SERVER 2012R2

BenutzerverwaltungGruppenverwaltungKennwortrichtlinienOrganisationseinheitRechte & FreigabenAnmeldemethoden

Befehlszeilentool icacls

Mit der Befehlszeile icacls lassen sich die NTFS-Berechtigungen auf Ordner und Dateien festlegen. - Geht schneller, rasanter und das alles ohne Kunti-Bunti-Gui's!

Berechtigung erstellen

Mit dem nachfolgenden Befehl erteilt man zum Beispiel der Gruppe GG-M-Service die Berechtigung VOLLZUGRIFF auf den Ordner Auswertungen.
icacls c:\Testordner /grant GG-M-Service:F

Berechtigung einsehen

Um die eingestellten Berechtigungen anzuzeigen, reicht der Befehl:
icacls c:\Testordner

WinServ2012 - Administrator Windows PowerShell icacls
Der Befehl "icacls" in der PowerShell

Verwendung von icacls.exe

  • Werden Berechtigungen auf diese Vorgehensweisen erstellt, werden im ACE-Editor die Berechtigungen nicht direkt angezeigt, sondern als spezielle Berechtigungen.

    Um sich den Inhalt der speziellen Berechtigungen anzeigen zu lassen, klicke dazu unter Eigenschaften von {Ordnername} auf dem Reiter Sicherheit auf die Schaltfläche Erweitert.
    > Das Dialogfenster Erweiterte Sicherheitseinstellungen öffnet sich.

    Markiere anschließend die Gruppe (lt. Beispiel oben wäre es GG-M-Service) und klicke auf die Schaltfläche Bearbeiten, um das Dialogfenster Berechtigungseinträge für {Ordnername} zu öffnen.
    > Unter den Grundlegenden Berechtigungen werden die speziellen Berechtigungen dargestellt.
  • Die Zugriffsberechtigungen die in der oberen Befehlszeile gemacht wurde, werden nicht ohne Weiteres auf die Unterordner übertragen, sondern nur für den einen Ordner festgelegt. Sollen jedoch die Berechtigungen mit auf die Unterordner vererbt werden, gibt es selbstverständlich auch einen Parameter /T.

    Der Befehl lautet dann:
    icacls c:\Testordner /grant GG-M-Service:F /T

Berechtigung entfernen

Mit dem nachfolgenden Befehl (siehe Abb. oben) lassen sich Berechtigungen wieder löschen.
icacls c:\Testordner /remove:g GG-M-Service

Wichtige Optionen

/T, /C, /L, /Q
Mit /T wird die Berechtigung an alle Daten und Order weitervererbt, die sich in diesen Verzeichnis befinden.
Mit /C wird der Befehl trotz Fehlermeldungen ausgeführt. Die angezeigten Fehlermeldungen sind wichtig für die anschließende Erstellung von Batchdateien.
Mit /L wird angeordnet, dass die Bearbeitung auch auf symbolische Links und deren Zielverzeichnis ausgeführt werden soll.
Mit /Q werden keine Erfolgsmeldungen ausgegeben.

/deny <sid>:Berechtigung
Hiermit werden die angegebenen Berechtigungen für die Benutzer und Gruppen verweigert. In der ACL werden die positiven Berechtigungen entfernt.

/grant[:r] <sid>:Berechtigung
Hiermit werden die angegebenen Berechtigungen für die Benutzer und Gruppen gewährt.
Durch die Angabe von :r werden alle Berechtigungen durch die neu erstellten Berechtigungen ersetzt.
Wird die Angabe :r nicht gemacht, werden die neuen Berechtigungen zu den vorhandenen angehängt.

/findsid <sid>
Mit /findsit <sid> werden alle Dateien und Ordner zu den angegebenen SID-Benutzer angezeigt.

/inerhitance:e|d|r
Mit e wird die Vererbung aktiviert.
Mit d wird die Vererbung deaktiviert und kopiert alle Berechtigungseinträge.
Mit r werden die vererbten Berechtigungseinträge entfernt.

/remove[:[g|d]] <sid>
Entfernt alle Berechtigungen der angegebenen SID des Objekts.
Mit g werden die pos. Berechtigungen entfernt.
Mit d werden die auf verweigert gesetzten Berechtigungen entfernt.

/reset
icacls <Verzeichnis/Datei> /reset </T>
Mit /reset werden im ACL die Berechtigungen auf ein Objekt durch die standardmäßigen vererbten Berechtigungen ersetzt.

/restore
icacls <Verzeichnis/Datei> /restore <Dateiname> <Parameter>
Mit /restore werden die ACL-Einstellungen auf die Ordner und Dateien im angegebenen Verzeichnis angewendet. Mit /substitute können zusätzlich zu diesem Schritt Berechtigungen ersetzt werden.

/save
icacls <Verzeichnis/Datei> /save <Dateiname><Parameter>
Mit /save sichert man die ACL-Einstellungen vom angegebenen Verzeichnis in die angegebene Datei.
Kann später wieder durch /restore hergestellt werden.

/setowner <Benutzer>
icacls <Verzeichnis/Datei> /setowner <Benutzer> <Parameter>
Mit /setowner kann der Besitzer aller gefundenen Dateien an den angegebenen Benutzer geändert werden.

Weitere Informationen

Microsoft Homepage: Icacls (engl.)

Buchstaben und deren Bedeutung

In der oberen Abb. sieht man vereinzelt ein paar Buchstaben deren Bedeutung etwas aussagen.

Die wichtigsten Rechte - Bestimmte Rechte in einer Liste die sich durch Komma getrennt in Klammern befinden:

  • GE = Allgemeiner Ausführungszugriff
  • GR = Allgemeiner Lesezugriff
  • GW = Allgemeiner Schreibzugriff
  • AD = Daten beifügen | Verzeichnis hinzufügen.
  • RD = Daten Lesen | Verzeichnis auflisten
  • WD = Daten schreiben, Datei hinzufügen
  • D = Löschen
  • X = Ausführen, Durchsuchen

"perm" ist eine Berechtigungsmaske und kann in einer von zwei Formaten angegeben werden:

  • F = Vollzugriff
  • M = Ändern
  • RX = Lesen und Schreiben
  • R = Nur Lesen
  • W=- Nur Schreiben

Damit die Vererbung auch durch neu hinzukommenden Objekte die Berechtigungen erben, sind Vererbungsrechte erforderlich:

  • (OI) - Objektvererbung
  • (CI) - Containervererbung
  • (IO) - Nur vererben
  • (NP) - Vererbung nicht verteilen

Weitere Informationen

Microsoft Homepage: a comma-separated list in parentheses of specific rights (engl.)