的ICACLS命令使得用户能够查看和修改的ACL。此命令类似于Windows早期版本中提供的cacls命令。
- 可用性
- Icacls语法
- Icacls范例
可用性
Icacls是一个外部命令,可作为icacls.exe用于以下Microsoft操作系统。
- Windows Vista
- Windows 7的
- Windows 8
- Windows 10
句法
icacls 名称 / save aclfile [/ T] [/ C] [/ L] [/ Q]
将与 名称 匹配的文件和文件夹的DACL存储到 aclfile中, 以供以后与/ restore一起使用。请注意,不会保存SACL,所有者或完整性标签。
icacls 目录 [/替代 SidOld SidNew […]] /恢复 aclfile [/ C] [/ L] [/ Q]
将存储的DACL应用于 directory中的 文件。
icacls 名称 / setowner 用户 [/ T] [/ C] [/ L] [/ Q]
更改所有匹配名称的所有者。此选项不会强制更改所有权。为此可以使用takeown.exe实用程序。
icacls 名称 / findsid Sid [/ T] [/ C] [/ L] [/ Q]
查找包含明确提及Sid的ACL的所有匹配名称。
icacls 名称 / verify [/ T] [/ C] [/ L] [/ Q]
查找ACL格式不是标准格式或长度与ACE计数不一致的所有文件。
icacls 名称 /重置 [/ T] [/ C] [/ L] [/ Q]
将所有匹配文件的ACL替换为默认继承的ACL。
icacls 名称 [/ grant [:r] Sid : 烫发 […]] [/ deny Sid : 烫发 […]] [/删除 [:g | :d]] [ Sid […]] [/ T] [/ C] [/ L] [/ Q] [/ setintegritylevel 级别 : 策略 […]]
/ grant [:r] Sid : 烫发 | 授予指定的用户访问权限。使用:r,权限替换任何先前授予的显式权限。如果不使用:r,则权限将添加到任何先前授予的显式权限中。 |
/ deny Sid : 烫发 | 明确拒绝指定的用户访问权限。为声明的权限添加了明确拒绝ACE,并删除了任何明确授予中的相同权限。 |
/删除 [: [g | d]] Sid | 删除ACL中所有出现的 Sid 。使用:g,它将删除所有出现的对该 Sid 的授予权限。使用:d,它将删除所有对该 Sid 权利被拒绝的情况。 |
/ setintegritylevel [(CI)(OI)] Level |
明确向所有匹配文件添加完整性ACE。水平是被指定为中的一个: 大号 [流] 中号 [edium] ħ [IGH] 完整性ACE的继承选项可以在该级别之前,并且仅应用于目录。 |
/继承:e | d | [R | e-启用继承。
d-禁用继承并复制ACE。 r-删除所有继承的ACE。 |
注意
Sid可以采用数字名称或友好名称形式。如果给出了数字形式,请在Sid前面加上星号(*)。
/ T | 指示对名称中指定的目录下的所有匹配文件/目录执行此操作。 |
/C | 表示此操作将在所有文件错误时继续。错误消息仍然显示。 |
/升 | 指示对于遇到的任何符号链接,此操作将在符号链接本身而不是其目标上执行。 |
/ Q | 指示icacls应该禁止显示成功消息。 |
ICACLS保留ACE条目的规范顺序:
- 明确拒绝。
- 明确授予。
- 继承的拒绝。
- 继承的赠款。
权限掩码 perm 可以指定为一系列简单权限:
- N:无法访问。
- F:完全访问权限。
- M:修改访问权限。
- RX:读取并执行访问。
- R:只读访问。
- W:仅写访问。
- D:删除访问权限。
另外,可以将 perm 指定为用逗号分隔的特定权限列表,并用括号括起来:
- DE:删除。
- RC:读取控制。
- WDAC:写入DAC。
- WO:写所有者。
- S:同步。
- AS:访问系统安全性。
- MA:允许的最大值。
- GR:通用读取。
- GW:通用写入。
- GE:通用执行。
- GA:全部通用。
- RD:读取数据/列表目录。
- WD:写入数据/添加文件。
- AD:追加数据/添加子目录。
- REA:读取扩展属性。
- WEA:编写扩展属性。
- X:执行/遍历。
- DC:删除子级。
- RA:读取属性。
- WA:写入属性。
继承权可以采用任何一种形式,并且仅适用于目录:
- (OI):对象继承。
- (CI):容器继承。
- (IO):仅继承。
- (NP):不传播继承。
- (I):权限是从父容器继承的。