다음을 통해 공유

icacls

  • 아티클

지정된 파일의 DACL(임의 액세스 제어 목록)을 표시 또는 수정하고 저장한 DACL을 지정된 디렉터리의 파일에 적용합니다.

참고 항목

이 명령은 사용되지 않는 cacls 명령을 대체합니다.

구문

icacls <filename> [/grant[:r] <sid>:<perm>[...]] [/deny <sid>:<perm>[...]] [/remove[:g|:d]] <sid>[...]] [/t] [/c] [/l] [/q] [/setintegritylevel <Level>:<policy>[...]]
icacls <directory> [/substitute <sidold> <sidnew> [...]] [/restore <aclfile> [/c] [/l] [/q]]

매개 변수

매개 변수 설명
<filename> DACL을 표시하거나 수정해야 할 파일을 지정합니다.
<directory> DACL을 표시하거나 수정해야 할 디렉토리를 지정합니다.
/t 현재 디렉터리 및 하위 디렉터리에서 지정 된 모든 파일에 작업을 수행합니다.
/c 파일 오류 불구 하 고 작업을 계속 합니다. 오류 메시지가 계속 표시 됩니다.
/l 대상 대신 바로 가기 링크에서 작업을 수행합니다.
/q 성공 메시지를 표시 하지 않습니다.
[/save <ACLfile> [/t] [/c] [/l] [/q]] 일치하는 모든 파일의 DACL을 /restore로 나중에 사용할 ACL(액세스 제어 목록) 파일에 저장합니다.
[/setowner <username> [/t] [/c] [/l] [/q]] 지정된 된 사용자에 일치 하는 모든 파일의 소유자를 변경합니다.
[/findsid <sid> [/t] [/c] [/l] [/q]] 지정된 된 보안 식별자 (SID)를 명시적으로 언급 하는 DACL을 포함 하는 일치 하는 모든 파일을 찾습니다.
[/ 확인 [/t] [/c] [/l] [/q]] 표준이 아니거나 길이가 ACE(액세스 제어 항목) 수와 일치하지 않는 ACL로 모든 파일을 찾습니다.
[/reset [/t] [/c] [/l] [/q]] 기본값은 대체 Acl 일치 하는 모든 파일에 대 한 Acl을 상속합니다.
[/grant[:r] <sid>:<perm>[...]] 사용자 액세스 권한을 지정 하는 권한을 부여 합니다. 사용 권한을 이전에 부여 된 명시적 사용 권한을 바꿉니다.

:r을 추가하지 않으면 이전에 부여된 명시적 권한에 권한이 추가됩니다.
[/deny <sid>:<perm>[...]] 명시적으로 지정 된 사용자 액세스 권한을 거부합니다. 명시적 거부 ACE 명시 된 사용 권한에 대해 추가 되 고 모든 명시적 권한 부여에 동일한 사용 권한이 제거 됩니다.
[/remove[:g | :d]] <sid>[...] [/t] [/c] [/l] [/q] DACL에서 지정된 된 SID의 모든 항목을 제거합니다. 이 명령은 다음도 사용할 수 있습니다.
  • : g - 지정된 SID에 부여된 권한의 모든 항목을 제거합니다.
  • : d - 지정된 SID에 거부된 권한의 모든 항목을 제거합니다.
[/setintegritylevel [(CI)(OI)] <Level>:<Policy>[...]] 일치 하는 모든 파일에는 무결성 ACE를 명시적으로 추가합니다. 수준을 다음과 같이 지정할 수 있습니다.
  • l - 저
  • m- 중
  • h - 고
ACE 무결성에 대 한 상속 옵션은 수준 전후의 디렉터리에만 적용 됩니다.
[/substitute <sidold><sidnew> [...]] 기존 SID(sidold)를 새 SID(sidnew)로 바꿉니다. <directory> 매개 변수와 함께 사용해야 합니다.
/restore <ACLfile> [/c] [/l] [/q] <ACLfile>의 저장된 DACL을 지정된 디렉터리의 파일에 적용합니다. <directory> 매개 변수와 함께 사용해야 합니다.
/inheritancelevel: [e | d | r] 다음과 같을 수 있는 상속 수준을 설정합니다.
  • e - 상속 사용
  • d - 상속을 사용하지 않도록 설정하고 ACE 복사
  • r - 상속을 사용하지 않도록 설정하고 상속된 ACE만 제거

