icacls命令,显示、修改、备份或还原文件和目录的 ACL
icacls /? ---查看官方帮助文档对ICACLS的解释说明
icacls <FileName> [/grant[:r] <Sid>:<Perm>[...]] [/deny <Sid>:<Perm>[...]] [/remove[:g|:d]] <Sid>[...]] [/t] [/c] [/l] [/q] [/setintegritylevel <Level>:<Policy>[...]]
icacls <Directory> [/substitute <SidOld> <SidNew> [...]] [/restore <ACLfile> [/c] [/l] [/q]]
参数
| 参数 | 说明 | |
|---|---|---|
| <FileName> |
指定要为其显示 Dacl 的文件。 |
|
| <Directory> |
指定要为其显示 Dacl 的目录。 |
|
| /t |
执行当前目录及其子目录中的所有指定文件上的操作。 |
|
| /c |
继续操作而不考虑文件的任何错误。 仍将显示错误消息。 |
|
| /l |
执行上一个符号链接,而不是其目标的操作。 |
|
| /q |
禁止显示成功消息。 |
|
| [/save <ACLfile>[] /t[] /c[] /l[/q]] |
将 Dacl 所有匹配的文件存储到ACLfile 以便稍后使用/restore。 |
|
| [/ setowner <Username>[] /t[] /c[] /l[/q]] |
改为指定的用户匹配的所有文件的所有者。 |
|
| [/ findSID <Sid>[] /t[] /c[] /l[/q]] |
查找所有匹配的文件包含 DACL 明确涉及指定的安全标识符 (SID)。 |
|
| [/verify [/t] [/c] [/l] [/q]] |
查找所有具有不规范或有长度与 ACE (访问控制条目) 计数不一致的 Acl 的文件。 |
|
| [/reset [/t] [/c] [/l] [/q]] |
用默认值替换 Acl 继承 Acl 的所有匹配的文件。 |
|
| [/grant [: r] <Sid>: <Perm> [...]] |
授予指定用户的访问权限。 权限替换以前的显式授予的权限。 不带: r,添加到以前被显式权限授予任何权限。 |
|
| [/deny <Sid>: <Perm> [...]] |
显式拒绝指定的用户的访问权限。 显式拒绝 ACE 的规定的权限将被添加,删除在任何显式授予的权限。 |
|
| [/remove [:g|:d]] <Sid> [...]][] /t[] /c[] /l[] /q |
从 DACL 中移除指定的 SID 的所有匹配项。 : g中删除指定的 sid 授予的权限的所有匹配项。 : d中删除指定的 SID 被拒绝的权限的所有匹配项。 |
|
| [/ setintegritylevel [(CI)(OI)] <Level>: <Policy> [...]] |
显式 ACE 完整性向所有匹配的文件。level 指定为:
完整性 ACE 的继承选项可能位于之前级别,并且只应用于目录。 |
|
| [/substitute <SidOld><SidNew>[...]] |
现有的 SID (SidOld) 替换为一个新的 SID (SidNew)。 需要direcroty参数。 |
|
| /restore <ACLfile>[/c][/l][/q] |
将存储的 Dacl 从ACLfile应用到指定的目录中的文件。 需要directory参数。 |
|
注意
Sid 可以采用数字格式或友好的名称格式。如果给定数字格式,那么请在 SID 的开头添加一个 *。
/T 指示在以该名称指定的目录下的所有匹配文件/目录上执行此操作。
/C 指示此操作将在所有文件错误上继续进行。仍将显示错误消息。
/L 指示此操作在符号链接本身而不是其目标上执行。
/Q 指示 icacls 应该禁止显示成功消息。
ICACLS 保留 ACE 项的规范顺序:
显式拒绝
显式授予
继承的拒绝
继承的授予
perm 是权限掩码,可以两种格式之一指定:
简单权限序列:
N - 无访问权限
F - 完全访问权限
M - 修改权限
RX - 读取和执行权限
R - 只读权限
W - 只写权限
D - 删除权限
在括号中以逗号分隔的特定权限列表:
DE - 删除
RC - 读取控制
WDAC - 写入 DAC
WO - 写入所有者
S - 同步
AS - 访问系统安全性
MA - 允许的最大值
GR - 一般性读取
GW - 一般性写入
GE - 一般性执行
GA - 全为一般性
RD - 读取数据/列出目录
WD - 写入数据/添加文件
AD - 附加数据/添加子目录
REA - 读取扩展属性
WEA - 写入扩展属性
X - 执行/遍历
DC - 删除子项
RA - 读取属性
WA - 写入属性
继承权限可以优先于每种格式,但只应用于目录:
(OI) - 对象继承
(CI) - 容器继承
(IO) - 仅继承
(NP) - 不传播继承
(I) - 从父容器继承的权限