icaclsicacls

Отображает или изменяет списки управления доступом на уровне пользователей (DACL) на указанных файлов и применяет хранимых DACL к файлам в указанных каталогах.Displays or modifies discretionary access control lists (DACLs) on specified files, and applies stored DACLs to files in specified directories.

В разделе Примеры показан принцип использования этой команды.For examples of how to use this command, see Examples.

СинтаксисSyntax

icacls <FileName> [/grant[:r] <Sid>:<Perm>[...]] [/deny <Sid>:<Perm>[...]] [/remove[:g|:d]] <Sid>[...]] [/t] [/c] [/l] [/q] [/setintegritylevel <Level>:<Policy>[...]]
icacls <Directory> [/substitute <SidOld> <SidNew> [...]] [/restore <ACLfile> [/c] [/l] [/q]]

ПараметрыParameters

ПараметрParameter ОписаниеDescription
<Имя файла ><FileName> Указывает файл, для которого необходимо отобразить DACL.Specifies the file for which to display DACLs.
<каталог ><Directory> Указывает каталог для которого необходимо отобразить DACL.Specifies the directory for which to display DACLs.
/t/t Выполняет операцию логического сложения всех указанных файлов в текущем каталоге и его подкаталогах.Performs the operation on all specified files in the current directory and its subdirectories.
/c/c Продолжает выполнять операцию несмотря на любые ошибки файл.Continues the operation despite any file errors. По-прежнему будут отображаться сообщения об ошибках.Error messages will still be displayed.
/l/l Выполняет операцию логического сложения символьную ссылку, и его назначения.Performs the operation on a symbolic link versus its destination.
/q/q Подавляет сообщения об успешном выполнении.Suppresses success messages.
[/ Сохранение <ACLfile > [/ t] [/ c] [/ l] [/ q]][/save <ACLfile> [/t] [/c] [/l] [/q]] Сохраняет списки DACL для всех файлов в ACLfile для последующего использования с или восстановить их.Stores DACLs for all matching files into ACLfile for later use with /restore.
[/ setowner <имя пользователя > / / [c] [/ l] [/ q] [t]][/setowner <Username> [/t] [/c] [/l] [/q]] Изменяет владельца все соответствующие файлы для указанного пользователя.Changes the owner of all matching files to the specified user.
[/ findSID <Sid > [/ t] [/ c] [/ l] [/ q]][/findSID <Sid> [/t] [/c] [/l] [/q]] Находит все соответствующие файлы, которые содержат список DACL, явно отметить идентификатор безопасности (SID).Finds all matching files that contain a DACL explicitly mentioning the specified security identifier (SID).
[/ проверки / [t] [/ c] [/ l] [/ q]][/verify [/t] [/c] [/l] [/q]] Находит все файлы со списками управления доступом, которые не каноническую или иметь длину согласована с учетом количества ACE (записи управления доступом).Finds all files with ACLs that are not canonical or have lengths inconsistent with ACE (access control entry) counts.
[/ сброса / [t] [/ c] [/ l] [/ q]][/reset [/t] [/c] [/l] [/q]] Заменяет списки управления доступом имеет значения по умолчанию наследуется списки управления доступом для всех файлов.Replaces ACLs with default inherited ACLs for all matching files.
[/ предоставить [: r] <Sid >:[...]][/grant[:r] <Sid>:[...]] Предоставляет указанные права доступа пользователя.Grants specified user access rights. Разрешения заменить ранее предоставил явные разрешения.Permissions replace previously granted explicit permissions.
Без : r, будут добавлены к любому явные разрешения, предоставленные ранее разрешения.Without :r, permissions are added to any previously granted explicit permissions.
[/ deny <Sid >:[...]][/deny <Sid>:[...]] Явно запрещает указанному пользователю права доступа.Explicitly denies specified user access rights. Явно запретить ACE добавляется для указанных выше разрешений и удаляются те же разрешения, в любой предоставления явного разрешения.An explicit deny ACE is added for the stated permissions and the same permissions in any explicit grant are removed.
[/ remove [: g|: d]] <Sid > [...]] / [t] [/ c] / [l] [/ q][/remove[:g|:d]] <Sid>[...]] [/t] [/c] [/l] [/q] Удаляет все вхождения указанного идентификатора безопасности из списка DACL.Removes all occurrences of the specified SID from the DACL.
: g удаляет все вхождения права для указанного идентификатора безопасности.:g removes all occurrences of granted rights to the specified SID.
: d удаляет все вхождения запрещенные права на указанный идентификатор SID.:d removes all occurrences of denied rights to the specified SID.
[/ setintegritylevel [(CI)(OI)]<уровень >:[...]][/setintegritylevel [(CI)(OI)]<Level>:[...]] Явно добавляет все соответствующие файлы целостности ACE.Explicitly adds an integrity ACE to all matching files. Уровень указываются в виде:Level is specified as:
- L[как]- L[ow]
- M[edium]- M[edium]
- H[наи]- H[igh]
Параметры наследования для обеспечения целостности ACE может предшествовать уровень и применяются только к каталогам.Inheritance options for the integrity ACE may precede the level and are applied only to directories.
[/ заменить <SidOld > [...]][/substitute <SidOld> [...]] Заменяет существующий идентификатор SID (SidOld) с новый идентификатор SID (SidNew).Replaces an existing SID (SidOld) with a new SID (SidNew). Требуется Directory параметра.Requires the Directory parameter.
/ восстановление <ACLfile > / / [l] [/ q] [c]/restore <ACLfile> [/c] [/l] [/q] Применяет хранимых DACL из ACLfile в файлы в указанном каталоге.Applies stored DACLs from ACLfile to files in the specified directory. Требуется Directory параметра.Requires the Directory parameter.
/inheritancelevel: [e|d|r]/inheritancelevel:[e|d|r] Задает уровень наследования:Sets the inheritance level:
e -позволяет enheritancee - Enables enheritance
d — отключает наследование и копирует записи ACEd - Disables inheritance and copies the ACEs
r — удаляет все наследуемые элементы ACEr - Removes all inherited ACEs

