Enumerar y administrar permisos de carpetas y archivos en Windows – TrucosInformaticos

General

el incorporado iCACLS.exe La herramienta se utiliza para administrar permisos NTFS en archivos y carpetas en Windows desde el símbolo del sistema. El iCACLS permite enumerar, cambiar, eliminar, realizar copias de seguridad y restaurar permisos NTFS, o cambiar el propietario de un objeto del sistema de archivos.

Cómo enumerar permisos de archivos usando iCACLS

Enumere los permisos para un archivo o carpeta específica con el comando:

icacls C:\DOCs\IT_Dept

Este comando devuelve una lista de permisos para un objeto en el formato de Lista de control de acceso discrecional (DACL). El DACL contiene un conjunto de entradas de entrada de control de acceso (ACE), cada una de las cuales describe un usuario o grupo y los permisos NTFS asignados a ellos. Es similar a la lista de permisos NTFS que puede ver en la página Seguridad pestaña de las propiedades del archivo en Explorador de archivos.

icacls muestra permisos

Las entradas de ACE tienen el siguiente formato:

Security principal : permission levels

¿Qué incluye una entrada típica de ACE? Por ejemplo:

CONTOSO\fs01-IT_dept_R:(OI)(CI)(RX)

CONTOSO\fs01-IT_dept_R – is a security principal (group or user) to which permissions are assigned.

La lista de permisos asignados a la entidad de seguridad sigue a los dos puntos (:).

  • (IO) — herencia de objeto;
  • (CI) — herencia del contenedor;
  • (Recepción) — Acceso de lectura y ejecución.

Puede ver cómo se ve la misma entrada ACE en la GUI del Explorador de archivos:

  1. Abra las propiedades del archivo o carpeta;
  2. Navega hasta el Permisos pestaña;
  3. Hacer clic Avanzado;
  4. El Entradas de permisos contiene la lista de registros ACE. comando icacls

A continuación se muestra una lista completa de las abreviaturas de permisos utilizadas en icacls:

Configuración de herencia de iCACLS:

  • (OI): los objetos heredan la ACE especificada;
  • (CI): los subdirectorios del directorio actual heredan ACE;
  • (IO) — hereda sólo el objeto actual;
  • (NP) — no propagar herencia;
  • (I): permiso heredado del contenedor principal.

Permisos de acceso básicos:

  • D — eliminar acceso;
  • F — acceso completo;
  • N – sin acceso;
  • M — modificar (incluye ‘eliminar’);
  • RX: acceso de lectura y ejecución;
  • R — acceso de sólo lectura;
  • W: acceso de sólo escritura.

Permisos detallados:

  • DE — eliminar;
  • RC: control de lectura;
  • WDAC: escribe DAC;
  • WO — escribe propietario;
  • S — sincronizar;
  • AS — seguridad del sistema de acceso;
  • MA: los permisos máximos permitidos;
  • GR – lectura genérica;
  • GW – escritura genérica;
  • GE – ejecución genérica;
  • GA – genérico todo;
  • RD: leer directorio de datos/lista;
  • WD: escribir datos/añadir archivo;
  • AD: agregar datos/agregar subdirectorio;
  • REA: lee atributos extendidos;
  • WEA: escribe atributos extendidos;
  • X – ejecutar/atravesar;
  • DC: eliminar niño;
  • RA — leer atributos;
  • WA: escribir atributos.

La sintaxis completa del comando icacls y algunos ejemplos de uso útiles se pueden ver en cualquier momento:

icacls.exe /?

permisos de carpeta icacls

Establecer y eliminar permisos de archivos con iCACLS

Ahora veamos algunos ejemplos típicos del uso de la herramienta iCACLS para configurar (cambiar) permisos de archivos o carpetas en Windows.

Conceder usuario John permisos para modificar (METRO) el contenido de la carpeta especificada:

icacls C:\PS /grant John:M

El siguiente ejemplo más complejo muestra cómo otorgar control total (F) permisos para una carpeta y elementos anidados para un grupo de dominio:

icacls "C:\PS" /grant domainname\NYUsers:(OI)(CI)(F) /Q /C /T
  • nombre de dominio\NYUsers — Puede ser un usuario o grupo local o de dominio al que desea otorgar permisos. Es posible utilizar nombres de grupos integrados: Administradores, Todos, Usuariosetc.
  • (IO) (CI) — heredar permisos de objetos en archivos y carpetas dentro del directorioю
  • (F) otorgar permisos de control total. Luego es necesario aplicar varios permisos, por ejemplo. leer + ejecutar y escribir, sepárelos con coma, así:(RX,W)
  • /Q — suprimir mensajes de éxito
  • /DO — continuar con los errores
  • /T — aplicar cambios a todos los archivos y subdirectorios (recursivamente)

icacls obtiene permisos

Utilice la variable de entorno %username% para otorgar permisos al usuario actualmente conectado:

ICACLS c:\PS /grant %username%:F

El :v con /conceder El parámetro se utiliza para reemplazar las ACL existentes en lugar de agregar una nueva entrada de ACL:

icacls C:\PS /grant:r Administrators:F

Denegar algunos permisos de acceso a entidades principales de seguridad específicas (opción que rara vez se utiliza). Por ejemplo, negarle al usuario la posibilidad de eliminar archivos (D):

icacls c:\ps /deny "NYUsers:(CI)(D)"

Eliminar los permisos NTFS asignados a un usuario:

icacls C:\PS /remove John

Nota. Recuerde que las reglas de denegación tienen mayor prioridad que las de permiso.

Utilice el /herencia cambie con una de las opciones para administrar la herencia de permisos de carpeta/archivo.

  • mi — habilitar la herencia;
  • d — desactivar la herencia y copiar el ACE actual;
  • r — eliminar todas las ACE heredadas.

Por ejemplo, habilite la herencia de permisos:

icacls c:\PS /inheritance:e

Propague nuevos permisos a todos los archivos y subcarpetas sin utilizar la herencia:

icacls "C:\PS\" /grant:r Everyone:(NP)(RX) /T

En este caso no se sobrescriben permisos de subcarpetas específicos.

Restablecer los permisos de archivos actuales:

icacls C:\ps\secret.docx /T /Q /C /RESET

permisos de visualización de icacls

Esto reemplazará los permisos del archivo con los permisos heredados de la carpeta principal (equivalente a «Reemplace todas las entradas de permisos secundarios con permisos heredables de este objeto«Opción en el Explorador de archivos).

Cambio de propiedad mediante ICACLS

El comando icacls se puede utilizar para cambiar el propietario de un directorio o carpeta. Por ejemplo:

icacls c:\ps\ /setowner John /C /L /Q /T

Este comando sólo permite cambiar el propietario del archivo del que eres propietario. Si no es el propietario actual del objeto, utilice el comando takeown para tomar propiedad del archivo o carpeta.

Cómo hacer una copia de seguridad y restaurar las ACL de NTFS utilizando ICACLS

El comando icacls permite guardar las ACL del objeto actual en un archivo de texto sin formato (una especie de forma de realizar una copia de seguridad de las ACL).

Exporte la ACL actual de la carpeta y guárdela en el archivo *.TXT:

icacls C:\PS\* /save c:\temp\PS_folder_ACLs.txt /T

Las ACL de todas las subcarpetas y archivos se incluyen en el archivo TXT de destino.

icacls comprueba permisos

Para aplicar las ACL guardadas a la carpeta (restaurar permisos):

icacls C:\PS /restore c:\temp\PS_folder_ACLs.txt /T /C /Q

Esto hace que sea mucho más fácil copiar ACL de una carpeta a otra (o entre hosts).

Valora este post

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *