2018年6月13日 星期三

Windows 7 ~ 10 系統 cacls / icacls / takeown 權限

微軟官方 說明 Cacls
https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/cacls_1

微軟官方 說明 iCacls
https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/icacls


檢查方式?

cacls c: /t

將列出 C磁碟 的檔案權限檢查

icacls c: /t

將列出 C磁碟 的檔案權限檢查




以下網路上擷取參照


CACLS : 顯示或修改檔案的存取控制清單 (ACLs)。

指令詳解:

CACLS filename [/T] [/E] [/C] [/G user:perm] [/R user [...]]
[/P user:perm [...]] [/D user [...]]
filename 顯示 ACL。
/T 變更指定檔案的 ACL 於現有的目錄或所有子目錄中。
/E 編輯 ACL 而非將它取代。
/C 拒絕存取的錯誤繼續發生。
/G user:perm 授與指定的使用者存取權限。
Perm 的值可以是: R 讀取
C 變更 (寫入)
F 完全控制
/R user 撤銷已指定的使用者存取權限 (只有當 /E 存在時才有效)。
/P user:perm 取代已指定的使用者存取權限。
Perm 的值可以是: N 沒有權限
R 讀取
C 變更 (寫入)
F 完全控制
/D user 拒絕已指定的使用者存取。
您可以在命令中使用萬用字元一次指定數個檔案。
您可以在命令中指定數個使用者。
縮寫:
CI - 容器繼承。
ACE 將被目錄繼承。
OI - 物件繼承。
ACE 將被檔案繼承。
IO - 僅供繼承。
ACE 不可套用到目前的檔案/目錄。




命令提示字元 指令 icaals



Parameter Description
Specifies the file for which to display DACLs.
Specifies the directory for which to display DACLs.
/t Performs the operation on all specified files in the current directory and its subdirectories.
/c Continues the operation despite any file errors. Error messages will still be displayed.
/l Performs the operation on a symbolic link versus its destination.
/q Suppresses success messages.
[/save [/t] [/c] [/l] [/q]] Stores DACLs for all matching files into ACLfile for later use with /restore.
[/setowner [/t] [/c] [/l] [/q]] Changes the owner of all matching files to the specified user.
[/findSID [/t] [/c] [/l] [/q]] Finds all matching files that contain a DACL explicitly mentioning the specified security identifier (SID).
[/verify [/t] [/c] [/l] [/q]] Finds all files with ACLs that are not canonical or have lengths inconsistent with ACE (access control entry) counts.
[/reset [/t] [/c] [/l] [/q]] Replaces ACLs with default inherited ACLs for all matching files.
[/grant[:r] :[...]] Grants specified user access rights. Permissions replace previously granted explicit permissions.
Without :r, permissions are added to any previously granted explicit permissions.
[/deny :[...]] Explicitly denies specified user access rights. An explicit deny ACE is added for the stated permissions and the same permissions in any explicit grant are removed.
[/remove[:g :d]] [...]] [/t] [/c] [/l] [/q]
[/setintegritylevel [(CI)(OI)]:[...]] Explicitly adds an integrity ACE to all matching files. Level is specified as:
- L[ow]
- M[edium]
- H[igh]
Inheritance options for the integrity ACE may precede the level and are applied only to directories.
[/substitute [...]] Replaces an existing SID (SidOld) with a new SID (SidNew). Requires the Directory parameter.
/restore [/c] [/l] [/q] Applies stored DACLs from ACLfile to files in the specified directory. Requires the Directory parameter.
Remarks
SIDs may be in either numerical or friendly name form. If you use a numerical form, affix the wildcard character * to the beginning of the SID.
icacls preserves the canonical order of ACE entries as:
Explicit denials
Explicit grants
Inherited denials
Inherited grants
Perm is a permission mask that can be specified in one of the following forms:

A sequence of simple rights:

F (full access)

M (modify access)

RX (read and execute access)

R (read-only access)

W (write-only access)

A comma-separated list in parenthesis of specific rights:

D (delete)

RC (read control)

WDAC (write DAC)

WO (write owner)

S (synchronize)

AS (access system security)

MA (maximum allowed)

GR (generic read)

GW (generic write)

GE (generic execute)

GA (generic all)

RD (read data/list directory)

WD (write data/add file)

AD (append data/add subdirectory)

REA (read extended attributes)

WEA (write extended attributes)

X (execute/traverse)

DC (delete child)

RA (read attributes)

WA (write attributes)

Inheritance rights may precede either Perm form, and they are applied only to directories:

