Anzeigen, Ändern, Sichern oder Wiederherstellen von ACLs für Dateien und Verzeichnisse.
ICACLS name /save aclfile [/T] [/C] [/L] [/Q]
Speichert die DACLs für die Dateien und Ordner mit übereinstimmendem Namen
zur späteren Verwendung mit "/restore" in der ACL-Datei. SACLs,
Besitzer oder Integritätsbezeichnungen werden nicht gespeichert.
ICACLS Verzeichnis [/substitute SidOld SidNew […]] /restore aclfile
[/C] [/L] [/Q]
Wendet die gespeicherten ACLs auf die Dateien im Verzeichnis an.
ICACLS name /setowner user [/T] [/C] [/L] [/Q]
Ändert den Besitzer für alle übereinstimmenden Namen. Diese Option
erzwingt keine Änderung der Besitzrechte. Verwenden Sie dazu das
Dienstprogramm takeown.exe.
ICACLS name /findsid Sid [/T] [/C] [/L] [/Q]
Findet alle übereinstimmenden Namen, die eine ACL enthalten,
in der die SID explizit erwähnt wird.
ICACLS name /verify [/T] [/C] [/L] [/Q]
Findet alle Dateien, deren ACL kein kanonisches Format aufweist oder deren
Länge nicht mit der ACE-Anzahl übereinstimmt.
ICACLS name /reset [/T] [/C] [/L] [/Q]
Ersetzt die ACLs für alle übereinstimmenden Dateien durch standardmäßige
vererbte ACLs.
ICACLS name [/grant[:r] Sid:perm[…]]
[/deny Sid:perm […]]
[/remove[:g|:d]] Sid[…]] [/T] [/C] [/L] [/Q]
[/setintegritylevel Level:policy[…]]
/grant[:r] Sid:perm gewährt die angegebenen Benutzerzugriffsrechte. Mit :r
ersetzen die Berechtigungen alle zuvor gewährten expliziten
Berechtigungen. Ohne :r, werden die Berechtigungen beliebigen zuvor
gewährten expliziten Berechtigungen hinzugefügt.
/deny Sid:perm verweigert die angegebenen Benutzerzugriffsrechte explizit.
Eine explizit verweigerte ACE wird für die angegebenen Berechtigungen
hinzugefügt, und die gleichen Berechtigungen in einer expliziten
Berechtigung werden entfernt.
/remove[:[g|d]] Sid entfernt alle Vorkommen gewährter Rechten für diese
SID. Mit:g, werden alle Vorkommen von gewährten Rechten für diese
entfernt. Mit :d, werden alle Vorkommen von verweigerten
Rechten für diese SID entfernt.
/setintegritylevel [(CI)(OI)]Level fügt allen übereinstimmenden Dateien
explizit eine Integritäts-ACE hinzu. Die Ebene wird mit einem der
folgenden Werte angegeben:
L[ow]
M[edium]
H[igh]
Vererbungsoptionen für die Integritäts-ACE können vor der Ebene stehen
und werden nur auf Verzeichnisse angewendet.
/inheritance:e|d|r
e – aktiviert die Vererbung.
d – deaktiviert die Vererbung und kopiert die ACEs.
r – entfernt alle vererbten ACEs.
Hinweis:
SIDs können im numerischen Format oder als Anzeigenamen angegeben werden.
Fügen Sie beim numerischen Format ein * am Anfang der SID hinzu.
/T gibt an, dass dieser Vorgang für alle übereinstimmenden
Dateien/Verzeichnisse ausgeführt wird, die den im Namen angegebenen
Verzeichnissen untergeordnet sind.
/C gibt an, dass dieser Vorgang bei allen Dateifehlern fortgesetzt wird.
Fehlermeldungen werden weiterhin angezeigt.
/L gibt an, dass dieser Vorgang für einen symbolischen Link
anhand seines Ziels ausgeführt wird.
/Q gibt an, dass ICACLS Erfolgsmeldungen unterdrücken soll.
ICACLS behält die kanonische Sortierung der ACE-Einträge bei:
Explizite Verweigerungen
Explizite Berechtigungen
Vererbte Verweigerungen
Vererbte Berechtigungen
perm ist eine Berechtigungsmaske und kann in einem von zwei Formaten
angegeben werden:
Eine Folge von einfachen Rechten:
N – Kein Zugriff
F – Vollzugriff
M – Änderungszugriff
RX – Lese- und Ausführungszugriff
R – Schreibgeschützter Zugriff
W – Lesegeschützter Zugriff
D – Löschzugriff
Eine in Klammern stehende kommagetrennte Liste von bestimmten Rechten:
DE – Löschen
RC – Lesesteuerung
WDAC – DAC schreiben
WO – Besitzer schreiben
S – Synchronisieren
AS – Systemsicherheitszugriff
MA – Maximal zulässig
GR – Allgemeiner Lesezugriff
GW – Allgemeiner Schreibzugriff
GE – Allgemeiner Ausführungszugriff
GA – Allgemeiner Zugriff (alle)
RD – Daten lesen/Verzeichnis auflisten
WD – Daten schreiben/Datei hinzufügen
AD – Daten anfügen/Unterverzeichnis hinzufügen
REA – Erweiterte Attribute lesen
WEA – Erweiterte Attribute schreiben
X – Ausführen/Durchsuchen
DC – Untergeordnetes Element löschen
RA – Attribute lesen
WA – Attribute schreiben
Die Vererbungsrechte können beiden Formaten vorangestellt werden
und werden nur auf Verzeichnisse angewendet:
(OI) – Objektvererbung
(CI) – Containervererbung
(IO) – Nur vererben
(NP) – Vererbung nicht verteilen
(I) – Vom übergeordneten Container vererbte Berechtigung
Beispiele:
icacls c:\windows\* /save AclFile /T
– Speichert die ACLs für alle Dateien unter "c:\windows"
und in den dazu-
gehörigen Unterverzeichnissen in der ACL.
icacls c:\windows\ /restore AclFile
– Stellt die ACLs für alle Dateien in der
ACL-Datei wieder her, die unter "c:\windows" und in den dazuge-
hörigen Unterverzeichnissen vorhanden sind.
icacls file /grant Administrator:(D,WDAC)
– Gewährt dem Benutzer mit Administratorrechten die Berechtigungen
"DAC löschen" und "DAC schreiben" für die Datei.
icacls file /grant *S-1-1-0:(D,WDAC)
– Gewährt dem durch die SID S-1-1-0 definierten Benutzer die
Berechtigungen "DAC löschen" und "DAC schreiben" für die Datei.
Hinterlasse einen Kommentar
Du musst angemeldet sein, um einen Kommentar schreiben zu können.