[deepred]

Да, WinXP такой не знает, но Win2003(8)Serv, WinVista и Win7 уже содержат её, что есть "+".

Утилита гораздо функциональнее и удобнее, не хочу заниматься "размазыванием темы", но приведу её "/?":

AD-activeX:\Sysroot\system32>icacls /?
...

читать дальше »

ICACLS name /save ACL-файл [/T] [/C] [/L] [/q]
сохранить ACL для всех соответствующих имен в ACL-файле для
последующего использования с командой /restore.

ICACLS directory [/substitute SidOld SidNew [...]] /restore ACL-файл
[/C] [/L] [/q]
применяет сохраненные ACL к файлам в папке.

ICACLS name /setowner пользователь [/T] [/C] [/L] [/q]
изменяет владельца всех соответствующих имен.

ICACLS name /findsid Sid [/T] [/C] [/L] [/q]
находит все соответствующие имена, которые включают в себя ACL,
явно содержащие данный Sid.

ICACLS name /verify [/T] [/C] [/L] [/q]
находит все файлы, чьи ACL не являются каноническими или длина которых
не соответствует количеству ACE.

ICACLS name /reset [/T] [/C] [/L] [/q]
заменяет ACL унаследованными по умолчанию ACL для всех соответствующих файлов

ICACLS name [/grant[:r] Sid:perm[...]]
[/deny Sid:perm [...]]
[/remove[:g|:d]] Sid[...]] [/T] [/C] [/L] [/q]
[/setintegritylevel Level:policy[...]]

/grant[:r] Sid:perm предоставляет указанному пользователю права доступа. При использо
вании :r
эти права заменяют любые ранее предоставленные явные разрешения.
Если :r не используется, разрешения добавляются
к любым ранее предоставленным явным разрешениям.

/deny Sid:perm явно отклоняет права доступа для указанного пользователя.
ACE явного отклонения добавляется для заявленных разрешений, и любое
явное предоставление этих же разрешений удаляется.

/remove[:[g|d]] Sid удаляет все вхождения Sid в ACL. C
:g, удаляет все вхождения предоставленных прав в этом Sid. C
:d удаляет все вхождения отклоненных прав в этом Sid.

/setintegritylevel [(CI)(OI)]Level явно добавляет ACE уровня целостности
ко всем соответствующим файлам. Уровень может принимать одно из следующих
значений:
L[ow] - низкий
M[edium] - средний
H[igh] - высокий
Параметры наследования для ACE целостности могут предшествовать
уровню и применяются только к папкам.

/inheritance:e|d|r
e - включение наследования
d - отключение наследования и копирование ACE
r - удаление всех унаследованных ACE

Примечание
....

читать дальше »

Sid могут быть представлены либо в числовой форме, либо в форме понятного имени. Если
задана числовая
форма, добавьте * в начало SID.

/T означает, что это действие выполняется над всеми соответствующими
файлами и папками ниже уровня папок, указанных в имени.

/C указывает, что это действие будет продолжено при всех ошибках файла.
Однако сообщения об ошибках будут выводиться на экран.

/L означает, что это действие выполняется над самой символической ссылкой,
а не над ее целью.

/Q означает, что команда ICACLS подавляет сообщения об успешном выполнении.

ICACLS сохраняет канонический порядок записей ACE:
Явные отклонения
Явные предоставления
Унаследованные отклонения
Унаследованные предоставления

perm - это маска разрешений, она может быть указана в одной из двух форм:
последовательность простых прав:
F - полный доступ
M - доступ на изменение
RX - доступ на чтение и выполнение
R - доступ только на чтение
W - доступ только на запись
в скобках список определенных прав, разделенных запятыми:
D - удаление
RC - чтение
WDAC - запись DAC
WO - смена владельца
S - синхронизация
AS - доступ к безопасности системы
MA - максимально возможный
GR - общее чтение
GW - общая запись
GE - общее выполнение
GA - все общие
RD - чтение данных, перечисление содержимого папки
WD - запись данных, создание файлов
AD - добавление данных, создание папок
REA - чтение дополнительных атрибутов
WEA - запись дополнительных атрибутов
X - выполнение файлов и обзор папок
DC - удаление вложенных объектов
RA - чтение атрибутов
WA - запись атрибутов
права наследования могут предшествовать любой форме и применяются
только к папкам:
(OI) - наследуют объекты
(CI) - наследуют контейнеры
(IO) - только наследование
(NP) - не распространять наследование

Примеры:

icacls c:\windows\* /save AclFile /T
- в файле AclFile будут сохранены ACL для всех файлов папки c:\windows
и ее подкаталогов.

icacls c:\windows\ /restore AclFile
- из файла AclFile будут восстановлены Acl для каждого файла,
существующего в папке c:\windows и ее подкаталогах

icacls file /grant AdministratorD,WDAC)
- пользователю Administrator будут предоставлены разрешения на удаление
и запись DAC для файла

icacls file /grant *S-1-1-0D,WDAC)
- пользователю с sid S-1-1-0 будут предоставлены разрешения
на удаление и запись DAC для файла

+ несколько полезных ссылок:
http://www.microsoft.com/resources/d....mspx?mfr=true
http://technet.microsoft.com/en-us/m...alltrades.aspx
http://technet.microsoft.com/en-us/l...25(WS.10).aspx
http://support.microsoft.com/kb/825751/
SubInACL