(OI): object inherit

(CI): container inherit

(IO): inherit only

(NP): do not propagate inherit

Examples
To save the DACLs for all files in the C:\Windows directory and its subdirectories to the ACLFile file, type:

icacls c:\windows\* /save aclfile /t
To restore the DACLs for every file within ACLFile that exists in the C:\Windows directory and its subdirectories, type:

icacls c:\windows\ /restore aclfile
To grant the user User1 Delete and Write DAC permissions to a file named "Test1", type:

icacls test1 /grant User1:(d,wdac)
To grant the user defined by SID S-1-1-0 Delete and Write DAC permissions to a file, named "Test2", type:

icacls test2 /grant *S-1-1-0:(d,wdac)





以下為完整描述及範例:

1. ICACLS name /save aclfile [/T] [/C] [/L] [/Q]:將符合名稱之檔案與資料夾的DACL 儲存至aclfile,以供稍後與
/restore 搭配使用。請注意,這不會儲存SACL、擁有者或完整性標籤。

2. ICACLS directory [/substitute SidOld SidNew [...]] /restore aclfile [/C] [/L] [/Q]:將儲存的DACL 套用到目錄中的檔案。

3. ICACLS name /setowner user [/T] [/C] [/L] [/Q]:變更所有相符名稱的擁有者。此選項不會強制變更擁有權;如果要強制變更擁有權,請使用takeown.exe 公用程式。

4. ICACLS name /findsid Sid [/T] [/C] [/L] [/Q]:尋找內含明確提及Sid 之ACL 的所有相符名稱。

5. ICACLS name /verify [/T] [/C] [/L] [/Q]:尋找含有未使用標準格式的ACL 或長度與ACE 計數不一致的所有檔案。

6. ICACLS name /reset [/T] [/C] [/L] [/Q]:針對所有符合的檔案,使用預設繼承的ACL 取代ACL。

7. ICACLS name [/grant[:r] Sid:perm[...]]

[/deny Sid:perm [...]]

[/remove[:g|:d]] Sid[...]] [/T] [/C] [/L] [/Q]

[/setintegritylevel Level:policy[...]]

a. /grant[:r] Sid:perm:授與指定的使用者存取權限。若加上:r,該權限便會取代先前授與的明確權限。若不加上

:r,則會將權限加入先前授與的任何明確權限。

b. /deny Sid:perm:明確拒絕指定的使用者存取權限。對指定的權限新增明確拒絕的ACE,並將任何明確授與中

的相同權限移除。

c. /remove[:[g|d]] Sid:會移除ACL 中Sid 的所有符合項目。若加上:g,會將授與該Sid 之權限的所有符合項目移

除。若加上:d,則會將拒絕該Sid 之權限的所有符合項目移除。

d. /setintegritylevel [(CI)(OI)]Level:明確地新增完整性ACE 至所有符合的檔案。

可指定下列層級的其中一個:L[ow]、M[edium]、H[igh]

完整性ACE 的繼承選項具有高於層級的優先性,且只會套用到目錄。

e. /inheritance:e(啟用繼承)|d(停用繼承並複製ACE)|r(移除所有繼承的ACE)



注意:

1. Sid 的格式可以是數字或好記的名稱。如果指定使用數字格式,請在SID 的開頭加上*。
2. /T:指示要在name 指定之目錄下的所有相符檔案/目錄上執行此操作。
3. /C:指示不論發生任何檔案錯誤,都繼續執行此操作。仍會顯示錯誤訊息。
4. /L:指示此操作會在符號連結(而非其目標) 上執行。
5. /Q:指示icacls 應隱藏成功訊息。
6. ICACLS 保留ACE 項目的標準順序:明確拒絕、明確授與、繼承拒絕、繼承授與
7. perm 是權限遮罩,可使用下列其中一種格式來指定:

a. 一連串簡單權限:

N - 不允許存取
F - 完整存取權
M - 修改存取權
RX - 讀取和執行存取權
R - 唯讀存取權
W - 唯寫存取權
D - 刪除存取權

b. 在括號中以逗號分隔特定權限的清單:

DE - 刪除
RC - 讀取控制
WDAC - 寫入DAC
WO - 寫入擁有者
S - 同步
AS - 存取系統安全性
MA - 允許的最大值
GR - 一般讀取
GW - 一般寫入
GE - 一般執行
GA - 一般所有權限
RD - 讀取資料/列出目錄
WD - 寫入資料/新增檔案
AD - 附加資料/新增子目錄
REA - 讀取擴充屬性
WEA - 寫入擴充屬性
X - 執行/周遊
DC - 刪除子系
RA - 讀取屬性
WA - 寫入屬性

c. 繼承權限的優先順序高於上述任一種格式,且僅套用到目錄:
(OI) - 物件繼承
(CI) - 容器繼承
(IO) - 僅繼承
(NP) - 不傳播繼承
(I) - 從父容器繼承的權限

