icacls - smrcanadas

ICACLS
Muestra o modifica las listas de control de acceso discrecional (DACL) en los archivos especificados y aplica las DACL almacenadas a
los archivos en directorios especificados.
Icacls <FileName>[/GRANT [: r] <Sid>: <Perm> [...]] [/ Denegar <Sid>: <Perm> [...]] [/Remove [:g|:d]] <Sid> [...]] [/ t] [/ c] [/ l] [/ q] [/
setintegritylevel <Level>: <Policy> [...]]Icacls <Directory>[/ sustituir <SidOld><SidNew>[...]] [/ restore <ACLfile>[/ c] [/ l] [/q]]
Parámetro
Descripción
<FileName>
Especifica el archivo para que se va a mostrar las listas DACL.
<Directory>
Especifica el directorio para que se va a mostrar las listas DACL.
/t
Realiza la operación en todos los archivos especificados en el directorio actual y
sus subdirectorios.
/c
Continúa la operación a pesar de los errores de archivo. Todavía se mostrarán
mensajes de error.
/l
Realiza la operación en un vínculo simbólico en lugar de su destino.
/q
Suprime los mensajes de confirmación.
[/ Guardar <ACLfile>[/ t] [/ c] [/ l] [/q]]
Almacena las listas DACL para todos los archivos coincidentes en ACLfile para su
uso posterior con/restore .
[/ setowner <Username>[/ t] [/ c] [/ l] [/q]]
Cambia el propietario de todos los archivos para el usuario especificado.
[/ findSID <Sid>[/ t] [/ c] [/ l] [/q]]
Busca todos los archivos que contienen una DACL mencionar explícitamente el
identificador especificado de seguridad (SID).
[/Verify [/ t] [/ c] [/ l] [/ q]]
Busca todos los archivos con las ACL no canónica o con longitudes incoherentes
con recuentos ACE (entrada de control de acceso).
[/Reset [/ t] [/ c] [/ l] [/ q]]
Reemplaza las ACL con el valor predeterminado heredan las ACL para todos los
archivos coincidentes.
[/GRANT [: r] <Sid>: <Perm> [...]]
Subvenciones especifica los derechos de acceso de usuario. Los permisos de
reemplazar los permisos previamente concedidos explícitos. Sin : r , los permisos
se agregan a una previamente concedidos permisos explícitos.
[/ Denegar <Sid>: <Perm> [...]]
Deniega explícitamente los derechos de acceso de usuario especificado. Explícita
denegar ACE se agrega a los permisos establecidos y se quitan los mismos
permisos en cualquier concesión explícita.
[/Remove [:g|:d]] <Sid> [...]] [/ t] [/ c] [/ l] [/ q]
Quita todas las repeticiones del SID especificada de la DACL. : g quita todas las
apariciones de los derechos concedidos para el SID especificado. : d. quita todas
las apariciones de los derechos denegados para el SID especificado.
[/ setintegritylevel [(CI)(OI)] <Level>: <Policy>
[...]]
Agrega explícitamente una ACE de integridad para todos los archivos
coincidentes. Nivel se especifica como: L [ow] M [edia] H [igh] Las opciones de
herencia para la integridad de los ACE pueden preceder el nivel y se aplican sólo a
los directorios.
[/ sustituir <SidOld><SidNew>[...]]
Reemplaza a un SID existente ( SidOld ) con un nuevo SID ( SidNew ). Requiere el
parámetro de directorio .
/restore <ACLfile>[/ c] [/ l] [/ q]
Aplica las DACL almacenadas desde ACLfile a los archivos en el directorio
especificado. Requiere el parámetro de directorio .
Observaciones

SID pueden estar en cualquiera de las formas el nombre descriptivo o numéricos. Si se utiliza un formato numérico, colocar
el carácter comodín * al principio del SID.

icacls conserva el orden canónico de las entradas ACE como:

◦
Denegaciones explícitas
◦
Subvenciones explícitas
◦
Denegaciones heredadas
◦
Subvenciones heredados
Perm es una máscara de permisos que se puede especificar en una de las siguientes formas:
◦
Una secuencia de derechos simples:
▪
F (acceso total)
▪
M (acceso de modificación)
▪
RX (lectura y ejecución de access)
▪
R (acceso de sólo lectura)
▪
W (acceso de sólo escritura)
◦

Una lista separada por comas entre paréntesis derechos específicos:
▪
D. (eliminar)
▪
RC (control de lectura)
▪
WDAC (Escribir DAC)
▪
WO (Escribir propietario)
▪
S (sincronizar)
▪
AS (seguridad de acceso del sistema)
▪
MA (el máximo permitido)
▪
GR (lectura genérica)
▪
GW (escritura genérica)
▪
GE (ejecución genérica)
▪
GA (todo genérico)
▪
RD (directorio de la lista de datos lectura)
▪
WD (escribir archivo de datos o agregar)
▪
AD (anexar datos/Agregar subdirectorio)
▪
REA (leer atributos extendidos)
▪
AEM (atributos extendidos de escritura)
▪
X (ejecutar o recorrer)
▪
Controlador de dominio (eliminar secundario)
▪
RA (los atributos de lectura)
▪
WA (atributos de escritura)
Los derechos de herencia pueden preceder a cualquiera de los formularios Perm y se aplican sólo a directorios:
◦
(OI): objeto heredar
◦
(CI): herencia de contenedor
◦
(IO): heredar sólo
◦
(NP): no se propagan heredar
EJERCICIO ICACLS
Crea dos nuevos usuarios (tipo:Cuenta limitada), llamados Usuario1 y Usuario2
Dentro de la carpeta "Mis Documentos", de Usuario1, crea tres carpetas, con los siguientes permisos para Usuario2



Confidencial: No permitir el acceso.
Lectura: Permitir el acceso en sólo lectura.
Pública: Permitir control total.
En la carpeta "Lectura", crea un archivo de texto llamado 'NoUsuario2.txt', que Usuario2no
1.
Los parámetros que has tenido que emplear para conseguir lo anterior mediante el comando ICACLS, del Intérprete de
Comandos.
2.
Capturas de pantalla que demuestren que Usuario2:
1.
2.
3.
4.
No es capaz de acceder a la carpeta Confidencial.
No puede crear/copiar archivos dentro de la carpeta Lectura.
No puede abrir el fichero NoUsuario2.txt.
Sí puede crear/copiar archivos dentro de la carpeta
Al finalizar, elimina los usuarios Usuario1 y Usuario2.