Comment accorder l'autorisation d'utilisateurs pour un répertoire à l'aide de la ligne de commande dans Windows?

Comment puis-je accorder des autorisations à un utilisateur sur un répertoire (Lire, Écrire, Modifier) à l'aide de la ligne de commande de Windows?

InformationsquelleAutor Amitabh | 2010-05-28
  1. 389

    De Vista, cacls est obsolète. Voici les deux premières lignes de l'aide:

    C:\>cacls
NOTE: Cacls is now deprecated, please use Icacls.

Displays or modifies access control lists (ACLs) of files

    Vous devez utiliser icacls à la place. C'est une façon de permettre à John le plein contrôle sur D:\test dossier et tous ses sous-dossiers:

    C:\>icacls "D:\test" /grant John:(OI)(CI)F /T

    Selon faire MS documentation:

    • F = Contrôle Total
    • CI = Conteneur Héritent - Ce drapeau indique que les conteneurs secondaires hériteront de cette ACE.
    • OI = Object Inherit - Ce drapeau indique que les fichiers secondaires héritera de l'ACE.
    • /T = Appliquer de manière récursive pour les fichiers et sous-dossiers. (OI et CI applique uniquement aux nouveaux fichiers et sous-dossiers). Crédit: commentaire de @AlexSpence.

    Pour une documentation complète, vous pouvez exécuter "icacls" sans arguments ou consultez la documentation de Microsoft ici et ici

    • grand. mais comment faisons-nous cela de façon récursive?
    • Felipe: La (OI) et (IC) des paramètres de rendre cette récursive
    • Merci bro... Vous avez sauvé ma journée.
    • J'ai eu des problèmes avec accès refusé d'essayer de modifier les autorisations dans l'explorateur windows INTERFACE utilisateur. L'ajout de l' /T drapeau à la fin remplacé les objets existants et a été en mesure de résoudre le problème pour moi. C:>icacls "D:\test" /grant John:(OI)(CI)F /T
    • Grand stade! Le /T est nécessaire pour mettre à jour les autorisations de fichiers et dossiers existants. La (OI) et (IC) ne s'applique qu'aux fichiers et dossiers créés dans l'avenir.
    • Je me demande pourquoi je n'ai pas besoin d'ajouter /T? En tout cas merci car cela fixe mon Win10 de mise à niveau qui semblait avoir dépouillé la sécurité de mon utilisateur dans le dossier Documents (bien que la propriété était intact)
    • Venant du monde *nix et être utilisé pour 'chown/chmod" pour donner de l'accès et de définir des autorisations via la CLI, ce fil a été très utile.
    • Dans Windows 10 j'ai eu cette erreur: Le terme 'OI' n'est pas reconnu comme nom d'applet de commande
    • Si vous êtes à l'aide de PowerShell, alors vous avez probablement besoin de citer l'argument qui a parenthèses. Qui l'entoure et 'single quotes' œuvres.
    • Votre réponse a été extrêmement utile pour moi. Merci! (Je savais à propos de /T, mais pas (OI)(CI).)
    • J'ai "OI : Le terme 'OI' n'est pas reconnu comme nom d'applet de commande, fonction, fichier de script ou d'un programme exécutable." avec cette commande. edit: j'ai essayé de l'exécuter en Powershell, la commande a bien fonctionné dans CMD.
    • Personne n'a fait mention d'une documentation bug de icacls? Plus précisément le (D) et (DE) droits comme écrit dans icacls /? ont été mal jusqu'à ce corrigé dans Windows 7. (DE) est un simple droit, tandis que (D) est un groupe de droits égaux à (DE,S).
    • Si vous exécutez ce code dans Powershell dans Windows 10, vous recevrez le message d'erreur à propos de "OI n'est pas reconnu". Solution: Placer l'utilisateur+prems d'argument dans les citations. Par exemple: C:\>icacls "D:\test" /grant "John:(OI)(CI)F" /T
    • - Je accéder nie lors de l'exécution de cette dans un admin invite, j'ai dû courir takeown /F C:\folder*, une bonne chose que je n'ai que 2 fichiers à la racine de ce dossier et de ne pas avoir des sous-dossiers.
    • Cette réponse est en fait très dangereux et trompeur. L'utilisation de cette commande sans paramètre /E résultats dans le fichier des autorisations pour le fichier qui est complètement écrasée. Le résultat de la commande ci-dessus est que toutes les autorisations sur les fichiers sont supprimés et remplacés par l'octroi de Jean d'accès complet.

