icacls 命令管理Windows访问控制列表
这篇文章主要介绍icacls命令的使用说明。
一、查看目录和文件的权限
icacls D:\\
二、移除和添加用户权限(如果提示拒绝请以管理员权限执行cmd)
icacls D:\\ /remove \"Authenticated Users\"
添加对Authenticated Users 的授权
icacls D:\\ /grant \"Authenticated Users\":(M)
icacls D:\\ /grant \"Authenticated Users\":(OI)(CI)(IO)(M)
注意事项:
1、对于继承的声明要放到具体权限之前。例如:(OI)(CI)(IO)(M)是对的,但(M)(OI)(CI)(IO)会提示无效的参数。
2、简单权限序列中的权限可以放到()里边,也可以不加()。例如授予yifan修改权限可以写为icacls <目录|文件> /grant yifan:M或icacls <目录|文件> /grant yifan:(M)。
3、若只授予指定用户特定权限,则必须将权限放到()中。例如授予yifan读取目录权限icacls <目录> /grant yifan:(AD)是对的,如果是icacls <目录> /grant yifan:AD将提示无效的参数。
NTFS权限实现了WINDOWS系统高度的安全性,它是通过对安全对象(文件、文件夹、网络共享、打印机、进程、服务等)设置ACL实现的。 对象是可以由程序或进程操纵的任何资源,用户可以看得见的有文件、文件夹等还有会话、进程、线程、访问令牌等等,容器对象是可以作为其他对象逻辑上的存储场所。在对象层次关系中,容器对象和他的内容之间的关系是:容器对象为父亲,它里面的对象为孩子。子对象也可以是容器对象或者是非容器对象。只有容器对象可以是父对象。一个容器对象的ACL可以含有对容器本身不起作用而只用于继承目的的ACE。
以管理员身份运行的声明:
此处的管理员指的是“nt authority\\system”用户,而不是“administrator”,从上面的截图“C:\\Windows\\system32”可以看出。
三、完整性级别的设置
对test目录设置完整性级别
icacls test /setintegritylevel (OI)(NP)(IO)H
注意级别不能放到()中。
四、几个例子
五、关于cacls、xcacls、icacls
在windows 2000资源工具包中,微软提供了一个名为xcacls.exe的文件控制权限修改工具,其功能较cacls.exe更为强大,可以通过命令行设置所有可以在windows资源管理器中访问到的文件系统安全选项。
在Windows Vista和Windows Server 2003 Service Pack 2中,微软提供了一个新的命令行工具Icacls,你可以使用它来查看、设置、保存并恢复文件夹或文件的权限。它在功能上比以往的Cacls更为强大。
即使显示所有文件都处理完成,但是有继承上层权限的文件夹并没有生效。
