请输入您要查询的百科知识:

 

词条 cacls
释义

显示或修改任意访问控制列表 (ACL) 文件。

语法

cacls FileName [/t] [/e] [/c] [/g User:permission] [/r User [...]] [/p User:permission [...]] [/d User [...]]

参数

FileName

必需。显示指定文件的 ACL。

/t

更改当前目录和所有子目录中指定文件的 ACL。

/e

编辑 ACL,而不是替换它。

/c

忽略错误,继续修改 ACL。

/g User:permission

将访问权限授予指定用户。下表列出了 permission 的有效值。 值 说明

n 无

r 阅读顺序

w 写入

c 更改(写入)

F 完全控制

/r user

取消指定用户的访问权限。

/p User:permission

替代指定用户的访问权限。下表列出了 permission 的有效值。 值 说明

n 无

r 阅读顺序

w 写入

c 更改(写入)

F 完全控制

/d user

拒绝指定用户的访问。

/?

在命令提示符显示帮助。

注释

使用下表解释输出结果。 输出 ACE 的适用于

OI 此文件夹和文件

CI 此文件夹和子文件夹

IO ACE 不适用于当前文件/目录。

没有输出消息 仅此文件夹

(IO)(CI) 此文件夹、子文件夹和文件

(OI)(CI)(IO) 仅子文件夹和文件

(CI)(IO) 仅子文件夹

(OI)(IO) 仅文件

使用通配符(? 和 *)可以指定多个文件。

可以指定多个用户。

例如:cacls d:\\game /p everyone:n

cacls c:\\windows\\system32\\cmd.exe /e /d guests //禁止guests组用户使用cmd.exe

cacls c:\\windows\\system32\\cmd.exe /e /r users //解禁。

允许guests组用户使用cmd.exe /d user /e /r user 拒绝指定用户的访问。

编辑 ACL,而不是替换它。取消指定用户的访问权限。

cacls c:\\test /p administrator :N 拒绝 administrator 用户(超及管理用户)访问C盘下的test文件夹

cacls c:\\test /p administrator:F 恢复 administrator用户对其的访问 值得注意的是,在使用cacls命令对某一盘符设置了对administrator拒绝访问后,再说使用

cacls c: /p administrator:F 命令恢复权限已经不可行了,只得重新还原或重做一个系统,为此,当特别谨慎,尤其是 在对某一盘符进行操作时。

ICACLS name /save aclfile [/T] [/C] [/L] [/Q]

将匹配名称的文件和文件夹的 DACL 存储到 aclfile 中以便将来与 /restore 一起使用。请注意,未保存 SACL、所有者或完整性标签。

ICACLS directory [/substitute SidOld SidNew [...]] /restore aclfile

[/C] [/L] [/Q] 将存储的 DACL 应用于目录中的文件。

ICACLS name /setowner user [/T] [/C] [/L] [/Q] 更改所有匹配名称的所有者。该选项不会强制更改所有身份; 使用 takeown.exe 实用程序可实现该目的。

ICACLS name /findsid Sid [/T] [/C] [/L] [/Q] 查找包含显式提及 SID 的 ACL 的所有匹配名称。 ICACLS name /verify [/T] [/C] [/L] [/Q] 查找其 ACL 不规范或长度与 ACE 计数不一致的所有文件。

ICACLS name /reset [/T] [/C] [/L] [/Q] 为所有匹配文件使用默认继承的 ACL 替换 ACL。

ICACLS name [/grant[:r] Sid:perm[...]]

[/deny Sid:perm [...]]

[/remove[:g|:d]] Sid[...]] [/T] [/C] [/L]

[/setintegritylevel Level:policy[...]]

/grant[:r] Sid:perm 授予指定的用户访问权限。如果使用 :r,

这些权限将替换以前授予的所有显式权限。

如果不使用 :r,这些权限将添加到以前授予的所有显式权限。

/deny Sid:perm 显式拒绝指定的用户访问权限。

将为列出的权限添加显式拒绝 ACE,

并删除所有显式授予的权限中的相同权限。

/remove[:[g|d]] Sid 删除 ACL 中所有出现的 SID。使用

:g,将删除授予该 SID 的所有权限。使用

:d,将删除拒绝该 SID 的所有权限。

/setintegritylevel [(CI)(OI)] 级别将完整性 ACE 显式添加到所有匹配文件。

要指定的级别为以下级别之一:

L[ow]

M[edium]

H[igh]

完整性 ACE 的继承选项可以优先于级别,但只应用于目录。

/inheritance:e|d|r

e - 启用继承

d - 禁用继承并复制 ACE

r - 删除所有继承的 ACE

注意:

Sid 可以采用数字格式或友好的名称格式。如果给定数字格式,那么请在 SID 的开头添加一个 *。

/T 指示在以该名称指定的目录下的所有匹配文件/目录上执行此操作。

/C 指示此操作将在所有文件错误上继续进行。仍将显示错误消息。

/L 指示此操作在符号链接本身而不是其目标上执行。

/Q 指示 icacls 应该禁止显示成功消息。

ICACLS 保留 ACE 项的规范顺序:

显式拒绝

显式授予

继承的拒绝

继承的授予

perm 是权限掩码,可以两种格式之一指定:

简单权限序列: N - 无访问权限 F - 完全访问权限 M - 修改权限 RX - 读取和执行权限 R - 只读权限 W - 只写权限 D - 删除权限

在括号中以逗号分隔的特定权限列表:

DE - 删除 RC - 读取控制 WDAC - 写入 DAC

WO - 写入所有者 S - 同步 AS - 访问系统安全性 MA - 允许的最大值 GR - 一般性读取 GW - 一般性写入 GE - 一般性执行 GA - 全为一般性 RD - 读取数据/列出目录 WD - 写入数据/添加文件 AD - 附加数据/添加子目录

REA - 读取扩展属性 WEA - 写入扩展属性 X - 执行/遍历 DC - 删除子项 RA - 读取属性 WA - 写入属性

继承权限可以优先于每种格式,但只应用于目录:

(OI) - 对象继承 (CI) - 容器继承 (IO) - 仅继承 (NP) - 不传播继承 (I) - 从父容器继承的权限

示例:

icacls c:\\windows\\* /save AclFile /T

- 将 c:\\windows 及其子目录下所有文件的ACL 保存到 AclFile。

icacls c:\\windows\\ /restore AclFile

- 将还原 c:\\windows 及其子目录下存在的 AclFile 内所有文件的 ACL。

icacls file /grant Administrator:(D,WDAC)

- 将授予用户对文件删除和写入 DAC 的管理员权限。

icacls file /grant *S-1-1-0:(D,WDAC)

- 将授予由 sid S-1-1-0 定义的用户对文件删除和写入 DAC 的权限。

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/23 19:45:22