範例:

1. icacls c:\windows\* /save AclFile /T:會將c:\windows 及其子目錄下所有檔案的ACL 儲存到AclFile。
2. icacls c:\windows\ /restore AclFile:會還原AclFile 之中每個檔案的Acl,而AclFile 位於c:\windows及其子目錄下。
3. icacls file /grant Administrator:(D,WDAC):會將檔案的刪除和寫入DAC 權限授與使用者Administrator。
4. icacls file /grant *S-1-1-0:(D,WDAC):會將檔案的刪除和寫入DAC 權限授與sid S-1-1-0 所定義的使用者。


------------------------------------------------------------------------------

icacls: Takeown: 改變檔案擁有權


代碼:

C:\WINDOWS\system32>icacls

ICACLS name /save aclfile [/T] [/C] [/L] [/Q]
將符合名稱之檔案與資料夾的 DACL 儲存至 aclfile,以供稍後與
/restore 搭配使用。請注意,這不會儲存 SACL、擁有者或完整
性標籤。

ICACLS directory [/substitute SidOld SidNew [...]] /restore aclfile
[/C] [/L] [/Q]
將儲存的 DACL 套用到目錄中的檔案。

ICACLS name /setowner user [/T] [/C] [/L] [/Q]
變更所有相符名稱的擁有者。此選項不會強制變更擁有權; 如果要強制變更擁有
權,請使用 takeown.exe 公用程式。

ICACLS name /findsid Sid [/T] [/C] [/L] [/Q]
尋找內含明確提及 Sid 之 ACL 的所有相符名稱。

ICACLS name /verify [/T] [/C] [/L] [/Q]
尋找含有未使用標準格式的 ACL 或長度與 ACE 計數不一致的所有檔案。

ICACLS name /reset [/T] [/C] [/L] [/Q]
針對所有符合的檔案,使用預設繼承的 ACL 取代 ACL。

ICACLS name [/grant[:r] Sid:perm[...]]
[/deny Sid:perm [...]]
[/remove[:g|:d]] Sid[...]] [/T] [/C] [/L] [/Q]
[/setintegritylevel Level:policy[...]]

/grant[:r] Sid:perm 授與指定的使用者存取權限。若加上 :r,該權限便會取
代先前授與的明確權限。若不加上 :r,則會將權限加入先前授與的任何明
確權限。

/deny Sid:perm 明確拒絕指定的使用者存取權限。對指定的權限新增明確拒絕的
ACE,並將任何明確授與中的相同權限移除。

/remove[:[g|d]] Sid 會移除 ACL 中 Sid 的所有符合項目。若加上 :g,會將授
與該 Sid 之權限的所有符合項目移除。若加上 :d,則會將拒絕該 Sid 之權
限的所有符合項目移除。

/setintegritylevel [(CI)(OI)]Level 明確地新增完整性 ACE 至所有符合的檔
案。可指定下列層級的其中一個:
L[ow]
M[edium]
H[igh]
完整性 ACE 的繼承選項具有高於層級的優先性,且只會套用到目錄。

