icaclsicacls

指定されたファイルの随意アクセス制御リスト (DACL) を表示または変更し、保存した DACL を指定したディレクトリ内のファイルに適用します。Displays or modifies discretionary access control lists (DACLs) on specified files, and applies stored DACLs to files in specified directories.

注意

このコマンドは、非推奨の cacls コマンドを置き換えます。This command replaces the deprecated cacls command.

構文Syntax

icacls <filename> [/grant[:r] <sid>:<perm>[...]] [/deny <sid>:<perm>[...]] [/remove[:g|:d]] <sid>[...]] [/t] [/c] [/l] [/q] [/setintegritylevel <Level>:<policy>[...]]
icacls <directory> [/substitute <sidold> <sidnew> [...]] [/restore <aclfile> [/c] [/l] [/q]]

パラメーターParameters

パラメーターParameter 説明Description
<filename> Dacl を表示するファイルを指定します。Specifies the file for which to display DACLs.
<directory> Dacl を表示するディレクトリを指定します。Specifies the directory for which to display DACLs.
/t/t 現在のディレクトリとそのサブディレクトリにある、指定されたすべてのファイルに対して操作を実行します。Performs the operation on all specified files in the current directory and its subdirectories.
/c/c ファイルエラーが発生しても操作を続行します。Continues the operation despite any file errors. エラーメッセージは引き続き表示されます。Error messages will still be displayed.
/l/l 変換先ではなく、シンボリックリンクに対して操作を実行します。Performs the operation on a symbolic link instead of its destination.
/q/q 成功メッセージを表示しません。Suppresses success messages.
[/保存 <ACLfile> /tスイッチ/l[/q]][/save <ACLfile> [/t] [/c] [/l] [/q]] は、 /restoreで後で使用するために、一致するすべてのファイルの Dacl をaclfileに格納します。Stores DACLs for all matching files into ACLfile for later use with /restore.
[/setowner <username> /tスイッチ/l[/q]][/setowner <username> [/t] [/c] [/l] [/q]] 一致するすべてのファイルの所有者を、指定したユーザーに変更します。Changes the owner of all matching files to the specified user.
[/findsid <sid> /tスイッチ/l[/q]][/findsid <sid> [/t] [/c] [/l] [/q]] 指定されたセキュリティ識別子 (SID) を明示的に示す DACL を含む、一致するすべてのファイルを検索します。Finds all matching files that contain a DACL explicitly mentioning the specified security identifier (SID).
[/verify [/t] [/c] [/l] [/q]][/verify [/t] [/c] [/l] [/q]] Acl を持つすべてのファイルを検索します。これは、標準ではないか、または ACE (アクセス制御エントリ) のカウントと整合性がありません。Finds all files with ACLs that are not canonical or have lengths inconsistent with ACE (access control entry) counts.
[/リセット [/t] [/c] [/l] [/q]][/reset [/t] [/c] [/l] [/q]] 一致するすべてのファイルについて、Acl を既定の継承された Acl に置き換えます。Replaces ACLs with default inherited ACLs for all matching files.
[/grant [: r] <sid> : [...]][/grant[:r] <sid>:[...]] 指定されたユーザーアクセス権を付与します。Grants specified user access rights. 権限は、以前に許可された明示的な権限に代わるものです。Permissions replace previously granted explicit permissions.

: Rを追加しない場合は、以前に許可した明示的なアクセス許可にアクセス許可が追加されることを意味します。Not adding the :r, means that permissions are added to any previously granted explicit permissions.

[/拒否 <sid> : [...]][/deny <sid>:[...]] 指定されたユーザーアクセス権を明示的に拒否します。Explicitly denies specified user access rights. 明示的な拒否 ACE は、指定された権限に対して追加され、明示的な許可では同じ権限が削除されます。An explicit deny ACE is added for the stated permissions and the same permissions in any explicit grant are removed.
[/remove [:g | :d]] <sid>[...]/tスイッチ/l/q[/remove[:g | :d]] <sid>[...] [/t] [/c] [/l] [/q] 指定された SID のすべての出現箇所を DACL から削除します。Removes all occurrences of the specified SID from the DACL. このコマンドでは、次のものも使用できます。This command can also use:
  • : g -指定した SID に対して付与されているすべての権限を削除します。:g - Removes all occurrences of granted rights to the specified SID.
  • :d -指定した SID に対するすべての拒否された権限を削除します。:d - Removes all occurrences of denied rights to the specified SID.
[/setintegritylevel [(CI) (OI)] <Level>:<Policy>[...]][/setintegritylevel [(CI)(OI)] <Level>:<Policy>[...]] 一致するすべてのファイルに整合性 ACE を明示的に追加します。Explicitly adds an integrity ACE to all matching files. レベルは次のように指定できます。The level can be specified as:
  • l -低l - Low
  • m-中m- Medium
  • h -高h - High
整合性 ACE の継承オプションはレベルの前に配置でき、ディレクトリにのみ適用されます。Inheritance options for the integrity ACE may precede the level and are applied only to directories.
[/代替 <sidold> <sidnew> [...]][/substitute <sidold> <sidnew> [...]] 既存の SID (sidold) を新しい sid (sidold) に置き換えます。Replaces an existing SID (sidold) with a new SID (sidnew). パラメーターを指定してを使用する必要があり <directory> ます。Requires using with the <directory> parameter.
/restore <ACLfile> [/c] [/l] [/q]/restore <ACLfile> [/c] [/l] [/q] 格納されている Dacl をから <ACLfile> 指定されたディレクトリ内のファイルに適用します。Applies stored DACLs from <ACLfile> to files in the specified directory. パラメーターを指定してを使用する必要があり <directory> ます。Requires using with the <directory> parameter.
/inheritancelevel:[e | d | r]/inheritancelevel:[e | d | r] 継承レベルを設定します。次のような場合があります。Sets the inheritance level, which can be:
  • e -継承を有効にするe - Enables inheritance
  • d -継承を無効にして ace をコピーするd - Disables inheritance and copies the ACEs
  • r -継承されたすべての ace を削除します。r - Removes all inherited ACEs

