Icacls 批量修改、分配用戶及文件夾權限（一）

示例：快速、批量部署文件夾共享權限等

一、查看文件夾含有權限 

icacls d:\1234\12
經過以上的命令能夠看到下圖 D盤裏面的1234的文件夾權限明細
注意事項:
　　對於繼承的聲明要放到具體權限以前。例如:(OI)(CI)(IO)(M)是對的，但(M)(OI)(CI)(IO)會提示無效的參數。

二、給 12 文件夾 受權 用戶：999  有讀的權限

2.1 單獨給12文件夾受權
icacls d:\1234\12 /grant 999:(OI)(CI)(RX) /T
2.2 批量給1234文件夾裏面的全部文件夾和文件受權
icacls d:\1234\*.* /grant 999:(OI)(CI)(RX) /T
2.3 若是用戶999以前有12文件夾的修改的權限，如今想改爲讀取的權限修改以下
icacls d:\1234\12 /grant[:r] 999:(OI)(CI)(RX) /T

關鍵詞解釋：/grant[:r] Sid:perm 授予指定的用戶訪問權限。若是使用 :r，
        這些權限將替換之前授予的全部顯式權限。（若是你要修改之前的權限，建議添加:r，這樣會讓你的文件夾權限更清晰）
        若是不使用 :r，這些權限將添加到之前授予的
        全部顯式權限。
        /T 指示在以該名稱指定的目錄下的全部匹配文件/目錄上
        執行此操做。

 

三、給 12 文件夾 刪除 用戶：999  的權限

icacls d:\1234\12 /remove:g 999 /T
關鍵詞解釋：/remove[:[g|d]] Sid 刪除 ACL 中全部出現的 SID。使用
        :g，將刪除授予該 SID 的全部權限。使用
        :d，將刪除拒絕該 SID 的全部權限。

ICACLS 命令幫助語法以下：
>icacls   
ICACLS name /save aclfile [/T] [/C] [/L] [/Q]
    將匹配名稱的文件和文件夾的 DACL 存儲到 aclfile 中
    以便未來與 /restore 一塊兒使用。請注意，未保存 SACL、
    全部者或完整性標籤。
ICACLS directory [/substitute SidOld SidNew [...]] /restore aclfile
                 [/C] [/L] [/Q]
    將存儲的 DACL 應用於目錄中的文件。
ICACLS name /setowner user [/T] [/C] [/L] [/Q]
    更改全部匹配名稱的全部者。該選項不會強制更改全部
    身份；使用 takeown.exe 實用程序可實現
    該目的。
ICACLS name /findsid Sid [/T] [/C] [/L] [/Q]
    查找包含顯式說起 SID 的 ACL 的
    全部匹配名稱。
ICACLS name /verify [/T] [/C] [/L] [/Q]
    查找其 ACL 不規範或長度與 ACE
    計數不一致的全部文件。
ICACLS name /reset [/T] [/C] [/L] [/Q]
    爲全部匹配文件使用默認繼承的 ACL 替換 ACL。
ICACLS name [/grant[:r] Sid:perm[...]]
       [/deny Sid:perm [...]]
       [/remove[:g|:d]] Sid[...]] [/T] [/C] [/L] [/Q]
       [/setintegritylevel Level:policy[...]]
    /grant[:r] Sid:perm 授予指定的用戶訪問權限。若是使用 :r，
        這些權限將替換之前授予的全部顯式權限。
        若是不使用 :r，這些權限將添加到之前授予的
        全部顯式權限。
    /deny Sid:perm 顯式拒絕指定的用戶訪問權限。
        將爲列出的權限添加顯式拒絕 ACE，
        並刪除全部顯式授予的權限中的相同權限。
    /remove[:[g|d]] Sid 刪除 ACL 中全部出現的 SID。使用
        :g，將刪除授予該 SID 的全部權限。使用
        :d，將刪除拒絕該 SID 的全部權限。
    /setintegritylevel [(CI)(OI)]級別將完整性 ACE 顯式
        添加到全部匹配文件。要指定的級別爲如下級別
        之一:
             L[ow]
             M[edium]
             H[igh]
        完整性 ACE 的繼承選項能夠優先於級別，但只應用於
        目錄。
    /inheritance:e|d|r
        e - 啓用繼承
        d - 禁用繼承並複製 ACE
        r - 刪除全部繼承的 ACE
注意:
    Sid 能夠採用數字格式或友好的名稱格式。若是給定數字格式，
    那麼請在 SID 的開頭添加一個 *。
    /T 指示在以該名稱指定的目錄下的全部匹配文件/目錄上
        執行此操做。
    /C 指示此操做將在全部文件錯誤上繼續進行。
        仍將顯示錯誤消息。
    /L 指示此操做在符號
      連接自己而不是其目標上執行。
    /Q 指示 icacls 應該禁止顯示成功消息。
    ICACLS 保留 ACE 項的規範順序:
            顯式拒絕
            顯式授予
            繼承的拒絕
            繼承的授予
    perm 是權限掩碼，能夠指定兩種格式之一:
        簡單權限序列:
                N - 無訪問權限
                F - 徹底訪問權限
                M - 修改權限
                RX - 讀取和執行權限
                R - 只讀權限
                W - 只寫權限
                D - 刪除權限
        在括號中以逗號分隔的特定權限列表:
                DE - 刪除
                RC - 讀取控制
                WDAC - 寫入 DAC
                WO - 寫入全部者
                S - 同步
                AS - 訪問系統安全性
                MA - 容許的最大值
                GR - 通常性讀取
                GW - 通常性寫入
                GE - 通常性執行
                GA - 全爲通常性
                RD - 讀取數據/列出目錄
                WD - 寫入數據/添加文件
                AD - 附加數據/添加子目錄
                REA - 讀取擴展屬性
                WEA - 寫入擴展屬性
                X - 執行/遍歷
                DC - 刪除子項
                RA - 讀取屬性
                WA - 寫入屬性
        繼承權限能夠優先於每種格式，但只應用於
        目錄:
                (OI) - 對象繼承
                (CI) - 容器繼承
                (IO) - 僅繼承
                (NP) - 不傳播繼承
                (I) - 從父容器繼承的權限
示例:
        icacls c:\windows\* /save AclFile /T
        - 將 c:\windows 及其子目錄下全部文件的
          ACL 保存到 AclFile。
        icacls c:\windows\ /restore AclFile
        - 將還原 c:\windows 及其子目錄下存在的 AclFile 內
          全部文件的 ACL。
        icacls file /grant Administrator:(D,WDAC)
        - 將授予用戶對文件刪除和寫入 DAC 的管理員
          權限。
        icacls file /grant *S-1-1-0:(D,WDAC)
        - 將授予由 sid S-1-1-0 定義的用戶對文件刪除和
          寫入 DAC 的權限。