ICACLS nazwa /save plik_ACL [/T] [/C] [/L] [/Q]
zachowuje poufne listy kontroli dostępu (DACL) w pliku aclfile
dla wszystkich plików i folderów zgodnych z nazwą, do późniejszego użycia
z opcją /restore. Systemowe listy kontroli dostępu (SACL), właściciel
i etykiety integralności nie są zapisywane.
ICACLS katalog [/substitute stary_Sid nowy_Sid [...]] /restore plik_ACL [/C]
[/L] [/Q]
stosuje zachowane listy DACL do plików w katalogu.
ICACLS nazwa /setowner użytkownik [/T] [/C] [/L] [/Q]
zmienia właściciela wszystkich plików o zgodnych nazwach. Ta opcja nie
wymusza zmiany prawa własności, w tym celu należy użyć narzędzia
takeown.exe.
ICACLS nazwa /findsid Sid [/T] [/C] [/L] [/Q]
wyszukuje wszystkie zgodne nazwy zawierające listy ACL jawnie wymieniające
identyfikator Sid.
ICACLS nazwa /verify [/T] [/C] [/L] [/Q]
wyszukuje wszystkie pliki, których listy ACL nie są w postaci kanonicznej
lub których długość jest niespójna z licznikami wpisów kontroli
dostępu (ACE).
ICACLS nazwa /reset [/T] [/C] [/L] [/Q]
zamienia listy ACL na domyślne listy ACL odziedziczone dla wszystkich
zgodnych plików.
ICACLS nazwa [/grant[:r] Sid:uprawnienie[...]]
[/deny Sid:uprawnienie [...]]
[/remove[:g|:d]] Sid[...]] [/T] [/C] [/L] [/Q]
[/setintegritylevel poziom:zasady[...]]
/grant[:r] Sid:uprawnienie nadaje określonemu użytkownikowi prawa dostępu.
Z opcją :r, uprawnienia zamieniają wszystkie nadane poprzednio jawne
uprawnienia. Bez opcji :r, uprawnienia są dodawane do nadanych
poprzednio jawnych uprawnień.
/deny Sid:uprawnienie jawnie odmawia określonemu użytkownikowi praw
dostępu. Wpis ACE z jawną odmową jest dodawany do zastanych uprawnień
i te same uprawnienia zostają usunięte z każdego jawnego nadania.
/remove[:[g|d]] Sid usuwa wszystkie wystąpienia identyfikatora Sid
z listy ACL. Z opcją :g usuwa wszystkie wystąpienia praw udzielonych
danemu identyfikatorowi Sid. Z opcją :d usuwa wszystkie wystąpienia
odmowy praw tego identyfikatora Sid.
/setintegritylevel [(CI)(OI)]poziom jawnie dodaje wpis ACE integralności
do wszystkich pasujących plików. Można określić następujący poziom:
L[ow]
M[edium]
H[igh]
Opcje dziedziczenia wpisu ACE integralności mogą poprzedzać poziom
i są stosowane tylko do katalogów.
/inheritance:e|d|r
e - włącza dziedziczenie
d - wyłącza dziedziczenie i kopiuje wpisy ACE
r - usuwa wszystkie odziedziczone wpisy ACE
Uwaga:
Identyfikatory Sid mogą być w postaci numerycznej lub w postaci przyjaznej
nazwy. Jeśli identyfikator SID jest w postaci numerycznej, na jego
początku należy dodać przedrostek *.
/T wskazuje, że operacja jest wykonywana na wszystkich zgodnych
plikach/katalogach poniżej katalogów określonych w nazwie.
/C wskazuje, że operacja będzie kontynuowana bez względu na błędy
dotyczące plików. Komunikaty o błędach nadal będą wyświetlane.
/L wskazuje, że operacja jest wykonywana na samym łączu symbolicznym
zamiast na elemencie docelowym.
/Q wskazuje, że polecenie icacls powinno ograniczać komunikaty
o powodzeniu.
Polecenie ICACLS zachowuje kanoniczną kolejność wpisów ACE:
Jawne odmowy
Jawne udzielenia
Odziedziczone odmowy
Odziedziczone udzielenia
Parametr uprawnienie oznacza maskę uprawnień i może zostać określony
w jednej z dwóch postaci:
sekwencja prostych praw:
N - brak dostępu
F - pełny dostęp
M - dostęp do modyfikowania
RX - dostęp do odczytu i wykonywania
R - dostęp tylko do odczytu
W - dostęp tylko do zapisu
D - dostęp do usuwania
lista określonych praw rozdzielanych przecinkami ujęta w nawiasy:
DE - usuwanie
RC - kontrola odczytu
WDAC - zapis DAC
WO - zapis właściciela
S - synchronizowanie
AS - dostęp zabezpieczeń systemu
MA - maksymalny dozwolony
GR - odczyt rodzajowy
GW - zapis rodzajowy
GE - wykonywanie rodzajowe
GA - wszelki dostęp rodzajowy
RD - odczyt danych/wyświetlanie katalogu
WD - zapis danych/dodawanie pliku
AD - dodawanie danych/dodawanie podkatalogu
REA - odczyt atrybutów rozszerzonych
WEA - zapis atrybutów rozszerzonych
X - wykonywanie/przechodzenie
DC - usuwanie elementu podrzędnego
RA - odczyt atrybutów
WA - zapis atrybutów
prawa do dziedziczenia mogą poprzedzać każdą z postaci i są stosowane
tylko do katalogów:
(OI) - dziedziczenie obiektu
(CI) - dziedziczenie kontenera
(IO) - tylko dziedziczenie
(NP) - bez propagowania dziedziczenia
(I) - uprawnienie odziedziczone z kontenera nadrzędnego
Przykłady:
icacls c:\windows\* /save plik_ACL /T
- spowoduje zapisanie list ACL wszystkich plików
z katalogu c:\windows i jego podkatalogów w pliku_ACL.
icacls c:\windows\ /restore plik_ACL
- spowoduje zachowanie list ACL dla każdego pliku
w pliku_ACL znajdujących się w katalogu c:\windows i jego
podkatalogach.
icacls plik /grant Administrator:(D,WDAC)
- spowoduje udzielenie użytkownikowi Administrator uprawnień do
usuwania i zapisu DAC dla danego pliku.
icacls plik /grant *S-1-1-0:(D,WDAC)
- spowoduje udzielenie użytkownikowi zdefiniowanemu przez
identyfikator SID S-1-1-0 uprawnień do usuwania i zapisu DAC
dla danego pliku.
źródło: Pomoc systemowa Microsoft Windows 7 (help icacls)