    InformationsquelleAutor Călin Darie
  2. 73

    Vous pouvez également utiliser ICACLS.

    D'accorder la Utilisateurs groupe le Plein Contrôle à un dossier:

    >icacls "C:\MyFolder" /grant Users:F

    D'accorder Modifier l'autorisation d'utilisateurs IIS pour C:\MyFolder (si vous avez besoin de votre IIS a la capacité de R/W fichiers dans le dossier spécifique):

    >icacls "C:\MyFolder" /grant IIS_IUSRS:M

    Si vous ne ICACLS /? vous serez en mesure de voir toutes les options disponibles.

    • Et étant donné que cacls est parti, c'est encore plus en raison de l'utilisation d' icacls.
    • L'ajout de plein de contrôle n'a pas fonctionné pour moi jusqu'à ce que /grant Users:(OI)(CI)F utilisé
    • Dois-je remplacer les Users avec quelque chose d'autre ou PAS ? Selon icacls "C:\MyFolder" /grant Users:F
    • Si l'utilisateur est un membre du groupe d'utilisateurs nommé "Utilisateurs" (qui, sur Windows 7, c'est normalement le cas), puis de l'octroi d'une autorisation à ce groupe va affecter les droits d'accès de l'utilisateur actuel. Dans les autres cas, remplacer le nom des Utilisateurs avec le nom réel de l'utilisateur actuel (par exemple, Jean), donc: /subvention John:(OI)(CI)F
    InformationsquelleAutor Vin.X
  3. 21

    Ouvrez une Invite de Commande, exécutez cette commande:

    icacls "c:\somelocation\of\path" /q /c /t /grant Users:F

    F donne un Accès Complet.

    /q /c /t applique les autorisations sur les sous-dossiers.

    Remarque: Parfois, "Exécuter en tant qu'Administrateur" vous aidera.

    • "Exécuter en tant qu'Administrateur" est nécessaire, tout simplement la meilleure réponse!
    InformationsquelleAutor Sireesh Yarlagadda
  4. 19

    Utilisation cacls de commande. Voir les informations ici.

    CACLS fichiers /e /p {nom d'utilisateur}:{PERMISSION}

    Où,

    /p : Ensemble d'autorisation

    /e : autorisation de modification et gardé la vieille autorisation comme il est c'est à dire modifier les ACL au lieu de la remplacer.

    {Nom d'utilisateur} : Nom de l'utilisateur

    {PERMISSION} : l'Autorisation peut être:

    R - Lire

    W - Écrire

    C - change (écrire)

    F - contrôle total

    Par exemple octroi de Rocky Complet (F) contrôle avec la commande suivante (tapez à l'invite de commande Windows):

    C:> CACLS fichiers /e /p rocky:f

    Lire la totalité de l'aide en tapant la commande suivante:

    C:> cacls /?

    • Super réponse! Seule chose à noter, c'est que les fichiers est que les fichiers que vous souhaitez modifier les autorisations. Peut-être [fichiers] ou {fichiers} serait une meilleure explication.
    • Cacls est obsolète !
    • cacls est pertinent; il est toujours disponible dans Windows 10; Microsoft serait déprécier cmd.exe en faveur de Powershell trop.
    • Être "toujours disponible" ne veut pas dire que quelque chose est une bonne idée d'utiliser ou recommander d'autres personnes à utiliser. Aussi, cmd.exe n'est pas obsolète et n'est pas susceptible de l'être, si ce n'est pas un argument en faveur de icacls du tout, bien au contraire.
    • Je sais. Je n'ai pas l'état, si c'est une bonne idée d'utiliser ou recommander cacls.exe. Ni ai-je mentionné que cmd.exe est déjà obsolète. Je pense que les gens devraient au moins être au courant de sa disponibilité dans les versions supérieures, même seulement pour des raisons de compatibilité descendante ou pour toute autre raison autre chose.
    • Plus un pour y compris le paramètre /e pour éditer plutôt que de remplacer les autorisations sur les fichiers

    InformationsquelleAutor Jorge Ferreira
  5. 11

    J'essaie de le ci-dessous et de travail pour moi:

    1. ouvrir cmd.exe

    2. takeown /R /F *.*

    3. icacls * /T /grant [username]:(D)

    4. del *.* /S /Q

    Afin que les fichiers peuvent devenir mon propre accès et il attribuer à "Supprimer" et puis je peux supprimer les fichiers et les dossiers.