/inheritance:e|d|r
e - 啟用繼承
d - 停用繼承並複製 ACE
r - 移除所有繼承的 ACE


注意:
Sid 的格式可以是數字或好記的名稱。如果指定使用數字格式,請在 SID 的開頭
加上 *。

/T 指示要在 name 指定之目錄下的所有相符檔案/目錄上執行此操作。

/C 指示不論發生任何檔案錯誤,都繼續執行此操作。仍會顯示錯誤訊息。

/L 指示此操作會在符號連結 (而非其目標) 上執行。

/Q 指示 icacls 應隱藏成功訊息。

ICACLS 保留 ACE 項目的標準順序:
明確拒絕
明確授與
繼承拒絕
繼承授與

perm 是權限遮罩,可使用下列其中一種格式來指定:
一連串簡單權限:
N - 不允許存取
F - 完整存取權
M - 修改存取權
RX - 讀取和執行存取權
R - 唯讀存取權
W - 唯寫存取權
D - 刪除存取權
在括號中以逗號分隔特定權限的清單:
DE - 刪除
RC - 讀取控制
WDAC - 寫入 DAC
WO - 寫入擁有者
S - 同步
AS - 存取系統安全性
MA - 允許的最大值
GR - 一般讀取
GW - 一般寫入
GE - 一般執行
GA - 一般所有權限
RD - 讀取資料/列出目錄
WD - 寫入資料/新增檔案
AD - 附加資料/新增子目錄
REA - 讀取擴充屬性
WEA - 寫入擴充屬性
X - 執行/周遊
DC - 刪除子系
RA - 讀取屬性
WA - 寫入屬性
繼承權限的優先順序高於上述任一種格式,且僅套用到目錄:
(OI) - 物件繼承
(CI) - 容器繼承
(IO) - 僅繼承
(NP) - 不傳播繼承
(I) - 從父容器繼承的權限

範例:

icacls c:\windows\* /save AclFile /T
- 會將 c:\windows 及其子目錄下所有檔案的 ACL 儲存到 AclFile。

icacls c:\windows\ /restore AclFile
- 會還原 AclFile 之中每個檔案的 Acl,而 AclFile 位於 c:\windows
及其子目錄下。

icacls file /grant Administrator:(D,WDAC)
- 會將檔案的刪除和寫入 DAC 權限授與使用者 Administrator。

icacls file /grant *S-1-1-0:(D,WDAC)
- 會將檔案的刪除和寫入 DAC 權限授與 sid S-1-1-0 所定義的使用者。






------------------------------------------------------------------------------------------------------



C:\WINDOWS\system32>takeown /?

TAKEOWN [/S system [/U username [/P [password]]]]
/F filename [/A] [/R [/D prompt]]

描述:
這個工具可以讓系統管理員恢復之前被拒絕重新指派檔案擁有權。

參數清單:
/S system 指定要連線的遠端系統。
/U [domain\]user 指定執行命令的使用者內容。
/P [password] 指定使用者密碼。
如果省略,會出現密碼輸入要求。

/F filename 指定檔案名稱或目錄 名稱模式。萬用字元 "*" 可以用來指定 模式。允許 sharename\filename。

/A 將擁有權給予系統管理員,而非目前的使用者。

/R 遞迴搜尋: 指示工具在指定的目錄和所有子目錄中的檔案操作。

/D prompt 當目前的使用者沒有目錄 "list folder" 使用權時,所使用的預設回答。在子目錄遞迴操作時將發生
此情況。要取得擁有權,有效值為 "Y",要略過則是 "N"。

/SKIPSL 請勿接著符號連結。 僅可與 /R 搭配使用。

/? 顯示這個說明訊息。

注意: 1) 如果沒有指定 /A,檔案擁有權將給予
目前登入的使用者。

2) 不支援混合使用 "?" 和 "*"。

3) 要壓抑確認提示,請用 /D。

範例:
TAKEOWN /?
TAKEOWN /F lostfile
TAKEOWN /F \\system\share\lostfile /A
TAKEOWN /F directory /R /D N
TAKEOWN /F directory /R /A
TAKEOWN /F *
TAKEOWN /F C:\Windows\System32\acme.exe
TAKEOWN /F %windir%\*.txt
TAKEOWN /S system /F MyShare\Acme*.doc
TAKEOWN /S system /U user /F MyShare\MyBinary.dll
TAKEOWN /S system /U domain\user /P password /F share\filename
TAKEOWN /S system /U user /P password /F Doc\Report.doc /A
TAKEOWN /S system /U user /P password /F Myshare\*
TAKEOWN /S system /U user /P password /F Home\Logon /R
TAKEOWN /S system /U user /P password /F Myshare\directory /R /A

C:\WINDOWS\system32>

歡迎瀏覽 Blog (↓↑ 管理規範 ↑↓)

歡迎瀏覽 Blog (↓↑ 管理規範 ↑↓)

最新文章主題 http://hr-no.blogspot.com/ 閱覽

無任歡迎任何人,留言「張貼意見」讓我更明白?你想表達什麼!

一、書商勿擾,若有意恰,煩請等待?相關文章,請勿擅自擷取引用,若有引用?請標明出處,維護「倫理道德」。

二、若惡意引用本文,保留「法律追責」勿擅自認定解釋,本網也不另做解釋,但禁止影射認定,引起緋論。

三、基於保護當事人權益,不公開「公司行號、原始典故」,請各位閱讀者,自己另做思考。

四、本 Blog 發言,僅以 原始創作 網址 http://is-hr.blogspot.com/ 是唯一引導網址,其他轉載文章,恐有轉載者個人用意,請閱讀者多加確認網址,避免遭到「誤導」。


五、我希望維持「文章」在思維上該有的水準,因此?文章發表,將開始趨緩,儘可能的維持「十篇」的發稿量。

關於文章

HR-NO BlogSpot.com 2010 /06 /17近況:

有幾篇源自於「 http://is-hr.blogspot.com/ 」的原稿,我會在這一 HR NO當中進行描述,那些不屬於員工範圍的「工作型態」,反而與中高層的條件有關,預計?八十三節的文章,可能要「轉移約五十篇,在「下一個大主題:企業主的統御」上去;

這一個大主題:HR-NO在 2010 / 08 /09 增加到98篇儲稿。

還有增加的可能,來強調某種主題!

