|
Comment utiliser Icacls ?
Dernière mise à jour : 02/02/2007
Afficher ou modifier les listes de contrôle d'accès
À partir de l'Invite de commandes vous pouvez modifier les ACL des fichiers en vous servant d'un outil nommé Icacls.
icacls Objets /save Nom_Fichier [/T] [/C] [/L]
Stocke les listes de contrôle d'accès pour tous les fichiers correspondants dans Nom_Fichier. Cette commande permet par la suite d'utiliser le paramètre /restore.
icacls Nom_Répertoire [/substitute Ancien_SID Nouveau_SID [...]] /restore Nom_Fichier [/C] [/L]
Applique les listes de contrôle d'accès stockées aux fichiers présents dans le répertoire.
icacls Objets /setowner utilisateur [/T] [/C] [/L]
Modifie le nom du propriétaire pour tous les fichiers correspondants.
icacls Objets /findsid SID [/T] [/C] [/L]
Recherche tous les fichiers correspondants qui contiennent une liste de contrôle d'accès mentionnant de façon explicite le SID.
icacls Objets /verify [/T] [/C] [/L]
Recherche tous les fichiers dont la liste de contrôle d'accès n'est pas canonique ou dont les longueurs ne sont pas cohérentes avec les nombres d'entrées de contrôle d'accès.
icacls Objets /reset [/T] [/C] [/L]
Remplace les listes de contrôle d'accès par les listes héritées par défaut pour tous les fichiers correspondants.
icacls Objets [/grant[:r] SID:autorisation[...]]
Octroie les droits d'accès utilisateur spécifiés.
- Avec le commutateur :r, les autorisations remplacent toute autorisation explicite précédemment accordée.
- Sans le commutateur :r, les autorisations sont ajoutées aux autorisations explicites précédemment accordées.
icacls Objets /deny ISD:autorisation
Refuse de manière explicite les droits d'accès utilisateur spécifiés. Une entrée de contrôle d'accès de refus explicite est ajoutée aux autorisations mentionnées et les mêmes autorisations dans tout accord explicite sont supprimées.
icacls Objets /remove[:[g|d]] SID
Supprime toutes les occurrences de SID dans la liste de contrôle d'accès.
- Avec le commutateur :g, toutes les occurrences de droits accordés à ce SID sont supprimées.
- Avec le commutateur :d, toutes les occurrences de droits refusés à ce SID sont supprimées.
icacls Objets /setintegritylevel [(CI)(OI)]
Ce niveau ajoute explicitement un ACE d'intégrité (un niveau d'intégrité) au dossier correspondant. Le niveau peut être :
Les options d'héritage de l'ACE d'intégrité peuvent précéder le niveau et ne sont appliquées qu'aux répertoires.
Les SID peuvent être spécifiés au format numérique ou sous forme de nom convivial. Si le format numérique est utilisé, ajoutez un astérisque avant l'indication du SID.
- /T indique que cette opération est effectuée sur tous les fichiers/répertoires correspondants qui se trouvent sous les répertoires spécifiés dans le nom.
- /C indique que cette opération se poursuivra sur toutes les erreurs de fichiers. Les messages d'erreurs continueront à s'afficher.
- /L indique que cette opération est effectuée directement sur un lien symbolique plutôt que sur sa cible.
Icacls conserve l'ordre canonique des entrées de contrôle d'accès :
- Refus explicites ;
- Octrois explicites ;
- Refus hérités ;
- Octrois hérités.
Une ACL est explicite quand elle ne fait pas partie de l'héritage du répertoire parent. Dans le cas contraire nous parlons d'une ACL héritée. Le masque d'autorisation et peut être défini sous deux formes.
Voici les autorisations génériques :
* F : Accès complet
* M : Accès en modification
* RX : Accès en lecture et exécution
* R : Accès en lecture seule
* W : Accès en écriture seule
Voici la liste des autorisations spéciales :
* D : Suppression
* RC : Contrôle en lecture
* WDAC : Accès en écriture à la liste de contrôle d'accès
* WO : Accès en écriture du propriétaire
* S : Synchronisation
* AS : Accès à la sécurité système
* MA : Maximum autorisé
* GR : Lecture générique
* GW : Écriture générique
* GE : Exécution générique
* GA : Générique pour tout
* RD : Lecture de données/Liste du répertoire
* WD : Écriture de données/Ajout de fichiers
* AD : Ajout de données/Ajout de sous-répertoires
* REA : Attributs de lecture étendus
* WEA : Attributs d'écriture étendus
* X : Exécution/Parcours
* DC : Suppression de l'enfant
* RA : Attributs de lecture
* WA : Attributs d'écriture
Utilisez dans ce cas une liste séparée par des virgules de droits spécifiques placée entre parenthèses.
Les droits d'héritage peuvent précéder n'importe quelle forme et ne sont appliqués qu'aux répertoires :
- (OI) : Héritage d'objet ;
- (CI) : Héritage de conteneur ;
- (IO) : Héritage uniquement ;
- (NP) : Ne pas transmettre l'héritage.
Utiliser iCacls
Nous allons prendre un exemple simple…
Créez tout d'abord un répertoire nommé Test dans votre répertoire d'utilisateur. Utilisez maintenant les commandes suivantes :
Afin de visualiser la liste des ACLs : icacls test
Trois utilisateurs ou groupes d'utilisateurs seront donc listés : Vous, le groupe SYSTEM et le groupe des Administrateurs.
- Ils possèdent tous le contrôle total sur ce répertoire : (F) ;
- L'ACL est héritée : (IO) ;
- L'héritage s'applique au conteneur (le dossier) : (CI) ;
- Il s'applique également aux objets (sous-dossiers et fichiers) : (OI).
Afin de sauvegarder le masque des permissions : icacls test /save "Permissions de Test"
Le fichier peut s'ouvrir avec le Bloc-notes Windows. Il énumère les SID des utilisateurs ainsi que la liste des permissions en utilisant la syntaxe SDDL.
Afin de supprimer les groupes des administrateurs : icacls test /remove:g administrateurs
Afin d'activer le mécanisme d'héritage : icacls test /reset
Afin de vous accorder un accès en écriture à la liste de contrôle d'accès du dossier Test : icacls fichier /grant jean:(WDAC)
Cette permission sera mentionnée dans les "Autorisations spéciales".
|