    InformationsquelleAutor Ray Huang
  6. 6

    Corrompus Autorisations: Retrouver l'accès à un dossier et de ses sous-objets

    Bien que la plupart des réponses postées en réponse à la question ont un certain mérite, à mon humble avis, aucun d'entre eux donne une solution complète. La suite (peut-être) une solution parfaite pour Windows 7 si vous êtes en lock-out d'un dossier corrompu par les paramètres d'autorisation:

    icacls "c:\folder" /remove:d /grant:r Everyone:(OI)(CI)F /T

    Pour Windows 10 l'utilisateur/SID doit être spécifié après le /remove:d option:

    icacls "c:\folder" /remove:d Everyone /grant:r Everyone:(OI)(CI)F /T

    .

    Notes:

    1. La commande est appliquée dans le répertoire spécifié.

    2. La spécification de l'utilisateur "tout le monde", la plus large possible de l'autorisation, car il comprend chaque possible pour l'utilisateur.

    3. L'option "/supprimer:d" supprime tout refus explicite des paramètres qui peuvent exister, comme ceux de remplacer explicite PERMETTRE paramètres: un préliminaire nécessaire à la création d'un nouveau paramètre AUTORISER. Ce n'est qu'une précaution, comme il n'y a souvent pas de NIER réglage de l'heure actuelle, mais mieux vaut prévenir que guérir.

    4. L'option "/grant" crée un nouveau paramètre AUTORISER, d'une autorisation explicite qui remplace ("r") et que tous explicite PERMETTRE des réglages qui peuvent exister.

    5. Le "F" de paramètre (c'est à dire l'autorisation de création) en fait une subvention d'un contrôle total.

    6. L' "/T" paramètre ajoute la récursivité, l'application de ces modifications à tous les actuel des sous-objets dans le répertoire spécifié (par exemple les fichiers et sous-dossiers), ainsi que le dossier lui-même.

    7. L' "(OI)" et "(CI)" paramètres également ajouter la récursivité, l'application de ces modifications pour les sous-objets créés par la suite.

      .

    ADDITIF (2019/02/10) -

    Windows 10 de ligne de commande ci-dessus a été aimablement suggéré pour moi aujourd'hui, si elle est ici. Je n'ai pas de Windows 10 pour le tester, mais s'il vous plaît essayer si vous avez (et puis vous s'il vous plaît poster un commentaire ci-dessous).

    Le changement ne concerne que la suppression du paramètre de refus comme une première étape. Il pourrait bien ne pas être de tout paramètre REFUSER présent, alors que l'option peut pas faire de différence. Ma compréhension est, sur Windows 7, que vous n'avez pas besoin de spécifier un utilisateur après /supprimer:d mais j'ai peut-être tort à propos de cette!

    .

    ADDITIF (2019/11/21) -

    Utilisateur astark recommande de remplacer tout le monde avec le terme *S-1-1-0 pour que la commande soit indépendante de la langue. Je n'ai qu'une installation en anglais de Windows, donc je ne peux pas tester cette proposition, mais il me semble raisonnable.

    • Aucune disposition n'est nécessaire pour les autorisations HÉRITÉES, parce que les autorisations EXPLICITES de les remplacer. Ainsi, la création de la nouvelle définition explicite annule toute hérité de paramètres qui peuvent exister (parce que la nouvelle définition explicite comprend la récursivité).
    • Invalid parameter "/remove:d"
    • Je suis en cours d'exécution (pouvez uniquement exécuter) icacls.exe sur Windows 7. Je ne peut pas commenter, ni de test pour, toute modification qui pourrait exister sur Windows 8 ou 10. Testé par moi sur Windows 7 64-bit, l'option supprimer est efficace pour éliminer REFUSER paramètres. Son utilisation peut entraîner un message d'erreur si il n'y a PAS de nier les paramètres présents, mais si il y a aucun de ceux-là il ne peut pas les enlever de toute façon.
    • Une incapacité à se reproduire exactement de la ligne de commande originale dans ma réponse (sauf pour le chemin d'accès au répertoire) entraînera l'échec d'une commande. En particulier, ne PAS ajouter des guillemets qui ne sont pas dans ma réponse. Si vous envelopper (par exemple) le /supprimer:d option dans le devis, la commande sera bien sûr d'échouer.
    • ouais je n'ai pas utiliser de guillemets. Je suis à l'aide de Windows 10, par la manière. Ce qui est intéressant, c'est que /supprimer:d c'est une syntaxe de paramètre dans la sortie de l'aide ICACLS name [/grant[:r] Sid:perm[...]] [/deny Sid:perm [...]] [/remove[:g|:d]] Sid[...]] [/T] [/C] [/L] [/Q] [/setintegritylevel Level:policy[...]] et heres informations supplémentaires: /remove[:[g|d]] Sid removes all occurrences of Sid in the ACL. With :g, it removes all occurrences of granted rights to that Sid. With :d, it removes all occurrences of denied rights to that Sid. une idée?
    • Eh bien, j'éprouve de la sympathie. Mais j'utilise Windows 7. Avec la grâce de Dieu, je vais jamais de l'utilisation de Windows 10. Je préfère migrer vers Ubuntu! J' suspect que /supprimer:g va probablement supprimer tous les droits, AUTORISER et REFUSER les entrées (mais avec une possibilité que les "acquis" dans ce contexte signifie seulement PERMETTRE et donc, il ne traitera pas de NIER les entrées); considérant que /supprimer:d sera sans doute que supprimer le REFUSER des entrées, laissant tout de PERMETTRE des entrées inchangé. Mais bien sûr, je ne peux pas en être sûr.
    • Parfait... cependant, vous devez remplacer Everyone par *S-1-1-0 être indépendante de la langue.

