El comando icacls permite a un usuario ver y modificar una ACL. Este comando es similar al comando cacls disponible en versiones anteriores de Windows.
- Disponibilidad
- Sintaxis de Icacls
- Ejemplos de Icacls
Disponibilidad
Icacls es un comando externo y está disponible para los siguientes sistemas operativos de Microsoft como icacls.exe.
- Windows Vista
- Windows 7
- Windows 8
- Windows 10
Sintaxis
icacls nombre / guardar archivo [/ T] [/ C] [/ L] [/ Q]
Almacena las DACL para los archivos y carpetas que coinciden con el nombre en un archivo para su uso posterior con / restore. Tenga en cuenta que las etiquetas SACL, de propietario o de integridad no se guardan.
directorio icacls [/ sustituto SidOld SidNew […]] / restore aclfile [/ C] [/ L] [/ Q]
Aplica las DACL almacenadas a los archivos en el directorio .
icacls nombre / usuario de setowner [/ T] [/ C] [/ L] [/ Q]
Cambia el propietario de todos los nombres coincidentes. Esta opción no fuerza un cambio de propiedad; use la utilidad takeown.exe para ese propósito.
icacls nombre / FindSid Sid [/ T] [/ C] [/ L] [/ Q]
Encuentra todos los nombres coincidentes que contienen una ACL que menciona explícitamente a Sid.
icacls nombre / verificar [/ T] [/ C] [/ L] [/ Q]
Encuentra todos los archivos cuya ACL no está en forma canónica o cuyas longitudes son inconsistentes con los recuentos de ACE.
icacls nombre / reset [/ T] [/ C] [/ L] [/ Q]
Reemplaza las ACL con ACL heredadas predeterminadas para todos los archivos coincidentes.
icacls nombre [/ grant [: r] Sid : perm […]] [/ deny Sid : perm […]] [/ remove [: g | : d]] [ Sid […]] [/ T] [/ C] [/ L] [/ Q] [/ setintegritylevel Nivel : política […]]
/ grant [: r] Sid : permanente | Otorga los derechos de acceso de usuario especificados. Con : r, los permisos reemplazan cualquier permiso explícito previamente otorgado. Sin : r, los permisos se agregan a cualquier permiso explícito previamente otorgado. |
/ negar Sid : permanente | Niega explícitamente los derechos de acceso de usuario especificados. Se agrega un ACE de denegación explícito para los permisos establecidos y se eliminan los mismos permisos en cualquier concesión explícita. |
/ eliminar [: [g | d]] Sid | Elimina todas las apariciones de Sid en la ACL. Con : g, elimina todos los casos de derechos otorgados a ese Sid . Con : d, elimina todos los casos de derechos denegados a ese Sid . |
/ setintegritylevel [(CI) (OI)] Nivel |
Agrega explícitamente un ACE de integridad a todos los archivos coincidentes. El nivel se especificará como uno de: L [ow] M [edium] H [igh] Las opciones de herencia para la integridad ACE pueden preceder al nivel y se aplican solo a los directorios. |
/ herencia: e | d | r | e - Habilita la herencia.
d - Deshabilita la herencia y copia las ACE. r: elimina todas las ACE heredadas. |
Nota
Los lados pueden estar en forma de nombre numérico o descriptivo. Si se da una forma numérica, prefija el Sid con un asterisco (*).
/ T | Indica que esta operación se realiza en todos los archivos / directorios coincidentes debajo de los directorios especificados en el nombre. |
/C | Indica que esta operación continúa en todos los errores de archivo. Todavía se muestran mensajes de error. |
/ L | Indica que para cualquier enlace simbólico encontrado, esta operación debe realizarse en el enlace simbólico mismo, en lugar de en su objetivo. |
/ Q | Indica que icacls debería suprimir los mensajes de éxito. |
ICACLS conserva el ordenamiento canónico de las entradas ACE:
- Negaciones explícitas.
- Subvenciones explícitas.
- Negaciones heredadas.
- Subvenciones heredadas.
La máscara de permiso permanente se puede especificar como una secuencia de derechos simples:
- N: sin acceso.
- F: acceso completo.
- M: modificar el acceso.
- RX: leer y ejecutar el acceso.
- R: acceso de solo lectura.
- W: acceso de solo escritura.
- D: eliminar acceso.
Alternativamente, perm puede especificarse como una lista separada por comas de derechos específicos, entre paréntesis:
- DE: eliminar.
- RC: control de lectura.
- WDAC: escriba DAC.
- WO: escribir propietario.
- S: sincronizar.
- AS: seguridad del sistema de acceso.
- MA: máximo permitido.
- GR: lectura genérica.
- GW: escritura genérica.
- GE: ejecución genérica.
- GA: genérico todo.
- RD: leer el directorio de datos / lista.
- WD: escribir datos / agregar archivo.
- AD: agregar datos / agregar subdirectorio.
- REA: leer atributos extendidos.
- WEA: escribe atributos extendidos.
- X: ejecutar / atravesar.
- DC: eliminar hijo.
- RA: leer atributos.
- WA: escribir atributos.
Los derechos de herencia pueden preceder a cualquiera de las formas, y se aplican solo a los directorios:
- (OI): el objeto hereda.
- (CI): contenedor heredado.
- (IO): heredar solo.
- (NP): no propagar heredar.
- (I): permiso heredado del contenedor principal.