icacls

2025-08-16
Gäller för: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Local 2311.2 and later

Visar eller ändrar diskretionära åtkomstkontrollistor (DACLs) på angivna filer och tillämpar lagrade DACL:er på filer i angivna kataloger.

Note

Det här kommandot ersätter det inaktuella cacls-kommandot.

Syntax

icacls name [/save aclfile] [/setowner user] [/findsid Sid] [/verify] [/reset] [/T] [/C] [/L] [/Q]
icacls name [/grant[:r] Sid:perm[...]] [/deny Sid:perm [...]] [/remove[:g|:d]] Sid[...]]] [/setintegritylevel Level:policy[...]] [/T] [/C] [/L] [/Q]
icacls directory [/substitute SidOld SidNew [...]] [/restore aclfile] [/C] [/L] [/Q]

Parameters

Parameter	Description
`<name>`	Anger för vilken fil DACLs ska visas eller ändras.
`<directory>`	Anger den katalog för vilken DACL:er ska visas eller ändras.
/t	Utför åtgärden på alla angivna filer i den aktuella katalogen och dess underkataloger.
/c	Fortsätter åtgärden även om filfel inträffar. Felmeddelanden visas fortfarande.
/l	Utför åtgärden på en symbolisk länk i stället för målet.
/q	Undertrycker lyckade meddelanden.
/spara `<ACLfile>`	Lagrar DACL:er för alla matchande filer i en ACL-fil (access control list) för senare användning med `/restore`.
/setowner `<user>`	Ändrar ägaren till alla matchande filer till den angivna användaren.
/findsid `<sid>`	Hittar alla matchande filer som innehåller en DACL som uttryckligen nämner den angivna säkerhetsidentifieraren (SID).
/verify	Hittar alla filer med ACL:er som inte är kanoniska eller har längder som är inkonsekventa med ace-antal (access control entry).
/reset	Ersätter ACL:er med standard ärvda ACL:er för alla matchande filer.
/grant[:r] `<sid>`:`<perm>`	Beviljar angivna användaråtkomsträttigheter. Behörigheter ersätter tidigare beviljade explicita behörigheter. Att inte lägga till :r innebär att behörigheter läggs till i alla tidigare beviljade explicita behörigheter.
/neka `<sid>`:`<perm>`	Nekar uttryckligen angivna användaråtkomsträttigheter. En explicit neka ACE läggs till för de angivna behörigheterna och samma behörigheter i alla explicita bidrag tas bort.
/ta bort: g \| d `<sid>`	Tar bort alla förekomster av angivet SID från DACL. Det här kommandot kan också använda: g – Tar bort alla förekomster av beviljade rättigheter till det angivna SID d – Tar bort alla förekomster av nekade rättigheter till det angivna SID
/setintegritylevel `<perm><level>`	Lägger uttryckligen till ett integritets-ACE till alla matchande filer. Nivån kan anges som: l - Låg m - Medel h - Hög Arvsalternativ för integriteten ACE kan föregå nivån och tillämpas endast på kataloger.
/vikarie `<sidold><sidnew>`	Ersätter ett befintligt SID (sidold) med ett nytt SID (sidnew). Kräver användning med parametern `<directory>`.
/restore `<ACLfile>` /c \| /l \| /q	Tillämpar lagrade DACL:er från `<ACLfile>` på filer i den angivna katalogen. Kräver användning med parametern `<directory>`.
/arvsnivå: e \| d \| r	Anger arvsnivån, vilket kan vara: e – Möjliggör arv d – Inaktiverar arv och kopierar ACE:er r – Inaktiverar arv och tar endast bort ärvda ACE:er

Remarks

SID:er kan vara i antingen numeriskt eller eget namnformulär. Om du använder ett numeriskt formulär fäster du jokertecknet * i början av SID.
Det här kommandot bevarar den kanoniska ordningen för ACE-poster som:
- Explicit denials
- Explicit grants
- Inherited denials
- Inherited grants
Alternativet <perm> är en behörighetsmask som kan anges för grundläggande rättigheter, avancerade rättigheter eller arvsrättigheter:
- En sekvens med enkla rättigheter (grundläggande behörigheter) utan att behöva använda parenteser:
  - N - Ingen åtkomst
  - F - Fullständig åtkomst
  - M - Ändra åtkomst
  - RX – Läs- och körningsåtkomst
  - R – Skrivskyddad åtkomst
  - W – Endast skrivåtkomst
  - D - Ta bort åtkomst
- En kommaavgränsad lista över specifika rättigheter (avancerade behörigheter) som måste använda parenteser:
  - DE - Ta bort
  - RC - Läskontroll (läsrättigheter)
  - WDAC - Skriv DAC (ändra behörigheter)
  - WO - Skriv ägare (ta ägarskap)
  - S - Synkronisera
  - AS - Säkerhet för åtkomstsystem
  - MA – Högsta tillåtna
  - GR - Generisk läsning
  - GW - Generisk skrivning
  - GE – Allmän körning
  - GA – Generisk alla
  - RD – Läsa data/lista katalog
  - WD - Skriv data/lägg till fil
  - AD - Lägg till data/lägg till underkatalog
  - REA – Läs utökade attribut
  - WEA – Skriv utökade attribut
  - X – Kör/passera
  - DC – Ta bort underordnad
  - RA – Läsattribut
  - WA – Skriv attribut
- En sekvens med arvsrättigheter som måste använda parenteser:
  - (i) - Ärva. ACE ärvs från den överordnade containern.
  - (OI) - Objektet ärver. Objekt i den här containern ärver detta ACE. Gäller endast för kataloger.
  - (CI) – Containern ärver. Containrar i den här överordnade containern ärver detta ACE. Gäller endast för kataloger.
  - (I/O) – Ärv endast. ACE ärvs från den överordnade containern, men gäller inte för själva objektet. Gäller endast för kataloger.
  - (NP) - Sprid inte ärva. ACE ärvs av containrar och objekt från den överordnade containern, men sprids inte till kapslade containrar. Gäller endast för kataloger.

Examples

Om du vill spara DACLs för alla filer i C:\Windows-katalogen och dess underkataloger till ACLFile-filen skriver du:

icacls c:\windows\* /save aclfile /t

Om du vill återställa DACLs för varje fil i ACLFile som finns i katalogen C:\Windows och dess underkataloger skriver du:

icacls c:\windows\ /restore aclfile

Om du vill ge användaren User1 Ta bort och skriva DAC-behörigheter till en fil med namnet Test1 skriver du:

icacls test1 /grant User1:(d,wdac)

Om du vill bevilja användaren som definierats av SID S-1-1-0 Ta bort och skriva DAC-behörigheter till en fil med namnet TestFile skriver du:

icacls TestFile /grant *S-1-1-0:(d,wdac)

Om du vill tillämpa en hög integritetsnivå på en katalog och se till att både dess filer och underkataloger ärver den här nivån skriver du:

icacls "myDirectory" /setintegritylevel (CI)(OI)H

Command-Line syntaxnyckel

Feedback

Var den här sidan till hjälp?