Comando icacls da linha de comando do MS-DOS e do Windows
O comando icacls permite que um usuário visualize e modifique uma ACL. Este comando é semelhante ao comando cacls disponível nas versões anteriores do Windows.
Disponibilidade
Icacls é um comando externo e está disponível para os seguintes sistemas operacionais da Microsoft como icacls.exe.
- Windows Vista
- Windows 7
- Windows 8
- Windows 10
Sintaxe icacls
icacls name /save aclfile [/T] [/C] [/L] [/Q]
Armazena as DACLs para os arquivos e pastas que correspondem ao nome em aclfile para uso posterior com \/restore. Observe que SACLs, proprietário ou rótulos de integridade não são salvos.
icacls directory [/substitute SidOld SidNew [...]] /restore aclfile [/C] [/L] [/Q]
Aplica as DACLs armazenadas a arquivos no diretório.
icacls name /setowner user [/T] [/C] [/L] [/Q]
Altera o proprietário de todos os nomes correspondentes. Esta opção não força uma mudança de propriedade; use o utilitário takeown.exe para esse fim.
icacls name /findsid Sid [/T] [/C] [/L] [/Q]
Encontra todos os nomes correspondentes que contêm uma ACL mencionando explicitamente Sid.
icacls name /verify [/T] [/C] [/L] [/Q]
Encontra todos os arquivos cujo ACL não está na forma canônica ou cujos comprimentos são inconsistentes com as contagens de ACE.
icacls name /reset [/T] [/C] [/L] [/Q]
Substitui ACLs por ACLs herdados padrão para todos os arquivos correspondentes.
icacls name [/grant[:r] Sid:perm[...]] [/deny Sid:perm [...]] [/remove[:g|:d]] [Sid[...]] [/T] [/C] [/L] [/Q] [/setintegritylevel Level:policy[...]]
/conceder[:r] Sid: permanente |
Concede direitos de acesso ao usuário especificado. Com: r, as permissões substituem quaisquer permissões explícitas concedidas anteriormente. Sem: r, as permissões são adicionadas a quaisquer permissões explícitas concedidas anteriormente. |
\/negar Sid: perm |
Nega explicitamente os direitos de acesso do usuário especificado. Uma ACE de negação explícita é adicionada para as permissões declaradas e as mesmas permissões em qualquer concessão explícita são removidas. |
/retirar[:[g|d]]Sid |
Remove todas as ocorrências de Sid na ACL. Com: g, ele remove todas as ocorrências de direitos concedidos a esse Sid. Com: d, ele remove todas as ocorrências de direitos negados a esse Sid. |
\/setintegritylevel [(CI)(OI)]Nível |
Adiciona explicitamente uma ACE de integridade a todos os arquivos correspondentes. O nível deve ser especificado como um dos seguintes: As opções de herança para a ACE de integridade podem preceder o nível e são aplicadas apenas a diretórios. |
\/herança: e | d | r |
e – Ativa a herança. |
Sids podem estar na forma de nome numérico ou amigável. Se for fornecida uma forma numérica, prefixe o Sid com um asterisco
. | \/T |
Indica que esta operação é executada em todos os arquivos \/diretórios correspondentes abaixo dos diretórios especificados no nome. | \/C |
Indica que esta operação continua em todos os erros de arquivo. As mensagens de erro ainda são mostradas. | /EU |
Indica que, para quaisquer links simbólicos encontrados, esta operação deve ser executada no próprio link simbólico, em vez de em seu destino. | \/Q |
Indica que icacls deve suprimir mensagens de sucesso.
- ICACLS preserva a ordem canônica de entradas ACE:
- Negações explícitas.
- Concessões explícitas.
- Negações herdadas.
Subsídios herdados.
-
A máscara de permissão permanente pode ser especificada como uma sequência de direitos simples:
-
N: sem acesso.
-
F: acesso total.
-
M: modificar o acesso.
-
RX: acesso de leitura e execução.
-
R: acesso somente leitura.
-
W: acesso somente gravação.
D: excluir acesso.
-
Alternativamente, perm pode ser especificado como uma lista separada por vírgulas de direitos específicos, entre parênteses:
-
DE: excluir.
-
RC: controle de leitura.
-
WDAC: escreva DAC.
-
WO: escrever proprietário.
-
S: sincronizar.
-
AS: acesso à segurança do sistema.
-
MA: máximo permitido.
-
GR: leitura genérica.
-
GW: gravação genérica.
-
GE: execução genérica.
-
GA: genérico tudo.
-
RD: lê o diretório de dados \/lista.
-
WD: grava dados \/adiciona arquivo.
-
AD: anexar dados \/adicionar subdiretório.
-
REA: leia atributos estendidos.
-
WEA: escrever atributos estendidos.
-
X: executar \/atravessar.
-
DC: excluir filho.
-
RA: ler atributos.
WA: escrever atributos.
-
Os direitos de herança podem preceder qualquer um dos formulários e são aplicados apenas aos diretórios:
-
(OI): objeto herdado.
-
(CI): herança do contêiner.
-
(IO): herdar apenas.
-
(NP): não propaga herança.
(I): permissão herdada do container pai.
icacls c:windows* /save ACLfile /T
Exemplos icacls
icacls c:windows /restore ACLfile
Salve as ACLs de todos os arquivos em c: windows e qualquer um de seus subdiretórios em ACLfile.
icacls file /grant Administrator:(D,WDAC)
Restaure as ACLs para cada arquivo dentro do ACLfile existente em c: windows e em qualquer um de seus subdiretórios.
icacls file /grant *S-1-1-0:(D,WDAC)
Concederá ao usuário Administrador as permissões Excluir e Gravar DAC no arquivo.
Conceda ao usuário definido por sid S-1-1-0 as permissões Excluir e Gravar DAC no arquivo.
0 Comments