我會將這一年「12個月份、每月七節 + 外 N 節」妥善的完成。

因為這是我人生至今為止,最直接展示的社會現象。


釋出太多,被逼寫心得感想的人,別懷恨在心;聽說最少2000字,真假的?你們董事大人好狠心!

(建議:觀看者在寫心得時,最少要交 4000 字的心得報告,因為一個「高中生」都能交給我「滿滿 5600 字的工作心得,甚至描述各種工作現況」。)

當主管的人,做錯事,在期限前,有下面的人扛?那基層員工就是「背黑鍋、擔責任」錯誤永遠是「管理職、資深者」造成。

每月,固定釋出八章(含外節),因為我很多「錯別字」都還沒修訂! 請多包涵!

千萬不要找我當人資專員,我會玩殘很多「投機的人」。

明年預備的主題 Blog 「將關於BOSS的問題!」 明年豋場!

望能勉勵

不恨此山,不弒君。 仍志明;
不得天翼,不能斷。 仍天下;
不雪天下,不布武。 仍大海;
不能天地,不恨頭。 仍望優;

西元1997年六月讀完戰國策後......發瘋寫下的四言三緞。


大家都聽過.........
人嚇人會嚇死人;僅只有人會搞鬼!
搞得越大嚇死人;越來越多人嚇人!

我的特異能叫做「黑暗 Dark」而我也暱稱為 Dark Man

效能一:有光就有影,有影就有 Dark 之力,銷毀光明假象,創造文明知識未來。
效能二:當你凝視 Dark 時,Dark 將從四面八方包圍你。
效能三:Dark 不能說的秘密;會引起群眾恐慌!

以下問答,請在看完後,細細思量!你才能有所領悟!
別被表面的所帶過,請細細思量其中互動。

A
問答題:外星人近期,來過地球嗎?
解答是:外星人來過,但地球人的心智水準太低,根本不懂「接觸表徵」。

C
問答題:我寫得很順嗎?
解答是:以前寫過數個月的「長篇小說」,因此?寫起來還算順,但我不是「社工科系」出生,這些文章,全部都是「事實演化」有感而發描述。我也並未參考過任何「人資書籍」。

C2
問答題追加答案:
我若要將這個主題寫得好,就更不該去看「人資書籍」,而該閱讀更多實際案例,以案例情節;來撰寫事實。


D
問答題:你到底懂得多少東西?(看你YAHOO知識+的列表)(2013年後YAHOO知識家更新版本)
解答是:知無不言,言無不盡;只要我懂一分,就回答一分。

E
問答題:你到底會寫到什麼時候?( Blog spot )
解答是:你們相信嗎?現在寫的都是「綱要關係」,Dark Man 根本都還沒開始寫進入主題!

F
問答題:「孔子」周遊列國時,為何遭到追殺?
解答是:「孔子」率領近千百人,在列國諸侯之間引起戰亂,甚至進行武裝民兵叛變,列國諸侯能不殺「孔子」嗎?孔子不見得只是「禮教先師」,甚至可能是「恐怖份子」的祖師爺。

G
問答題:職場上「沒有友情」可以敘述嗎?
解答是:「對別人好一分,就是減少自己的好二分;這是資本主義所主張的行為。」因此?你要我如何在「資本策略的工作環境」上描述「友情」的行為?倒不如說「勾心鬥角」的逼迫?致使[ EQ ]成為一種毫無道德意識的容器。

H
問答題:Dark Man 到底是何方神聖?
解答是:從前有人描述我是「三頭六臂、凶神惡煞」?見過之後,才知道「別人賦予我,很深邃的黑暗。」

H2
修飾:我形容自己是「一座大海中的冰山,僅露出一小部分在海面上,讓人不知道冰山有多大!想要窺視冰山全貌的機會不多?除非你看見「冰山如 UFO 從海中升空飛馳而去。」當然,船隻撞上冰山?都沒有好結果,後面你們自己想像吧!