설명

  • Sid는 숫자 또는 친숙 한 이름 형식을 사용할 수 있습니다. 숫자 형식을 사용 하는 경우 와일드 카드 문자를 붙일 * SID의 시작 부분에 있습니다.

  • 이 명령은 ACE 항목의 표준 순서를 다음과 같이 유지합니다.

    • 명시적 거부

    • 명시적 권한 부여

    • 상속 된 거부

    • 상속 된 권한 부여

  • <perm> 옵션은 다음 형식 중 하나로 지정할 수 있는 권한 마스크입니다.

    • 간단한 권한 시퀀스(기본 권한):

      • F - 모든 권한

      • M- 수정 액세스 권한

      • RX - 읽기 및 실행 액세스 권한

      • R - 읽기 전용 액세스 권한

      • W - 쓰기 전용 액세스 권한

    • 특정 권한(고급 권한)의 괄호 안에 있는 쉼표로 구분된 목록:

      • D - 삭제

      • RC - 읽기 제어(읽기 권한)

      • WDAC - 쓰기 DAC(변경 권한)

      • WO - 쓰기 소유자(권한 얻기)

      • S - 동기화

      • AS - 시스템 보안 액세스

      • MA - 최대 허용

      • GR - 일반 읽기

      • GW - 일반 쓰기

      • GE - 일반 실행

      • GA - 일반 전체

      • RD - 데이터/목록 디렉터리 읽기

      • WD - 데이터 쓰기/파일 추가

      • AD - 데이터 추가/하위 디렉터리 추가

      • REA - 확장된 특성 읽기

      • WEA - 확장된 특성 쓰기

      • X - 실행/트래버스

      • DC - 자식 삭제

      • RA - 특성 읽기

      • WA - 특성 쓰기

    • 상속 권한은 다음 <perm> 형식 보다 우선할 수 있습니다.

      • (I) - 상속. 부모 컨테이너에서 상속된 ACE.

      • (OI) - 개체 상속. 이 컨테이너의 개체는 이 ACE를 상속하게 됩니다. 디렉터리에만 적용됩니다.

      • (CI) - 컨테이너 상속. 이 부모 컨테이너의 컨테이너는 이 ACE를 상속하게 됩니다. 디렉터리에만 적용됩니다.

      • (IO) - 상속만. ACE가 부모 컨테이너에서 상속되지만 개체 자체에는 적용되지 않습니다. 디렉터리에만 적용됩니다.

      • (NP) - 상속을 전파하지 않음. ACE가 부모 컨테이너에서 컨테이너 및 개체에 의해 상속되고 중첩된 컨테이너로 전파되지 않습니다. 디렉터리에만 적용됩니다.

예제

모든 파일에 대 한 Dacl는 C:\Windows 디렉터리 및 하위 디렉터리를 ACLFile 파일을 저장 하려면 다음을 입력 합니다.

icacls c:\windows\* /save aclfile /t

C:\Windows 디렉터리 및 하위 디렉터리에 있는 ACLFile 내의 모든 파일에 대 한 Dacl을 복원 하려면 다음을 입력 합니다.

icacls c:\windows\ /restore aclfile

사용자 User1 삭제 및 쓰기 DAC 권한을 Test1이라는 파일에 부여하려면 다음을 입력합니다.

icacls test1 /grant User1:(d,wdac)

SID S-1-1-0 삭제 및 쓰기 DAC 권한으로 정의된 사용자를 Test2라는 파일에 부여하려면 다음을 입력합니다.

icacls test2 /grant *S-1-1-0:(d,wdac)