    InformationsquelleAutor Ed999
  7. 4

    J'ai du mal avec ça pendant un moment et seulement en combinant les réponses dans ce thread a fonctionné pour moi (sur Windows 10):

    1. Ouvrir cmd ou PowerShell et allez dans le dossier avec les fichiers

    2. takeown /F /R .

    3. icacls * /T /de la subvention dan:F

    Bonne chance!

    InformationsquelleAutor Daniil Shevelev
  8. 3

    Juste au cas où il n'y a personne d'autre qui trébuche sur cette page, si vous voulez chaîne de diverses autorisations ensemble dans une commande, j'ai utilisé ceci:

    icacls "c:\TestFolder" /grant:r Test_User:(OI)(CI)(RC,RD,RX)

    Note le csv chaîne pour les diverses autorisations.

    • Je vous remercie beaucoup. Il m'a aidé à définir l'autorisation de RX & RD. En plus de l'exemple donné dans l'Internet a été expliqué avec /F permission, ce Qui ne devrait pas être le cas.
    InformationsquelleAutor Ads
  9. 2

    Avec un script vba Excel à disposition et de créer des comptes. J'ai été d'avoir à accorder des droits complets d'autorisations pour le dossier et sous-dossiers qui ont été créés par l'outil à l'aide de nos administrateurs 'x' compte de notre nouvel utilisateur.

    cacls cherché quelque chose comme ceci:
    cacls \Fichiers\Utilisateurs\nom d'utilisateur /e /g Domaine\nom d'utilisateur:C

    J'avais besoin de migrer ce code pour Windows 7 et au-delà. Ma solution est avéré être:

    icacls \Fichiers\Utilisateurs\nom d'utilisateur /de la subvention:r de Domaine\nom d'utilisateur:(OI)(CI)F /t

    /subvention:r - Subventions prévues droits d'accès des utilisateurs. Les autorisations de remplacer précédemment accordées les autorisations explicites. Sans :r, les autorisations sont ajoutées à celle précédemment accordée autorisations explicites

    (OI)(CI) - Ce dossier, sous-dossiers et fichiers.

    F - Accès Complet

    /t - Parcourir tous les sous-dossiers pour correspondre à des fichiers/répertoires.

    Ce que cela m'a donné était un dossier sur ce serveur que l'utilisateur ne pouvait voir que le dossier et a créé des sous-dossiers, qu'ils pouvaient lire et écrire des fichiers. Ainsi que de créer de nouveaux dossiers.

    InformationsquelleAutor Gus
  10. 1

    XCACLS.VBS est un très puissant script qui va modifier/modifier les ACL info. c:\windows\system32\cscript.exe xcacls.vbs aider retourne tous les commutateurs et les options.

    Vous pouvez obtenir de distribution officiel de Microsoft Page De Support

    • Pouvez-vous donner un point de référence où XCACLS.VBS peut être trouvé?
    InformationsquelleAutor g222
  11. 1

    En vrac de création de dossier et accorder l'autorisation de travaux m'en utilisant le ci-dessous un script powershell.

