Icacls 批量修改、分配用戶及文件夾權限（一）

示例：快速、批量部署文件夾共享權限等

1、查看文件夾含有權限?

icacls?d:\1234\12
通過以上的命令可以看到下圖?D盤里面的1234的文件夾權限明細
注意事項:
　　對于繼承的聲明要放到具體權限之前。例如:(OI)(CI)(IO)(M)是對的，但(M)(OI)(CI)(IO)會提示無效的參數。

2、給 12 文件夾 授權 用戶：999? 有讀的權限

2.1?單獨給12文件夾授權
icacls?d:\1234\12?/grant?999:(OI)(CI)(RX)?/T
2.2?批量給1234文件夾里面的所有文件夾和文件授權
icacls?d:\1234\*.*?/grant?999:(OI)(CI)(RX)?/T
2.3?如果用戶999之前有12文件夾的修改的權限，現在想改成讀取的權限修改如下
icacls?d:\1234\12?/grant[:r]?999:(OI)(CI)(RX)?/T

關鍵詞解釋：/grant[:r]?Sid:perm?授予指定的用戶訪問權限。如果使用?:r，
????????這些權限將替換以前授予的所有顯式權限。（如果你要修改以前的權限，建議添加:r，這樣會讓你的文件夾權限更清晰）
????????如果不使用?:r，這些權限將添加到以前授予的
????????所有顯式權限。
????????/T?指示在以該名稱指定的目錄下的所有匹配文件/目錄上
????????執行此操作。

?

3、給 12 文件夾 刪除 用戶：999? 的權限

icacls?d:\1234\12?/remove:g?999?/T
關鍵詞解釋：/remove[:[g|d]]?Sid?刪除?ACL?中所有出現的?SID。使用
????????:g，將刪除授予該?SID?的所有權限。使用
????????:d，將刪除拒絕該?SID?的所有權限。

ICACLS?命令幫助語法如下：
>icacls???
ICACLS?name?/save?aclfile?[/T]?[/C]?[/L]?[/Q]
????將匹配名稱的文件和文件夾的?DACL?存儲到?aclfile?中
????以便將來與?/restore?一起使用。請注意，未保存?SACL、
????所有者或完整性標簽。
ICACLS?directory?[/substitute?SidOld?SidNew?[...]]?/restore?aclfile
?????????????????[/C]?[/L]?[/Q]
????將存儲的?DACL?應用于目錄中的文件。
ICACLS?name?/setowner?user?[/T]?[/C]?[/L]?[/Q]
????更改所有匹配名稱的所有者。該選項不會強制更改所有
????身份；使用?takeown.exe?實用程序可實現
????該目的。
ICACLS?name?/findsid?Sid?[/T]?[/C]?[/L]?[/Q]
????查找包含顯式提及?SID?的?ACL?的
????所有匹配名稱。
ICACLS?name?/verify?[/T]?[/C]?[/L]?[/Q]
????查找其?ACL?不規范或長度與?ACE
????計數不一致的所有文件。
ICACLS?name?/reset?[/T]?[/C]?[/L]?[/Q]
????為所有匹配文件使用默認繼承的?ACL?替換?ACL。
ICACLS?name?[/grant[:r]?Sid:perm[...]]
???????[/deny?Sid:perm?[...]]
???????[/remove[:g|:d]]?Sid[...]]?[/T]?[/C]?[/L]?[/Q]
???????[/setintegritylevel?Level:policy[...]]
????/grant[:r]?Sid:perm?授予指定的用戶訪問權限。如果使用?:r，
????????這些權限將替換以前授予的所有顯式權限。
????????如果不使用?:r，這些權限將添加到以前授予的
????????所有顯式權限。
????/deny?Sid:perm?顯式拒絕指定的用戶訪問權限。
????????將為列出的權限添加顯式拒絕?ACE，
????????并刪除所有顯式授予的權限中的相同權限。
????/remove[:[g|d]]?Sid?刪除?ACL?中所有出現的?SID。使用
????????:g，將刪除授予該?SID?的所有權限。使用
????????:d，將刪除拒絕該?SID?的所有權限。
????/setintegritylevel?[(CI)(OI)]級別將完整性?ACE?顯式
????????添加到所有匹配文件。要指定的級別為以下級別
????????之一:
?????????????L[ow]
?????????????M[edium]
?????????????H[igh]
????????完整性?ACE?的繼承選項可以優先于級別，但只應用于
????????目錄。
????/inheritance:e|d|r
????????e?-?啟用繼承
????????d?-?禁用繼承并復制?ACE
????????r?-?刪除所有繼承的?ACE
注意:
????Sid?可以采用數字格式或友好的名稱格式。如果給定數字格式，
????那么請在?SID?的開頭添加一個?*。
????/T?指示在以該名稱指定的目錄下的所有匹配文件/目錄上
????????執行此操作。
????/C?指示此操作將在所有文件錯誤上繼續進行。
????????仍將顯示錯誤消息。
????/L?指示此操作在符號
??????鏈接本身而不是其目標上執行。
????/Q?指示?icacls?應該禁止顯示成功消息。
????ICACLS?保留?ACE?項的規范順序:
????????????顯式拒絕
????????????顯式授予
????????????繼承的拒絕
????????????繼承的授予
????perm?是權限掩碼，可以指定兩種格式之一:
????????簡單權限序列:
????????????????N?-?無訪問權限
????????????????F?-?完全訪問權限
????????????????M?-?修改權限
????????????????RX?-?讀取和執行權限
????????????????R?-?只讀權限
????????????????W?-?只寫權限
????????????????D?-?刪除權限
????????在括號中以逗號分隔的特定權限列表:
????????????????DE?-?刪除
????????????????RC?-?讀取控制
????????????????WDAC?-?寫入?DAC
????????????????WO?-?寫入所有者
????????????????S?-?同步
????????????????AS?-?訪問系統安全性
????????????????MA?-?允許的最大值
????????????????GR?-?一般性讀取
????????????????GW?-?一般性寫入
????????????????GE?-?一般性執行
????????????????GA?-?全為一般性
????????????????RD?-?讀取數據/列出目錄
????????????????WD?-?寫入數據/添加文件
????????????????AD?-?附加數據/添加子目錄
????????????????REA?-?讀取擴展屬性
????????????????WEA?-?寫入擴展屬性
????????????????X?-?執行/遍歷
????????????????DC?-?刪除子項
????????????????RA?-?讀取屬性
????????????????WA?-?寫入屬性
????????繼承權限可以優先于每種格式，但只應用于
????????目錄:
????????????????(OI)?-?對象繼承
????????????????(CI)?-?容器繼承
????????????????(IO)?-?僅繼承
????????????????(NP)?-?不傳播繼承
????????????????(I)?-?從父容器繼承的權限
示例:
????????icacls?c:\windows\*?/save?AclFile?/T
????????-?將?c:\windows?及其子目錄下所有文件的
??????????ACL?保存到?AclFile。
????????icacls?c:\windows\?/restore?AclFile
????????-?將還原?c:\windows?及其子目錄下存在的?AclFile?內
??????????所有文件的?ACL。
????????icacls?file?/grant?Administrator:(D,WDAC)
????????-?將授予用戶對文件刪除和寫入?DAC?的管理員
??????????權限。
????????icacls?file?/grant?*S-1-1-0:(D,WDAC)
????????-?將授予由?sid?S-1-1-0?定義的用戶對文件刪除和
??????????寫入?DAC?的權限。