Comando cmd ICACLS

ICACLS nome /save fileACL [/T] [/C] [/L] [/Q]
    Archivia i DACL per i file e le cartelle corrispondenti a quelli specificati in fileACL per consentirne l'utilizzo con /restore in un secondo momento.
    Si noti che i SACL, i proprietari e le etichette di integrità non vengono salvati.

 

ICACLS directory [/substitute VecchioSID NuovoSID [...]] /restore fileACL
                 [/C] [/L] [/Q]
    Applica i DACL archiviati ai file nella directory specificata.

ICACLS nome /setowner utente [/T] [/C] [/L] [/Q]
    Cambia il proprietario di tutti i nomi corrispondenti. Questa opzione non forza la modifica del proprietario. Per tale scopo è possibile eseguire l'utilità takeown.exe.

ICACLS nome /findsid Sid [/T] [/C] [/L] [/Q]
    Trova tutti i nomi corrispondenti contenenti un ACL in cui il SID è indicato esplicitamente.

ICACLS nome /verify [/T] [/C] [/L] [/Q]
    Trova tutti i file il cui ACL non è in forma canonica o la cui lunghezza non è coerente con il numero delle voci di controllo di accesso.

ICACLS nome /reset [/T] [/C] [/L] [/Q]
    Sostituisce con gli ACL ereditati predefiniti gli ACL in tutti i file corrispondenti.

ICACLS nome [/grant[:r] SID:aut[...]]
       [/deny SID:aut [...]]
       [/remove[:g|:d]] SID[...]] [/T] [/C] [/L] [/Q]
       [/setintegritylevel Livello:criterio[...]]

    /grant[:r] SID:aut concede diritti di accesso all'utente specificato.
      Con :r, le autorizzazioni sostituiscono tutte le autorizzazioni esplicite concesse in precedenza.
        Senza :r, le autorizzazioni vengono aggiunte alle autorizzazioni esplicite concesse in precedenza.

    /deny SID:aut nega esplicitamente i diritti di accesso all'utente specificato. Per l'autorizzazione interessata viene aggiunta una voce di controllo di accesso di negazione esplicita e le stesse autorizzazioni vengono rimosse da tutte le eventuali concessioni esplicite.

    /remove[:[g|d]] SID rimuove tutte le occorrenze del SID nell'ACL.
        Con :g, vengono rimosse tutte le occorrenze dei diritti concessi al SID.
        Con :d, vengono rimosse tutte le occorrenze dei diritti negati al SID.

    /setintegritylevel [(CI)(OI)]Livello aggiunge esplicitamente
        una voce di controllo di accesso di integrità a tutti i file corrispondenti. Per specificare il livello, utilizzare uno dei valori seguenti:
            L - Basso
            M - Medio
            H - Alto
        Prima del livello è possibile specificare le opzioni relative all'ereditarietà della voce di controllo di accesso di integrità, che vengono applicate solo alle directory.

    /inheritance:e|d|r
        e - Abilità l'ereditarietà.
        d - Disabilità l'ereditarietà e copia le voci di controllo di accesso.
        r - Rimuove tutte le voci di controllo di accesso ereditate.


Nota:
    Il SID può essere espresso in forma numerica o come nome descrittivo. Se si utilizza la forma numerica, aggiungere un asterisco (*) all'inizio del SID.

 

    /T indica che l'operazione viene eseguita su tutti i file o le directory corrispondenti contenute nelle directory specificate dal nome.

    /C Indica che l'operazione deve continuare anche in caso di errori relativi ai file. I messaggi di errore verranno visualizzati comunque.

    /L indica che l'operazione viene eseguita sul collegamento simbolico stesso anziché sulla relativa destinazione.

    /Q indica che i messaggi relativi alle operazioni riuscite non devono essere visualizzati.

    ICACLS mantiene l'ordinamento canonico delle voci di controllo di accesso:
            Negazioni esplicite
            Concessioni esplicite
            Negazioni ereditate
            Concessioni ereditate

    aut è una maschera di autorizzazione che può essere specificata in due modi diversi:
        Come una sequenza di diritti di base:
                N - Nessun accesso
                F - Accesso completo
                M - Accesso in modifica
                RX - Accesso in lettura ed esecuzione
                R - Accesso in sola lettura
                W - Accesso in sola scrittura
                D - Eliminazione

        Come un elenco delimitato da virgole di diritti specifici tra parentesi:
                DE - Eliminazione
                RC - Controllo lettura
                WDAC - Scrittura DAC
                WO - Proprietario scrittura
                S - Sincronizzazione
                AS - Sicurezza sistema di accesso
                MA - Limite massimo
                GR - Lettura generica
                GW - Scrittura generica
                GE - Esecuzione generica
                GA - Completo generico
                RD - Lettura dati/elenco directory
                WD - Scrittura dati/aggiunta file
                AD - Aggiunta dati/aggiunta sottodirectory
                REA - Lettura attributi estesi
                WEA - Scrittura attributi estesi
                X - Esecuzione/transito
                DC - Eliminazione figlio
                RA - Lettura attributi
                WA - Scrittura attributi

        Entrambe le forme possono essere precedute dai diritti di ereditarietà, che vengono applicati solo alle directory:
                (OI) - Eredità oggetto
                (CI) - Eredità contenitore
                (IO) - Solo eredità
                (NP) - Non propagare eredità
                (I) - Autorizzazione ereditata da contenitore padre

 

Esempi:

        icacls c:\windows\* /save FileACL /T
        - Salva il FileACL gli ACL per tutti i file nel percorso c:\windows e nelle relative sottodirectory.

        icacls c:\windows\ /restore FileACL
        - Ripristina gli ACL per i singoli file specificati in FileACL ed esistenti in c:\windows e nelle relative sottodirectory.

        icacls file /grant Administrator:(D,WDAC)
        - Concede all'utente Administrator le autorizzazioni di eliminazione e scrittura DAC per il file.

        icacls file /grant *S-1-1-0:(D,WDAC)
        - Concede all'utente definito dal SID S-1-1-0 le autorizzazioni di eliminazione e scrittura DAC per il file.

 

elenco comandi dos >