    Import-Csv "D:\Scripts\foldernames.csv" | foreach-object {
    $username = $_.foldername 

    # foldername is the header of csv file

$domain = “example.com”

$folder= "D:\Users"

$domainusername = $domain+“\”+$username

New-Item $folder$username –Type Directory

Get-Acl $folder$username  

$acl = Get-Acl $folder$username

$acl.SetAccessRuleProtection($True, $False)

$rule = New-Object System.Security.AccessControl.FileSystemAccessRule("Administrators","FullControl", "ContainerInherit, ObjectInherit", "None", "Allow")
$acl.AddAccessRule($rule)

$rule = New-Object System.Security.AccessControl.FileSystemAccessRule("SYSTEM","FullControl", "ContainerInherit, ObjectInherit", "None", "Allow")
$acl.AddAccessRule($rule)

$rule = New-Object System.Security.AccessControl.FileSystemAccessRule("$domain\Domain Admins","Read", "ContainerInherit, ObjectInherit", "None", "Allow")
$acl.AddAccessRule($rule)

$rule = New-Object System.Security.AccessControl.FileSystemAccessRule($domainusername,"Modify", "ContainerInherit, ObjectInherit", "None", "Allow")
$acl.AddAccessRule($rule)

Set-Acl $folder$username $acl

    }

    Remarque: Vous devez créer des même domaine nom d'utilisateur dans le fichier csv sinon vous aurez des problèmes d'autorisation

    InformationsquelleAutor user2934980
  12. 0
    attrib +r +a +s +h <folder name> <file name> to hide
attrib -r -a -s -h <folder name> <file name> to unhide
    • Ceux-ci sont les attributs du fichier (lecture seule, archive, système, hidden) pas les autorisations, qui sont liés à des comptes d'utilisateur.
    InformationsquelleAutor Yashwanth
  13. 0

    excellent point de Călin Darie

    J'ai eu beaucoup de scripts à utiliser cacls je les déplacer vers icacls
    comment jamais je ne pourrais pas trouver un script pour changer la racine de montage des volumes d'exemple: d:\datafolder. J'ai finalement créé le script ci-dessous, qui monte le volume, à titre temporaire, le lecteur applique ensuite de la sec. puis il démonte. C'est la seule façon que j'ai trouvée que vous pouvez mettre à jour la racine de montage de sécurité.

    1 obtient le montage de dossier GUID un fichier temporaire puis lit le GUID de monter le volume en tant que lecteur temp X: s'applique sec et enregistre les modifications, puis démonte le Volume du lecteur X: de sorte que le dossier monté n'est pas modifié ou interrompu les autres, puis l'appliquer à la sec.

    voici un exemple de mon script:

    **mountvol "d:\%1" /L >tempDrive.temp && FOR /f "tokens=*" %%I IN (tempDrive.temp) DO mountvol X: %%I 
D:\tools\security\icacls.exe  %~2 /grant domain\group:(OI)(CI)F /T /C >>%~1LUNsec-%TDWEEK%-%TMONTH%-%TDAY%-%TYEAR%-%THOUR%-%TMINUTE%-%TAM%.txt
if exist x:\*.* mountvol X: /d**
    InformationsquelleAutor HandyMannyHE
  14. 0

    Je suis Administrateur et un script placé "Refuser la permission à mon nom sur tous les fichiers et sous-dossiers dans un répertoire. L'exécution de la icacls "D:\test" /grant John:(OI)(CI)F /T commande n'a pas fonctionné, car il semblait qu'il ne retirez pas le "Refuser" à droite de mon nom de cette liste.

    La seule chose qui a fonctionné pour moi est la réinitialisation de toutes les autorisations avec le icacls "D:\test" /reset /T commande.

    • Il est possible de surmonter le problème sans l'aide de la commande de réinitialisation, en spécifiant "/supprimer:d" supprimer tout refus explicite des paramètres qui peuvent exister - voir ma solution parfaite (ci-dessus).
    InformationsquelleAutor B. Zoli
  15. -4

    C'est ce qui a fonctionné pour moi:

    1. Ouvrir manuellement le dossier pour lequel l'accès est refusé.

    2. Sélectionnez le fichier Exécutable/l'application fichier dans ce dossier.

    3. Un clic-droit dessus et allez à Propriétés -> Compatibilité

    4. Maintenant voir le Niveau de Privilège et vérifiez qu'il Exécuter en tant Qu'Administrateur

    5. Cliquez sur Modifier les Paramètres pour tous les utilisateurs.

    Le problème est résolu maintenant.

    • La question est de faire le au-dessus de l'auge de la ligne de commande. Alors votre suggestion peut bien fonctionner, il n'est pas applicable si vous avez seulement accès terminal (ssh) pour une sever qui doit être mis en place, donc vous aurez besoin d'utiliser un script cmd
    InformationsquelleAutor MAYUR