用于显示或修改指定文件的 DACL

使用

  1. icacls <filename> [/grant[:r] <sid>:<perm>[...]] [/deny <sid>:<perm>[...]] [/remove[:g|:d]] <sid>[...]] [/t] [/c] [/l] [/q] [/setintegritylevel <Level>:<policy>[...]]
  2. icacls <directory> [/substitute <sidold> <sidnew> [...]] [/restore <aclfile> [/c] [/l] [/q]]

选项 <perm> 是一个权限掩码,可在以下格式之一中指定:

  • 一系列简单权限 (基本权限) :
    • F - 完全访问权限
    • M- 修改访问权限
    • RX - 读取和执行访问权限
    • R - 只读访问
    • W - 仅写访问
  • 特定权限的括号中以逗号分隔的列表 (高级权限) :
    • D - 删除
    • RC - 读取控制 (读取权限)
    • WDAC - 写入 DAC (更改权限)
    • WO - 写入所有者 (获取所有权)
    • S - 同步
    • AS - 访问系统安全性
    • MA - 允许的最大
    • GR - 泛型读取
    • GW - 泛型写入
    • GE - 泛型执行
    • GA - 泛型全部
    • RD - 读取数据/列表目录
    • WD - 写入数据/添加文件
    • AD - 追加数据/添加子目录
    • REA - 读取扩展属性
    • WEA - 编写扩展属性
    • X - 执行/遍历
    • DC - 删除子级
    • RA - 读取属性
    • WA - 写入属性
  • 继承权限可以先于以下任一 <perm> 形式:
    • (I) - 继承。 ACE 继承自父容器。
    • (OI) - 对象继承。 此容器中的对象将继承此 ACE。 仅适用于目录。
    • (CI) - 容器继承。 此父容器中的容器将继承此 ACE。 仅适用于目录。
    • (IO) - 仅继承。 ACE 继承自父容器,但不适用于对象本身。 仅适用于目录。
    • (NP) - 不传播继承。 容器和对象从父容器继承的 ACE,但不会传播到嵌套容器。 仅适用于目录。