icaclsicacls

Exibe ou modifica DACLs (listas de controle de acesso condicional) em arquivos especificados e aplica a DACLs armazenadas a arquivos nos diretórios especificados.Displays or modifies discretionary access control lists (DACLs) on specified files, and applies stored DACLs to files in specified directories.

Para obter exemplos de como usar esse comando, consulte Exemplos.For examples of how to use this command, see Examples.

SintaxeSyntax

icacls <FileName> [/grant[:r] <Sid>:<Perm>[...]] [/deny <Sid>:<Perm>[...]] [/remove[:g|:d]] <Sid>[...]] [/t] [/c] [/l] [/q] [/setintegritylevel <Level>:<Policy>[...]]
icacls <Directory> [/substitute <SidOld> <SidNew> [...]] [/restore <ACLfile> [/c] [/l] [/q]]

ParâmetrosParameters

ParâmetroParameter DescriçãoDescription
<Nome de arquivo ><FileName> Especifica o arquivo para o qual exibir as DACLs.Specifies the file for which to display DACLs.
<Directory ><Directory> Especifica o diretório para o qual exibir as DACLs.Specifies the directory for which to display DACLs.
/t/t Executa a operação em todos os arquivos especificados no diretório atual e em seus subdiretórios.Performs the operation on all specified files in the current directory and its subdirectories.
/c/c Continua a operação, apesar de quaisquer erros de arquivo.Continues the operation despite any file errors. As mensagens de erro ainda serão exibidas.Error messages will still be displayed.
/l/l Executa a operação em um link simbólico versus seu destino.Performs the operation on a symbolic link versus its destination.
/q/q Suprime as mensagens de êxito.Suppresses success messages.
[/Save <ACLfile > [/t] [/c] [/l] [/q]][/save <ACLfile> [/t] [/c] [/l] [/q]] Armazena as DACLs de todos os arquivos correspondentes no ACLfile para uso posterior com /Restore.Stores DACLs for all matching files into ACLfile for later use with /restore.
[/SetOwner <Username > [/t] [/c] [/l] [/q]][/setowner <Username> [/t] [/c] [/l] [/q]] Altera o proprietário de todos os arquivos correspondentes para o usuário especificado.Changes the owner of all matching files to the specified user.
[/findSID <Sid > [/t] [/c] [/l] [/q]][/findSID <Sid> [/t] [/c] [/l] [/q]] Localiza todos os arquivos correspondentes que contêm uma DACL mencionando explicitamente o SID (identificador de segurança) especificado.Finds all matching files that contain a DACL explicitly mentioning the specified security identifier (SID).
[/Verify [/t] [/c] [/l] [/q]][/verify [/t] [/c] [/l] [/q]] Localiza todos os arquivos com ACLs que não são canônicas ou têm tamanhos inconsistentes com as contagens de ACE (entrada de controle de acesso).Finds all files with ACLs that are not canonical or have lengths inconsistent with ACE (access control entry) counts.
[/Reset reiniciar [/t] [/c] [/l] [/q]][/reset [/t] [/c] [/l] [/q]] Substitui ACLs por ACLs herdadas padrão para todos os arquivos correspondentes.Replaces ACLs with default inherited ACLs for all matching files.
[/Grant [: r] <Sid >: [...]][/grant[:r] <Sid>:[...]] Concede direitos de acesso de usuário especificado.Grants specified user access rights. As permissões substituem as permissões explícitas concedidas anteriormente.Permissions replace previously granted explicit permissions.
Sem : r, as permissões são adicionadas a quaisquer permissões explícitas concedidas anteriormente.Without :r, permissions are added to any previously granted explicit permissions.
[/Deny <Sid >: [...]][/deny <Sid>:[...]] Nega explicitamente os direitos de acesso de usuário especificados.Explicitly denies specified user access rights. Uma ACE de negação explícita é adicionada para as permissões declaradas e as mesmas permissões em qualquer concessão explícita são removidas.An explicit deny ACE is added for the stated permissions and the same permissions in any explicit grant are removed.
[/remove [: g @ no__t-0: d]] <Sid > [...]] /t /c /l /q[/remove[:g|:d]] <Sid>[...]] [/t] [/c] [/l] [/q] Remove todas as ocorrências do SID especificado da DACL.Removes all occurrences of the specified SID from the DACL.
: g remove todas as ocorrências de direitos concedidos para o SID especificado.:g removes all occurrences of granted rights to the specified SID.
:d remove todas as ocorrências de direitos negados para o SID especificado.:d removes all occurrences of denied rights to the specified SID.
[/setintegritylevel [(CI) (OI)] <Level >: [...]][/setintegritylevel [(CI)(OI)]<Level>:[...]] Adiciona explicitamente uma ACE de integridade a todos os arquivos correspondentes.Explicitly adds an integrity ACE to all matching files. O nível é especificado como:Level is specified as:
- L[OMO]- L[ow]
- M[edium]- M[edium]
- H[perior]- H[igh]
As opções de herança para a ACE de integridade podem preceder o nível e são aplicadas somente a diretórios.Inheritance options for the integrity ACE may precede the level and are applied only to directories.
[/substitute <SidOld > [...]][/substitute <SidOld> [...]] Substitui um SID existente (SidOld) por um novo SID (SidNew).Replaces an existing SID (SidOld) with a new SID (SidNew). Requer o parâmetro Directory .Requires the Directory parameter.
/Restore <ACLfile > [/c] [/l] [/q]/restore <ACLfile> [/c] [/l] [/q] Aplica as DACLs armazenadas de ACLfile a arquivos no diretório especificado.Applies stored DACLs from ACLfile to files in the specified directory. Requer o parâmetro Directory .Requires the Directory parameter.
/InheritanceLevel: [e @ no__t-0d @ no__t-1R]/inheritancelevel:[e|d|r] Define o nível de herança:Sets the inheritance level:
e -habilita enheritancee - Enables enheritance
d -desabilita a herança e copia as ACEsd - Disables inheritance and copies the ACEs
r -remove todas as ACEs herdadasr - Removes all inherited ACEs

