Verzeichnisrechte mit ICACL bearbeiten

Neben der Bearbeitung von Verzeichnisrechten mit einer grafischen Oberfläche, lassen sich Verzeichnisrechte auch recht einfach mit dem Befehl icacls.exe bearbeiten. Der Befehl ist ab Windows Vista / Windows Server 2003 SP2 verfügbar. Hier ein paar Beispiele, um einige Funktionen aufzuzeigen:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
REM (1) Aktuelle Verzeichnisrechte vom angegebenen Pfad anzeigen
icacls "D:\dat\data"
 
REM (2) Verzeichnisvererbung unterbrechen und die bisherigen Rechte als
REM     Kopie nutzen
icacls "D:\dat\data" /inheritance:d
 
REM (3) Eine Gruppe anhand des Namens entfernen (lokale Gruppe "Benutzer")
icacls "D:\dat\data" /remove:g VORDEFINIERT\BENUTZER
 
REM (4) Eine Gruppe anhand der SID entfernen (lokale Gruppe "Benutzer")
icacls "D:\dat\data" /remove:g *S-1-5-32-545
 
REM (5) Der Domänen Gruppe MEINEGRUPPE Änderungsrechte zuordnen.
icacls "D:\dat\data" /grant DOMAIN\MEINEGRUPPE:(OI)(CI)(M)
 
REM (6) Der SID (Gruppe "Jeder") den Zugriff auf das Verzeichnis verweigern
icacls "D:\dat\data\IT" /deny *S-1-1-0:(OI)(CI)(M)

Weitere Parameter und Erklärungen zu den Optionen sind der Hilfe icacls /? zu entnehmen.

 

Weitere Quellen:
ss64.com – Command Line Reference ICACLS
windowspro.de – Dateirechte anzeigen