Записи - это пользователи и группы, относящиеся к этому файлу (DOMAIN \ USER или GROUP), перечисленные разрешения:
SID могут быть в числовой или дружественной форме. Если вы используете числовую форму, прикрепите подстановочный знак * к началу SID.
icacls сохраняет канонический порядок записей ACE как:
- Явные опровержения
- Явные гранты
- Унаследованные отказы
- Унаследованные гранты
Пермь - это маска прав, которую можно указать в одной из следующих форм:
- Последовательность простых прав:
- F (полный доступ)
- M (изменить доступ)
- RX (доступ для чтения и выполнения)
- R (доступ только для чтения)
- W (доступ только для записи)
- Список через запятую в скобках конкретных прав:
- D (удалить)
- RC (контроль чтения)
- WDAC (напиши DAC)
- WO (написать владельцу)
- S (синхронизировать)
- AS (система безопасности доступа)
- MA (максимально допустимый)
- GR (общее чтение)
- GW (общая запись)
- GE (универсальное исполнение)
- GA (универсальный все)
- RD (читать каталог данных / списка)
- WD (запись данных / добавление файла)
- AD (добавить данные / добавить подкаталог)
- REA (читать расширенные атрибуты)
- WEA (написать расширенные атрибуты)
- X (выполнить / пройти)
- DC (удалить ребенка)
- RA (читать атрибуты)
- WA (запись атрибутов)
Права наследования могут предшествовать любой пермской форме, и они применяются только к каталогам:
- (OI) : наследование объекта
- (CI) : контейнер наследуется
- (IO) : наследовать только
- (NP) : не размножать наследовать
- (I) : разрешение, унаследованное от родительского контейнера
Для файлов маски разрешений более или менее говорят сами за себя: R
означает, что вы можете прочитать файл, разрешить X
его выполнение (как программу) и так далее.
Для других типов объектов вам нужно будет просмотреть MSDN:
Право наследования на английском языке:
(I)
«Унаследовано»: этот ACE был унаследован от родительского контейнера.(OI)
«Объектное наследование»: этот ACE будет наследоваться объектами, помещенными в этот контейнер.(CI)
«Наследование контейнера»: этот ACE будет наследоваться подконтейнерами, размещенными в этом контейнере.(IO)
«Наследовать только»: этот ACE будет наследоваться (см.OI
ИCI
), но не относится к самому объекту.(NP)
«Не распространять»: этот ACE будет наследоваться объектами и субконтейнерами на один уровень глубины - он не будет применяться к вещам внутри субконтейнеров.
Для файловой системы «контейнер» означает папку, а «объект» означает файл, но помните, что списки ACL могут быть установлены для многих других типов объектов, не все из которых имеют понятие «контейнеры».