranno ancora visualizzati messaggi di errore.Error messages will still be displayed.
/l/l Esegue l'operazione su un collegamento simbolico anziché sulla relativa destinazione.Performs the operation on a symbolic link instead of its destination.
/q/q Elimina i messaggi di esito positivo.Suppresses success messages.
[/ Salva <ACLfile> [/t] / [c] [/l] [/q]][/save <ACLfile> [/t] [/c] [/l] [/q]] Archivia gli elenchi DACL per tutti i file corrispondenti in ACLfile per un utilizzo successivo con /ripristino.Stores DACLs for all matching files into ACLfile for later use with /restore.
[/ setowner <username> [/t] / [c] [/l] [/q]][/setowner <username> [/t] [/c] [/l] [/q]] Modifica il proprietario di tutti i file corrispondenti all'utente specificato.Changes the owner of all matching files to the specified user.
[/findsid <sid> /t /c /l [/q]][/findsid <sid> [/t] [/c] [/l] [/q]] Trova tutti i file corrispondenti che contengono un DACL citare in modo esplicito l'identificatore specificato di sicurezza (SID).Finds all matching files that contain a DACL explicitly mentioning the specified security identifier (SID).
[/ verificare [/t] [/c] [/l] [/q]][/verify [/t] [/c] [/l] [/q]] Trova tutti i file con gli ACL non canonico o hanno lunghezze non coerente con i conteggi ACE (voce di controllo di accesso).Finds all files with ACLs that are not canonical or have lengths inconsistent with ACE (access control entry) counts.
[/Reset [/t] [/c] [/l] [/q]][/reset [/t] [/c] [/l] [/q]] Sostituisce gli ACL predefinito ereditata ACL per tutti i file corrispondenti.Replaces ACLs with default inherited ACLs for all matching files.
[/ concedere [: r] <sid>:[...]][/grant[:r] <sid>:[...]] Concede specificato diritti di accesso utente.Grants specified user access rights. Autorizzazioni di sostituiscono le autorizzazioni precedentemente concesse esplicite.Permissions replace previously granted explicit permissions.

Se non si aggiunge : r, le autorizzazioni vengono aggiunte a qualsiasi autorizzazione esplicita precedentemente concessa.Not adding the :r, means that permissions are added to any previously granted explicit permissions.

[/deny <sid>:[...]][/deny <sid>:[...]] Nega in modo esplicito i diritti di accesso utente specificato.Explicitly denies specified user access rights. L'impostazione esplicita Nega ACE viene aggiunto per le autorizzazioni indicate e vengono rimosse le stesse autorizzazioni in qualsiasi autorizzazione esplicita.An explicit deny ACE is added for the stated permissions and the same permissions in any explicit grant are removed.
[/Remove [:g | :d]] <sid> [...] /t /c /l /q[/remove[:g | :d]] <sid>[...] [/t] [/c] [/l] [/q] Rimuove tutte le occorrenze del SID specificato dall'elenco DACL.Removes all occurrences of the specified SID from the DACL. Questo comando può anche usare:This command can also use:
  • : g -rimuove tutte le occorrenze dei diritti concessi al SID specificato.:g - Removes all occurrences of granted rights to the specified SID.
  • :d : rimuove tutte le occorrenze dei diritti negati al SID specificato.:d - Removes all occurrences of denied rights to the specified SID.
[/setintegritylevel [(CI) (OI)] <Level>:<Policy> [...]][/setintegritylevel [(CI)(OI)] <Level>:<Policy>[...]] Aggiunge una voce ACE di integrità in modo esplicito per tutti i file corrispondenti.Explicitly adds an integrity ACE to all matching files. Il livello può essere specificato come:The level can be specified as:
  • l -bassol - Low
  • m-mediom- Medium
  • h -altoh - High
Opzioni di ereditarietà per l'integrità ACE possono precedere il livello e vengono applicate solo alla directory.Inheritance options for the integrity ACE may precede the level and are applied only to directories.
[/ sostituire <sidold> <sidnew> [...]][/substitute <sidold> <sidnew> [...]] Sostituisce un SID esistente (sidold) con un nuovo SID (sidnew).Replaces an existing SID (sidold) with a new SID (sidnew). Richiede l'utilizzo di con il <directory> parametro.Requires using with the <directory> parameter.
/ ripristino <ACLfile> [/c] [/l] [/q]/restore <ACLfile> [/c] [/l] [/q] Applica gli elenchi DACL archiviati da <ACLfile> ai file nella directory specificata.Applies stored DACLs from <ACLfile> to files in the specified directory. Richiede l'utilizzo di con il <directory> parametro.Requires using with the <directory> parameter.
InheritanceLevel[e | d | r]/inheritancelevel:[e | d | r] Imposta il livello di ereditarietà, che può essere:Sets the inheritance level, which can be:
  • e -Abilita l'ereditarietàe - Enables inheritance
  • d : Disabilita l'ereditarietà e copia le voci ACEd - Disables inheritance and copies the ACEs
  • r -rimuove tutte le voci ACE ereditater - Removes all inherited ACEs