ComentáriosRemarks

  • Os SIDs podem estar na forma de nome numérico ou amigável.SIDs may be in either numerical or friendly name form. Se você usar um formato numérico, afixará o caractere * curinga ao início do Sid.If you use a numerical form, affix the wildcard character * to the beginning of the SID.

  • o icacls preserva a ordem canônica das entradas Ace como:icacls preserves the canonical order of ACE entries as:

    • Negações explícitasExplicit denials
    • Concessões explícitasExplicit grants
    • Negações herdadasInherited denials
    • Concessões herdadasInherited grants
  • Perm é uma máscara de permissão que pode ser especificada em uma das seguintes formas:Perm is a permission mask that can be specified in one of the following forms:

    • Uma sequência de direitos simples:A sequence of simple rights:

      F (acesso completo)F (full access)

      M (modificar acesso)M (modify access)

      RX (acesso de leitura e execução)RX (read and execute access)

      R (acesso somente leitura)R (read-only access)

      W (acesso somente gravação)W (write-only access)

    • Uma lista separada por vírgulas em parênteses de direitos específicos:A comma-separated list in parenthesis of specific rights:

      D (excluir)D (delete)

      RC (controle de leitura)RC (read control)

      WDAC (DAC de gravação)WDAC (write DAC)

      Wo (proprietário da gravação)WO (write owner)

      S (sincronizar)S (synchronize)

      Como (segurança do sistema de acesso)AS (access system security)

      Ma (máximo permitido)MA (maximum allowed)

      Gr (leitura genérica)GR (generic read)

      GW (gravação genérica)GW (generic write)

      GE (execução genérica)GE (generic execute)

      GA (todos genéricos)GA (generic all)

      RD (ler dados/diretório de lista)RD (read data/list directory)

      WD (gravar dados/Adicionar arquivo)WD (write data/add file)

      Ad (acrescentar dados/adicionar subdiretório)AD (append data/add subdirectory)

      Rea (atributos estendidos de leitura)REA (read extended attributes)

      Tem (atributos estendidos de gravação)WEA (write extended attributes)

      X (executar/percorrer)X (execute/traverse)

      DC (excluir filho)DC (delete child)

      Ra (atributos de leitura)RA (read attributes)

      Wa (atributos de gravação)WA (write attributes)

  • Os direitos de herança podem preceder o formulário Perm e são aplicados somente aos diretórios:Inheritance rights may precede either Perm form, and they are applied only to directories:

    (Oi) : herança de objeto(OI): object inherit

    (CI) : herança de contêiner(CI): container inherit

    (E/s) : herdar somente(IO): inherit only

    (NP) : não propagar herança(NP): do not propagate inherit

ExemplosExamples

Para salvar as DACLs de todos os arquivos no diretório C:\Windows e seus subdiretórios no arquivo ACLFile, digite:To save the DACLs for all files in the C:\Windows directory and its subdirectories to the ACLFile file, type:

icacls c:\windows\* /save aclfile /t

Para restaurar as DACLs para cada arquivo em ACLFile que existe no diretório C:\Windows e em seus subdiretórios, digite:To restore the DACLs for every file within ACLFile that exists in the C:\Windows directory and its subdirectories, type:

icacls c:\windows\ /restore aclfile

Para conceder ao usuário usuário1 excluir e gravar permissões de DAC em um arquivo chamado "test1", digite:To grant the user User1 Delete and Write DAC permissions to a file named "Test1", type:

icacls test1 /grant User1:(d,wdac)

Para conceder ao usuário definido por SID S-1-1-0 excluir e gravar permissões de DAC em um arquivo, chamado "test2", digite:To grant the user defined by SID S-1-1-0 Delete and Write DAC permissions to a file, named "Test2", type:

icacls test2 /grant *S-1-1-0:(d,wdac)

Referências adicionaisAdditional references

Chave da sintaxe de linha de comandoCommand-Line Syntax Key