ICACLS nome /save fileACL [/T] [/C] [/L] [/Q]
Archivia i DACL per i file e le cartelle corrispondenti a quelli specificati in fileACL per consentirne l'utilizzo con /restore in un secondo momento.
Si noti che i SACL, i proprietari e le etichette di integrità non vengono salvati.
ICACLS directory [/substitute VecchioSID NuovoSID [...]] /restore fileACL
[/C] [/L] [/Q]
Applica i DACL archiviati ai file nella directory specificata.
ICACLS nome /setowner utente [/T] [/C] [/L] [/Q]
Cambia il proprietario di tutti i nomi corrispondenti. Questa opzione non forza la modifica del proprietario. Per tale scopo è possibile eseguire l'utilità takeown.exe.
ICACLS nome /findsid Sid [/T] [/C] [/L] [/Q]
Trova tutti i nomi corrispondenti contenenti un ACL in cui il SID è indicato esplicitamente.
ICACLS nome /verify [/T] [/C] [/L] [/Q]
Trova tutti i file il cui ACL non è in forma canonica o la cui lunghezza non è coerente con il numero delle voci di controllo di accesso.
ICACLS nome /reset [/T] [/C] [/L] [/Q]
Sostituisce con gli ACL ereditati predefiniti gli ACL in tutti i file corrispondenti.
ICACLS nome [/grant[:r] SID:aut[...]]
[/deny SID:aut [...]]
[/remove[:g|:d]] SID[...]] [/T] [/C] [/L] [/Q]
[/setintegritylevel Livello:criterio[...]]
/grant[:r] SID:aut concede diritti di accesso all'utente specificato.
Con :r, le autorizzazioni sostituiscono tutte le autorizzazioni esplicite concesse in precedenza.
Senza :r, le autorizzazioni vengono aggiunte alle autorizzazioni esplicite concesse in precedenza.
/deny SID:aut nega esplicitamente i diritti di accesso all'utente specificato. Per l'autorizzazione interessata viene aggiunta una voce di controllo di accesso di negazione esplicita e le stesse autorizzazioni vengono rimosse da tutte le eventuali concessioni esplicite.
/remove[:[g|d]] SID rimuove tutte le occorrenze del SID nell'ACL.
Con :g, vengono rimosse tutte le occorrenze dei diritti concessi al SID.
Con :d, vengono rimosse tutte le occorrenze dei diritti negati al SID.
/setintegritylevel [(CI)(OI)]Livello aggiunge esplicitamente
una voce di controllo di accesso di integrità a tutti i file corrispondenti. Per specificare il livello, utilizzare uno dei valori seguenti:
L - Basso
M - Medio
H - Alto
Prima del livello è possibile specificare le opzioni relative all'ereditarietà della voce di controllo di accesso di integrità, che vengono applicate solo alle directory.
/inheritance:e|d|r
e - Abilità l'ereditarietà.
d - Disabilità l'ereditarietà e copia le voci di controllo di accesso.
r - Rimuove tutte le voci di controllo di accesso ereditate.
Nota:
Il SID può essere espresso in forma numerica o come nome descrittivo. Se si utilizza la forma numerica, aggiungere un asterisco (*) all'inizio del SID.
/T indica che l'operazione viene eseguita su tutti i file o le directory corrispondenti contenute nelle directory specificate dal nome.
/C Indica che l'operazione deve continuare anche in caso di errori relativi ai file. I messaggi di errore verranno visualizzati comunque.
/L indica che l'operazione viene eseguita sul collegamento simbolico stesso anziché sulla relativa destinazione.
/Q indica che i messaggi relativi alle operazioni riuscite non devono essere visualizzati.
ICACLS mantiene l'ordinamento canonico delle voci di controllo di accesso:
Negazioni esplicite
Concessioni esplicite
Negazioni ereditate
Concessioni ereditate
aut è una maschera di autorizzazione che può essere specificata in due modi diversi:
Come una sequenza di diritti di base:
N - Nessun accesso
F - Accesso completo
M - Accesso in modifica
RX - Accesso in lettura ed esecuzione
R - Accesso in sola lettura
W - Accesso in sola scrittura
D - Eliminazione
Come un elenco delimitato da virgole di diritti specifici tra parentesi:
DE - Eliminazione
RC - Controllo lettura
WDAC - Scrittura DAC
WO - Proprietario scrittura
S - Sincronizzazione
AS - Sicurezza sistema di accesso
MA - Limite massimo
GR - Lettura generica
GW - Scrittura generica
GE - Esecuzione generica
GA - Completo generico
RD - Lettura dati/elenco directory
WD - Scrittura dati/aggiunta file
AD - Aggiunta dati/aggiunta sottodirectory
REA - Lettura attributi estesi
WEA - Scrittura attributi estesi
X - Esecuzione/transito
DC - Eliminazione figlio
RA - Lettura attributi
WA - Scrittura attributi
Entrambe le forme possono essere precedute dai diritti di ereditarietà, che vengono applicati solo alle directory:
(OI) - Eredità oggetto
(CI) - Eredità contenitore
(IO) - Solo eredità
(NP) - Non propagare eredità
(I) - Autorizzazione ereditata da contenitore padre
Esempi:
icacls c:\windows\* /save FileACL /T
- Salva il FileACL gli ACL per tutti i file nel percorso c:\windows e nelle relative sottodirectory.
icacls c:\windows\ /restore FileACL
- Ripristina gli ACL per i singoli file specificati in FileACL ed esistenti in c:\windows e nelle relative sottodirectory.
icacls file /grant Administrator:(D,WDAC)
- Concede all'utente Administrator le autorizzazioni di eliminazione e scrittura DAC per il file.
icacls file /grant *S-1-1-0:(D,WDAC)
- Concede all'utente definito dal SID S-1-1-0 le autorizzazioni di eliminazione e scrittura DAC per il file.
elenco comandi dos >