CommentiRemarks

  • SID potrebbero essere in qualsiasi formato di nome descrittivo o numerici.SIDs may be in either numerical or friendly name form. Se si usa un formato numerico, applicare il carattere jolly * all'inizio del SID.If you use a numerical form, affix the wildcard character * to the beginning of the SID.

  • Questo comando conserva l'ordine canonico delle voci ACE come segue:This command preserves the canonical order of ACE entries as:

    • Negazioni espliciteExplicit denials

    • Concede l'esplicitaExplicit grants

    • Rifiuti ereditatiInherited denials

    • Concede ereditatiInherited grants

  • L' <perm> opzione è una maschera di autorizzazione che può essere specificata in uno dei formati seguenti:The <perm> option is a permission mask that can be specified in one of the following forms:

    • Una sequenza di diritti di base:A sequence of simple rights:

      • F -accesso completoF - Full access

      • M-modificare l'accessoM- Modify access

      • RX -lettura ed esecuzione dell'accessoRX - Read and execute access

      • R -accesso in sola letturaR - Read-only access

      • W Accesso con accesso in sola scritturaW - Write-only access

    • Un elenco delimitato da virgole tra parentesi di diritti specifici:A comma-separated list in parenthesis of specific rights:

      • D -eliminazioneD - Delete

      • Controllo di lettura RCRC - Read control

      • WDAC -scrittura DACWDAC - Write DAC

      • Proprietario wo -WriteWO - Write owner

      • S -SincronizzaS - Synchronize

      • Sicurezza del sistema As -AccessAS - Access system security

      • Ma -massimo consentitoMA - Maximum allowed

      • Gr -lettura genericaGR - Generic read

      • GW -scrittura genericaGW - Generic write

      • GE -esecuzione genericaGE - Generic execute

      • GA -generico allGA - Generic all

      • Directory di dati/elenco di lettura Desktop remotoRD - Read data/list directory

      • WD -scrivere dati/Aggiungi fileWD - Write data/add file

      • Ad -Accoda dati/Aggiungi sottodirectoryAD - Append data/add subdirectory

      • Rea -lettura degli attributi estesiREA - Read extended attributes

      • WEA -scrivere attributi estesiWEA - Write extended attributes

      • X -esecuzione/attraversamentoX - Execute/traverse

      • DC -Elimina figlioDC - Delete child

      • Attributi di lettura raRA - Read attributes

      • Attributi WA -WriteWA - Write attributes

    • I diritti di ereditarietà possono precedere uno dei due <perm> moduli e vengono applicati solo alle directory:Inheritance rights may precede either <perm> form, and they are applied only to directories:

      • (OI) -l'oggetto eredita(OI) - Object inherit

      • (Ci) -contenitore eredita(CI) - Container inherit

      • (Io) -solo ereditarietà(IO) - Inherit only

      • (NP) -non propagare eredita(NP) - Do not propagate inherit

EsempioExamples

Per salvare il DACL per tutti i file nella directory C:\Windows e nelle relative sottodirectory al file ACLFile, digitare:To save the DACLs for all files in the C:\Windows directory and its subdirectories to the ACLFile file, type:

icacls c:\windows\* /save aclfile /t

Per ripristinare il DACL per ogni file all'interno di ACLFile presente nella directory C:\Windows e nelle relative sottodirectory, digitare:To restore the DACLs for every file within ACLFile that exists in the C:\Windows directory and its subdirectories, type:

icacls c:\windows\ /restore aclfile

Per concedere all'utente User1 le autorizzazioni di eliminazione e scrittura dell'applicazione livello dati in un file denominato Test1, digitare:To grant the user User1 Delete and Write DAC permissions to a file named Test1, type:

icacls test1 /grant User1:(d,wdac)

Per concedere all'utente definito da SID S-1-1-0 le autorizzazioni per l'eliminazione e la scrittura dell'applicazione livello dati in un file, denominato Test2, digitare:To grant the user defined by SID S-1-1-0 Delete and Write DAC permissions to a file, named Test2, type:

icacls test2 /grant *S-1-1-0:(d,wdac)

Altri riferimentiAdditional References