ПримечанияRemarks

  • Идентификаторы безопасности может быть в любой форме числовых, так и понятное имя.SIDs may be in either numerical or friendly name form. Если вы используете числовой форме, прикреплять подстановочный знак * в начале SID.If you use a numerical form, affix the wildcard character * to the beginning of the SID.

  • icacls сохраняет Канонический порядок записей ACE как:icacls preserves the canonical order of ACE entries as:

    • Явные отказовExplicit denials
    • Явно предоставленных разрешенийExplicit grants
    • Унаследованные отказовInherited denials
    • Унаследованные предоставляетInherited grants
  • Разрешение является маску разрешений, который может быть указан в одном из следующих форм:Perm is a permission mask that can be specified in one of the following forms:

    • Последовательность простые права:A sequence of simple rights:

      F (полный доступ)F (full access)

      M (изменить доступ)M (modify access)

      RX (чтение и выполнение)RX (read and execute access)

      R (доступ только для чтения)R (read-only access)

      W (доступ только для записи)W (write-only access)

    • Список с разделителями запятыми в круглых скобках особых прав:A comma-separated list in parenthesis of specific rights:

      D (Удалить)D (delete)

      Версия-Кандидат (Контроль чтения)RC (read control)

      Компоненты WDAC (запись приложения уровня данных)WDAC (write DAC)

      WO (Смена владельца)WO (write owner)

      S (синхронизации)S (synchronize)

      AS (доступ к системе безопасности)AS (access system security)

      MA (максимум)MA (maximum allowed)

      GR (универсальная чтение)GR (generic read)

      GW (запись)GW (generic write)

      GE (выполнение)GE (generic execute)

      Общедоступная версия (универсальная все)GA (generic all)

      К удаленному рабочему Столу (чтение данных и получения списка каталогов)RD (read data/list directory)

      WD (запись данных или добавить файл)WD (write data/add file)

      AD (append подкаталог/Добавление данных)AD (append data/add subdirectory)

      Доступные (чтение дополнительных атрибутов)REA (read extended attributes)

      WEA (запись дополнительных атрибутов)WEA (write extended attributes)

      X (выполнение/перекрестной)X (execute/traverse)

      Контроллер домена (удалить дочерний)DC (delete child)

      RA (чтение атрибутов)RA (read attributes)

      WA (запись атрибутов)WA (write attributes)

  • Наследование прав могут либо предшествовать Perm формы и они применяются только к каталогам:Inheritance rights may precede either Perm form, and they are applied only to directories:

    (OI) : объект наследует(OI): object inherit

    (CI) : наследовать контейнера(CI): container inherit

    (ОПЕРАЦИИ ВВОДА-ВЫВОДА) : только наследование(IO): inherit only

    (ИМЕНОВАННЫЕ КАНАЛЫ) : распространение наследования(NP): do not propagate inherit

ПримерыExamples

Чтобы сохранить список DACL для всех файлов в каталоге C:\Windows и его подкаталогах, в файл ACLFile, введите следующую команду:To save the DACLs for all files in the C:\Windows directory and its subdirectories to the ACLFile file, type:

icacls c:\windows\* /save aclfile /t

Чтобы восстановить список DACL для каждого файла в ACLFile, который существует в каталоге C:\Windows и его подкаталогах, введите следующую команду:To restore the DACLs for every file within ACLFile that exists in the C:\Windows directory and its subdirectories, type:

icacls c:\windows\ /restore aclfile

Чтобы предоставить пользователю разрешения на удаление User1 и писать приложения уровня данных в файл с именем «Test1», введите:To grant the user User1 Delete and Write DAC permissions to a file named "Test1", type:

icacls test1 /grant User1:(d,wdac)

Чтобы предоставить пользователю, определяются разрешения Delete идентификаторы SID S-1-1-0 и писать приложения уровня данных в файл с именем «Test2», введите следующую команду:To grant the user defined by SID S-1-1-0 Delete and Write DAC permissions to a file, named "Test2", type:

icacls test2 /grant *S-1-1-0:(d,wdac)

Дополнительная справкаAdditional references

Условные обозначения синтаксиса команд командной строкиCommand-Line Syntax Key