注釈Remarks

  • Sid は、数字またはフレンドリ名の形式で指定できます。SIDs may be in either numerical or friendly name form. 数値形式を使用する場合は、 * ワイルドカード文字を SID の先頭に接辞します。If you use a numerical form, affix the wildcard character * to the beginning of the SID.

  • このコマンドは、ACE エントリの正規の順序を次のように保持します。This command preserves the canonical order of ACE entries as:

    • 明示的な拒否Explicit denials

    • 明示的な許可Explicit grants

    • 継承された拒否Inherited denials

    • 継承された付与Inherited grants

  • <perm>オプションは、次のいずれかの形式で指定できるアクセス許可マスクです。The <perm> option is a permission mask that can be specified in one of the following forms:

    • 単純な権限のシーケンス:A sequence of simple rights:

      • F -フルアクセスF - Full access

      • M-アクセス権の変更M- Modify access

      • RX -読み取りと実行アクセスRX - Read and execute access

      • R -読み取り専用アクセスR - Read-only access

      • W -書き込み専用アクセスW - Write-only access

    • 特定の権限のかっこ内のコンマ区切りのリスト:A comma-separated list in parenthesis of specific rights:

      • D -削除D - Delete

      • RC -読み取りコントロールRC - Read control

      • WDAC -DAC の書き込みWDAC - Write DAC

      • WO -書き込み所有者WO - Write owner

      • S -同期S - Synchronize

      • AS アクセスシステムのセキュリティAS - Access system security

      • MA -最大許容MA - Maximum allowed

      • GR -汎用読み取りGR - Generic read

      • GW -汎用書き込みGW - Generic write

      • GE -汎用実行GE - Generic execute

      • GA -汎用すべてGA - Generic all

      • RD 読み取りデータ/リストディレクトリRD - Read data/list directory

      • WD -データの書き込み/ファイルの追加WD - Write data/add file

      • AD -[データの追加]/[サブディレクトリの追加]AD - Append data/add subdirectory

      • 動詞 -拡張属性の読み取りREA - Read extended attributes

      • Wea -拡張属性の書き込みWEA - Write extended attributes

      • X -実行/走査X - Execute/traverse

      • DC -子の削除DC - Delete child

      • RA -属性の読み取りRA - Read attributes

      • WA -属性の書き込みWA - Write attributes

    • 継承権限は、 <perm> 次のいずれかの形式にすることができ、ディレクトリにのみ適用されます。Inheritance rights may precede either <perm> form, and they are applied only to directories:

      • (OI) -オブジェクト継承(OI) - Object inherit

      • (CI) -コンテナー継承(CI) - Container inherit

      • (IO) -継承のみ(IO) - Inherit only

      • (NP) -inherit を伝達しません(NP) - Do not propagate inherit

Examples

C:\Windows ディレクトリにあるすべてのファイルの Dacl と、そのサブディレクトリを ACLFile ファイルに保存するには、次のように入力します。To save the DACLs for all files in the C:\Windows directory and its subdirectories to the ACLFile file, type:

icacls c:\windows\* /save aclfile /t

C:\Windows ディレクトリとそのサブディレクトリに存在する ACLFile 内のすべてのファイルの Dacl を復元するには、次のように入力します。To restore the DACLs for every file within ACLFile that exists in the C:\Windows directory and its subdirectories, type:

icacls c:\windows\ /restore aclfile

ユーザー User1 に対して、Test1 という名前のファイルに対する DAC アクセス許可の削除と書き込みを許可するには、次のように入力します。To grant the user User1 Delete and Write DAC permissions to a file named Test1, type:

icacls test1 /grant User1:(d,wdac)

SID S-1-1-0 で定義されたユーザーを許可するには、"Test2" という名前のファイルに DAC アクセス許可を削除して、次のように入力します。To grant the user defined by SID S-1-1-0 Delete and Write DAC permissions to a file, named Test2, type:

icacls test2 /grant *S-1-1-0:(d,wdac)

その他の参照情報Additional References