La commande Icacls pour définir les droits sur les fichiers et dossiers

Mise à jour le 17 déc. 2024

La commande Icacls permet de définir et consulter les droits sur les Fichiers et Dossiers Windows.

Intro

OS : Windows Server 2008 minimum
ACL : pour Access Control List
ACE : pour Access Control Entry est un élément d'une ACL

La commande Icacls et ses options

Réinitialiser les ACL

Récupérer les accès à un fichier :

PS C:\Users\Administrator> takeown /A /R /F D:\FOLDER

Remplace les listes de contrôle d’accès par les listes héritées par défaut pour tous les fichiers correspondants :
- /T indique que cette opération est effectuée sur tous les fichiers/répertoires correspondants qui se trouvent sous les répertoires spécifiés dans le nom.
- /C indique que cette opération se poursuivra sur toutes les erreurs de fichiers. Les messages d’erreurs continueront à s’afficher.

PS C:\Users\Administrator> icacls D:\FOLDER /reset /T /C

Supprime toutes les ACE héritées

Supprime toutes les ACE héritées :

PS C:\Users\Administrator> icacls D:\FOLDER /inheritance:r /T /C

Note :
- /inheritancelevel:e : Activer l'héritage
- /inheritancelevel:d : Désactiver l'héritage et copier toutes les ACEs
- /inheritancelevel:r : Désactiver l'héritage et supprimer seulement les ACEs héritées

Paramétrer les ACE

/grant:r, les autorisations remplacent toute autorisation explicite précédemment accordée.

Les droits d’héritage:
- (OI) Héritage d’objet
- (CI) Héritage de conteneur
- (IO) Héritage uniquement
- (NP) Ne pas transmettre l’héritage
- (I) Autorisation héritée du conteneur parent

Les droits simples:
- (RX,W) Accès en lecture et exécution + Accès en écriture seule
- (RX,D) Accès en écriture seule + Accès en suppression
- (M) Accès en modification
- (F) Accès complet

PS C:\Users\Administrator> icacls "D:\FOLDER" /grant:r "domain.local\users":(OI)(CI)(RX,D) "domain.local\Administrator":(OI)(CI)(F) SYSTEM:(OI)(CI)(F) Administrators:(OI)(CI)(F) /T /C

Supprimer un utilisateur

Supprime toutes les occurrences de SID dans la liste de contrôle d’accès. Avec g: Toutes les occurrences de droits accordés à ce SID sont supprimées.

PS C:\Users\Administrator> icacls "c:\$Windows.~BT" /remove:g SYSTEM

Ajouter un utilisateur avec accès complet

Créer un utilisateur avec les droits d'accès complets :

PS C:\Users\Administrator> icacls "c:\$Windows.~BT" /grant users:(OI)(CI)(F)

Refuser les droits d'accès à un utilisateur

Refuse de manière explicite les droits d’accès utilisateur :

PS C:\Users\Administrator> icacls "c:\$WINDOWS.~BT" /deny SYSTEM:(OI)(CI)(F)

Exemples

Réinitialiser les ACL

Récupérer les accès à un fichier :

PS C:\Users\Administrator>takeown /A /R /F E:\Common\TEST

Paramètres de sécurité Windows montrant le changement de propriété d'un utilisateur vers un groupe d'administrateurs pour un dossier dans un environnement réseau.

Remplace les listes de contrôle d’accès par les listes héritées par défaut pour tous les fichiers correspondants :

PS C:\Users\Administrator>icacls E:\Common\TEST /reset /T /C

Paramètres de sécurité Windows montrant la modification des entrées de permission avec l'héritage désactivé pour un dossier dans un environnement réseau.

Ajouter un utilisateur

Ajouter un utilisateur avec les droits Accès en écriture seule + Accès en suppression :

PS C:\Users\Administrator>icacls E:\Common\TEST /grant s.marsh@std.local:(OI)(CI)(RX,D)

Propriétés d'un dossier Windows montrant les ajustements de permission pour un utilisateur spécifique, accordant l'accès en lecture, en exécution et en écriture.

Ajouter un utilisateur avec les droits Accès en lecture et exécution + Accès en écriture seule :

PS C:\Users\Administrator>icacls E:\Common\TEST /grant b.stotch@std.local:(OI)(CI)(RX,W)

Propriétés d'un dossier Windows montrant les autorisations attribuées à un utilisateur spécifique, accordant un accès en modification, lecture, exécution et écriture.

