Table of contents
TOC
Recolher sumário
Expandir sumário

icacls

Corey Plett|Última Atualização: 05/12/2016
|
1 Colaborador

Aplica-se a: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Exibe ou modifica listas de controle de acesso discricionário (DAcls) em arquivos especificados e aplica DAcls armazenadas em arquivos em pastas especificadas.
Para obter exemplos de como usar esse comando, consulte exemplos.

Sintaxe

icacls <FileName> [/grant[:r] <Sid>:<Perm>[...]] [/deny <Sid>:<Perm>[...]] [/remove[:g|:d]] <Sid>[...]] [/t] [/c] [/l] [/q] [/setintegritylevel <Level>:<Policy>[...]]  
icacls <directory> [/substitute <SidOld> <SidNew> [...]] [/restore <ACLfile> [/c] [/l] [/q]]  

Parâmetros

ParâmetroDescrição
Especifica o arquivo para o qual exibir DAcls.
Especifica o diretório para o qual exibir DAcls.
/tExecuta a operação em todos os arquivos especificados no diretório atual e os subdiretórios.
/cContinua a operação apesar quaisquer erros de arquivo. Mensagens de erro ainda serão exibidas.
/lExecuta a operação em um link simbólico versus seu destino.
/qSuprime mensagens de êxito.
[/Save [/T] [/c] [/l] [/q]]Armazena DAcls para todos os arquivos correspondentes em ACLfile para uso posterior com /restauração.
[/setowner [/T] [/c] [/l] [/q]]Altera o proprietário de todos os arquivos correspondentes para o usuário especificado.
[/findSID [/T] [/c] [/l] [/q]]Localiza todos os arquivos correspondentes que contêm uma DACL explicitamente mencionar o identificador de segurança especificado (SID).
[/Verify [/T] [/C] [/L] [/Q]]Localiza todos os arquivos com Acls que não são canônico ou ter tamanhos inconsistentes com contagens ACE (entrada de controle de acesso).
[/Reset [/T] [/C] [/L] [/Q]]Substitui Acls com padrão herdado Acls para todos os arquivos correspondentes.
[/grant[:r] :[...]]Concede especificado direitos de acesso do usuário. Permissões de substituir as permissões explícitas anteriormente concedido.

Sem : r, as permissões são adicionadas a qualquer anteriormente concedido permissões explícitas.
[/Deny :[...]]Nega explicitamente os direitos de acesso do usuário especificado. Uma negação explícita ACE ser adicionada as permissões declarado e as mesmas permissões em qualquer conceder explícito são removidas.
[/ remover [: g & #124;: d]] [...]] [/T] [/C] [/L] [/Q]Remove todas as ocorrências do SID especificado a DACL.

: g remove todas as ocorrências de direitos concedidas para o SID especificado.

: d remove todas as ocorrências de direitos negados para o SID especificado.
[/ setintegritylevel[(CI)(OI)]:[...]]Adiciona explicitamente uma ACE de integridade para todos os arquivos correspondentes. Nível é especificado como:

- L[omo]
- M[édio]
- H[AL]

Opções de herança para a integridade ACE podem preceda o nível e sejam aplicadas somente a diretórios.
[/Substitute [...]]Substitui um SID existente (SidOld) com um novo SID (SidNew). Requer o directory parâmetro.
/Restore [/c] [/l] [/q]Aplica-se DAcls armazenadas de ACLfile aos arquivos no diretório especificado. Requer o directory parâmetro.

comentários

  • SIDs pode ser em qualquer forma de nome amigável ou numérica. Se você usar um formato numérico, fixar o caractere curinga \*para o início do SID.
  • icacls preserva a ordem canônica das entradas ACE como:
    • Negação explícita
    • Conceder explícito
    • Negação herdadas
    • Concede herdada
  • Perm é uma máscara de permissão que pode ser especificada em uma das seguintes formas:
    • Uma sequência de direitos simples:
      F (acesso completo)
      M (Modificar acesso)
      RX (leitura e execução de acesso)
      R (acesso somente leitura)
      L (acesso somente gravação)
    • Uma lista separada por vírgula entre parênteses direitos específicos:
      D (excluir)
      RC (controle de leitura)
      WDAC (Gravar DAC)
      WO (proprietário de escrever)
      S (Sincronizar)
      AS (acesso a segurança do sistema)
      MA (máximo)
      GR (genérico ler)
      GW (gravação genérica)
      GE (executar genérico)
      GA (todos os genérico)
      área de trabalho remota (diretório de dados/lista de leitura)
      WD (gravar o arquivo de dados/Adicionar)
      AD (acrescentar dados/adicionar subdiretório)
      REA (ler atributos estendidos)
      WEA (escrever atributos estendidos)
      X (executar/completa)
      DC (excluir filho)
      RA (ler atributos)
      WA (atributos de escrever)
  • Direitos de herança podem preceda seja Perm formulário e eles sejam aplicadas somente a diretórios:
    *(OI) **: Herdar do objeto
    **(CI) **: herdar de contêiner
    **(E/S) **: somente herança
    **(NP) **: não se propagam herdar
    ## Exemplos
    Para salvar as DAcls para todos os arquivos na C:\Windows directory and its subdirectories to the ACLFile file, digite:
    ```
    icacls c:\windows\
    /save aclfile /t
    Para restaurar as DAcls para cada arquivo dentro ACLFile que existe na C:\Windows directory and its subdirectories, digite:
    icacls c:\windows\ /restore aclfile
    Para conceder o usuário User1 excluir e permissões Gravar DAC em um arquivo chamado "Test1", digite:
    icacls test1 /grant User1:(d,wdac)
    Para conceder ao usuário definido por excluir SID S-1-1-0 e permissões Gravar DAC em um arquivo chamado "Test2", digite:
    icacls test2 /grant *S-1-1-0:(d,wdac)
    ```
    #### Referências adicionais
    Chave de sintaxe de linha de comando
© 2017 Microsoft