-
Icacls
鎖定
- 中文名
- Icacls
- <FileName>
- 指定要為其顯示 Dacl 的文件
- <Directory>
- 定要為其顯示 Dacl 的目錄
- / t
- 指定文件上的操作
Icacls語法
icacls <FileName> [/grant[:r] <Sid>:<Perm>[...]] [/deny <Sid>:<Perm>[...]] [/remove[:g|:d]] <Sid>[...]] [/t] [/c] [/l] [/q] [/setintegritylevel <Level>:<Policy>[...]]
icacls <Directory> [/substitute <SidOld> <SidNew> [...]] [/restore <ACLfile> [/c] [/l] [/q]]
Icacls參數
參數 | 説明 |
|---|---|
<FileName> | 指定要為其顯示 Dacl 的文件。 |
<Directory> | 指定要為其顯示 Dacl 的目錄。 |
/t | 執行當前目錄及其子目錄中的所有指定文件上的操作。 |
/c | 繼續操作而不考慮文件的任何錯誤。 仍將顯示錯誤消息。 |
/l | 執行上一個符號鏈接,而不是其目標的操作。 |
/q | 禁止顯示成功消息。 |
[/save <ACLfile>[] /t[] /c[] /l[/q]] | 將 Dacl 所有匹配的文件存儲到ACLfile 以便稍後使用/restore。 |
[/ setowner <Username>[] /t[] /c[] /l[/q]] | 改為指定的用户匹配的所有文件的所有者。 |
[/ findSID <Sid>[] /t[] /c[] /l[/q]] | 查找所有匹配的文件包含 DACL 明確涉及指定的安全標識符 (SID)。 |
[/verify [/t] [/c] [/l] [/q]] | 查找所有具有不規範或有長度與 ACE (訪問控制條目) 計數不一致的 Acl 的文件。 |
[/reset [/t] [/c] [/l] [/q]] | 用默認值替換 Acl 繼承 Acl 的所有匹配的文件。 |
[/grant [: r] <Sid>: <Perm> [...]] | 授予指定用户的訪問權限。 權限替換以前的顯式授予的權限。 不帶: r,添加到以前被顯式權限授予任何權限。 |
[/deny <Sid>: <Perm> [...]] | 顯式拒絕指定的用户的訪問權限。 顯式拒絕 ACE 的規定的權限將被添加,刪除在任何顯式授予的權限。 |
[/remove [:g|:d]] <Sid> [...]][] /t[] /c[] /l[] /q | 從 DACL 中移除指定的 SID 的所有匹配項。 : g中刪除指定的 sid 授予的權限的所有匹配項。 : d中刪除指定的 SID 被拒絕的權限的所有匹配項。 |
[/ setintegritylevel [(CI)(OI)] <Level>: <Policy> [...]] | 顯式 ACE 完整性向所有匹配的文件。level 指定為: 完整性 ACE 的繼承選項可能位於之前級別,並且只應用於目錄。 |
[/substitute <SidOld><SidNew>[...]] | 現有的 SID (SidOld) 替換為一個新的 SID (SidNew)。 需要direcroty參數。 |
/restore <ACLfile>[/c][/l][/q] | 將存儲的 Dacl 從ACLfile應用到指定的目錄中的文件。 需要directory參數。 |
Icacls注意
Sid 可以採用數字格式或友好的名稱格式。如果給定數字格式,那麼請在 SID 的開頭添加一個 *。
/T 指示在以該名稱指定的目錄下的所有匹配文件/目錄上執行此操作。
/C 指示此操作將在所有文件錯誤上繼續進行。仍將顯示錯誤消息。
/L 指示此操作在符號鏈接本身而不是其目標上執行。
/Q 指示 icacls 應該禁止顯示成功消息。
ICACLS 保留 ACE 項的規範順序:
顯式拒絕
顯式授予
繼承的拒絕
繼承的授予
perm 是權限掩碼,可以兩種格式之一指定:
簡單權限序列:
N - 無訪問權限
F - 完全訪問權限
M - 修改權限
RX - 讀取和執行權限
R - 只讀權限
W - 只寫權限
D - 刪除權限
在括號中以逗號分隔的特定權限列表:
DE - 刪除
RC - 讀取控制
WDAC - 寫入 DAC
WO - 寫入所有者
S - 同步
AS - 訪問系統安全性
MA - 允許的最大值
GR - 一般性讀取
GW - 一般性寫入
GE - 一般性執行
GA - 全為一般性
RD - 讀取數據/列出目錄
WD - 寫入數據/添加文件
AD - 附加數據/添加子目錄
REA - 讀取擴展屬性
WEA - 寫入擴展屬性
X - 執行/遍歷
DC - 刪除子項
RA - 讀取屬性
WA - 寫入屬性
繼承權限可以優先於每種格式,但只應用於目錄:
(OI) - 對象繼承
(CI) - 容器繼承
(IO) - 僅繼承
(NP) - 不傳播繼承
(I) - 從父容器繼承的權限
Icacls示例
icacls c:\windows\* /save AclFile /T
- 將 c:\windows 及其子目錄下所有文件的ACL 保存到 AclFile。
icacls c:\windows\ /restore AclFile
- 將還原 c:\windows 及其子目錄下存在的 AclFile 內所有文件的 ACL。
icacls file /grant Administrator:(D,WDAC)
- 將授予用户對文件刪除和寫入 DAC 的管理員權限。
icacls file /grant *S-1-1-0:(D,WDAC)
- 將授予由 sid S-1-1-0 定義的用户對文件刪除和寫入 DAC 的權限。