Supprimer un utilisateur

Supprimer un utilisateur :

PS C:\Users\Administrator>icacls E:\Common\TEST /remove s.marsh@std.local

Propriétés des dossiers Windows mettant en évidence la sélection d'un utilisateur spécifique pour la modification des autorisations.

Permissions

Remplacer les permissions :

PS C:\Users\Administrator>icacls E:\Common\TEST /grant:r b.stotch@std.local:(OI)(CI)(RX,D)

Propriétés d'un dossier Windows montrant les autorisations mises à jour pour un utilisateur spécifique, permettant l'accès à la modification, à la lecture, à l'écriture et à l'exécution.

Refuse les droits à un utilisateur :

PS C:\Users\Administrator>icacls E:\Common\TEST /deny b.stotch@std.local:(OI)(CI)(F)

Les propriétés des dossiers Windows affichent les autorisations de refus définies pour un utilisateur spécifique, bloquant l'accès à la modification, à la lecture, à l'écriture et à l'exécution.

Divers

Afficher les permissions :

PS C:\Users\Administrator>icacls E:\Common\TEST
E:\Common\TEST BUILTIN\Administrators:(I)(F)
               CREATOR OWNER:(I)(OI)(CI)(IO)(F)
               NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
               BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
               BUILTIN\Users:(I)(OI)(CI)(RX)
               BUILTIN\Users:(I)(CI)(WD,AD)

Successfully processed 1 files; Failed processing 0 files

Sortie de la commande icacls de l'invite de commande affichant les autorisations pour un dossier, montrant les administrateurs et les utilisateurs ayant des droits d'accès spécifiques.

Sauvegarder/Restaurer les ACL

Sauvegarder les ACLs vers un ficher :

PS C:\Users\Administrator>icacls E:\Common\TEST /save AclFile /T
processed file: E:\Common\TEST
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Anemia.mp3
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Anemia.ogg
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Anything_That_You_Want.mp3
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Anything_That_You_Want.ogg
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Asshole.mp3
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Asshole.ogg
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Breathless.mp3
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Breathless.ogg
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Denomia.mp3
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Denomia.ogg
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Easy_Way.mp3
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Easy_Way.ogg
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Illusions_And_Witnesses.mp3
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Illusions_And_Witnesses.ogg
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Impro.mp3
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Impro.ogg
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Insubstantial_As_Me.mp3
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Insubstantial_As_Me.ogg
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Last_Tango.mp3
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Last_Tango.ogg
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Queens_&_Princes.mp3
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Queens_&_Princes.ogg
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Refund_You.mp3
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Refund_You.ogg
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Something.mp3
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Something.ogg
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_The_Elements_Of_A_State.mp3
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_The_Elements_Of_A_State.ogg
processed file: E:\Common\TEST\tracks.xml
Successfully processed 30 files; Failed processing 0 files

Sortie de l'invite de commande de la commande icacls enregistrant la liste de contrôle d'accès (ACL) dans un fichier, avec le fichier enregistré mis en évidence dans l'explorateur Windows.

Restaurer les ACLs depuis un fichier :

PS C:\Users\Administrator>icacls E:\Common\ /restore AclFile /T
processed file: E:\Common\TEST
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Anemia.mp3
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Anemia.ogg
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Anything_That_You_Want.mp3
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Anything_That_You_Want.ogg
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Asshole.mp3
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Asshole.ogg
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Breathless.mp3
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Breathless.ogg
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Denomia.mp3
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Denomia.ogg
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Easy_Way.mp3
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Easy_Way.ogg
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Illusions_And_Witnesses.mp3
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Illusions_And_Witnesses.ogg
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Impro.mp3
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Impro.ogg
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Insubstantial_As_Me.mp3
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Insubstantial_As_Me.ogg
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Last_Tango.mp3
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Last_Tango.ogg
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Queens_&_Princes.mp3
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Queens_&_Princes.ogg
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Refund_You.mp3
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Refund_You.ogg
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Something.mp3
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_Something.ogg
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_The_Elements_Of_A_State.mp3
processed file: E:\Common\TEST\The_Dolphins_-_Demo_-_The_Elements_Of_A_State.ogg
processed file: E:\Common\TEST\tracks.xml
Successfully processed 30 files; Failed processing 0 files