5. říjen 2020 Autor: Tibor
ICACLS název /save soubor_ACL [/T] [/C] [/L] [/Q] Uloží seznamy DACL pro všechny soubory a složky odpovídající názvu do souboru soubor_ACL pro pozdější použití s příkazem /restore. Seznamy SACL, vlastník nebo označení integrity se neuloží. ICACLS adresář [/substitute starý_identifikátor_SID nový_identifikátor_SID [...]] /restore soubor_ACL [/C] [/L] [/Q] Použije uložené seznamy DACL u souborů v adresáři. ICACLS název /setowner uživatel [/T] [/C] [/L] [/Q] Změní vlastníka všech odpovídajících názvů. Tato možnost nevynucuje změnu vlastnictví; pro tento účel použijte nástroj takeown.exe. ICACLS název /findsid identifikátor_SID [/T] [/C] [/L] [/Q] Vyhledá všechny odpovídající názvy obsahující ACL s explicitním uvedením identifikátoru SID. ICACLS název /verify [/T] [/C] [/L] [/Q] Vyhledá všechny soubory, jejichž seznam ACL není kanonický nebo jejichž délka není konzistentní s počty položek řízení přístupu. ICACLS název /reset [/T] [/C] [/L] [/Q] Nahradí seznamy ACL výchozími zděděnými seznamy ACL u všech odpovídajících souborů. ICACLS název [/grant[:r] Sid:perm[...]] [/deny Sid:perm [...]] [/remove[:g|:d]] Sid[...]] [/T] [/C] [/L] [/Q] [/setintegritylevel Level:policy[...]] /grant[:r] Sid:perm Udělí přístupová práva konkrétnímu uživateli. S atributem :r oprávnění nahradí všechna dříve udělená explicitní oprávnění. Bez atributu :r budou oprávnění přidána ke všem dříve uděleným explicitním oprávněním. /deny Sid:perm Explicitně odepře přístupová práva zadanému uživateli. Položka řízení přístupu (ACE) explicitního odepření je přidána k uvedeným oprávněním a jsou odebrána stejná oprávnění v každém explicitním udělení oprávnění. /remove[:[g|d]] identifikátor_SID Odebere všechny výskyty identifikátoru SID ze seznamu ACL. S atributem :g odebere všechny výskyty oprávnění udělených tomuto identifikátoru SID. S atributem :d odebere všechny výskyty práv odepřených tomuto identifikátoru SID. /setintegritylevel [(CI)(OI)]Level Explicitně přidá položku ACE integrity ke všem odpovídajícím souborům. Úroveň se zadává jako jedna z následujících hodnot: L[nízká], M[střední], H[vysoká]. Možnosti dědičnosti pro položku ACE integrity mohou této úrovni předcházet a používají se pouze u adresářů. /inheritance:e|d|r e - Povolí dědičnost. d - Zakáže dědičnost a zkopíruje položky ACE. r - Odebere všechny zděděné položky ACE. Poznámka: Identifikátory SID mohou být v číselném nebo snadno identifikovatelném formátu. Pokud je dána číselná forma, přidejte na začátek identifikátoru SID znak *. /T označuje, že se tato operace provádí u všech odpovídajících souborů/adresářů pod adresáři zadanými v názvu. /C označuje, že tato operace bude pokračovat u všech chyb souborů. Dále se budou zobrazovat chybové zprávy. /L označuje, že se tato operace provádí u vlastního symbolického odkazu vs. jeho cíl. /Q označuje, že funkce Icacls má potlačit zprávy o úspěšném provádění akcí. ICACLS zachovává kanonické pořadí položek řízení přístupu: explicitní odepření, explicitní udělení, zděděná odepření, zděděná oprávnění. perm je maska oprávnění a lze ji zadat v jedné ze dvou forem: pořadí jednoduchých práv: N - žádný přístup F - úplný přístup M - změněný přístup RX - přístup pro čtení a provádění R - přístup jen pro čtení W - přístup jen pro zápis D - přístup k odstranění seznam konkrétních práv oddělený čárkami uvedených v závorkách: DE - odstranění RC - kontrola čtení WDAC - zápis dat řízení přístupu WO - vlastník zápisu S - synchronizace AS - zabezpečení systému přístupu MA - povolené maximum GR - obecné čtení GW - obecný zápis GE - obecné provedení GA - obecná všechna práva RD - čtení dat/výpis adresáře WD - zápis dat/přidání souboru AD - připojení dat/přidání podadresáře REA - čtení rozšířených atributů WEA - zápis rozšířených atributů X - provést/přejít DC - odstranit podřízené RA - atributy pro čtení WA - atributy pro zápis Práva dědičnosti mohou předcházet jakékoli formě a jsou použita pouze u adresářů: (OI) - dědění objektu, (CI) - dědění kontejneru, (IO) - pouze dědění, (NP) - nepropagovat dědění. (I) - oprávnění zděděné z nadřazeného kontejneru Příklady: icacls c:\windows\* /save soubor_ACL /T - Uloží seznamy ACL pro všechny soubory ve složce c:\windows a jejích podadresářích do souboru soubor_ACL. icacls c:\windows\ /restore soubor_ACL - Obnoví seznamy ACL u každého souboru v souboru soubor_ACL, který je uložen v adresáři c:\windows a jeho podadresářích. icacls soubor /grant Administrator:(D,WDAC) - Udělí uživateli oprávnění správce pro odstranění a zápis dat řízení přístupu pro soubor. icacls soubor /grant *S-1-1-0:(D,WDAC) - Udělí uživateli definovanému identifikátorem SID oprávnění S-1-1-0 pro odstranění a zápis dat řízení přístupu pro soubor.