NTFS Berechtigungen für Dateien und Ordner zurücksetzen Windows 10

• ICACLS name /save aclfile [/T] [/C] [/L] [/Q]
  • Speichert die DACLs für die Dateien und Ordner mit übereinstimmendem Namen zur späteren Verwendung mit "/restore" in der ACL-Datei. SACLs, Besitzer oder Integritätsbezeichnungen werden nicht gespeichert.

• ICACLS Verzeichnis [/substitute SidOld SidNew [...]] /restore aclfile [/C] [/L] [/Q]
  • Wendet die gespeicherten ACLs auf die Dateien im Verzeichnis an.

• ICACLS name /setowner user [/T] [/C] [/L] [/Q]
  • Ändert den Besitzer für alle übereinstimmenden Namen. Diese Option erzwingt keine Änderung der Besitzrechte. Verwenden Sie dazu das Hilfsprogramm "takeown.exe".

• ICACLS name /findsid Sid [/T] [/C] [/L] [/Q]
  • Findet alle übereinstimmenden Namen, die eine ACL enthalten, in der die SID explizit erwähnt wird.

• ICACLS name /verify [/T] [/C] [/L] [/Q]
  • Findet alle Dateien, deren ACL kein kanonisches Format aufweist oder deren Länge nicht mit der ACE-Anzahl übereinstimmt.

• ICACLS name /reset [/T] [/C] [/L] [/Q]
  • Ersetzt die ACLs für alle übereinstimmenden Dateien durch standardmäßige vererbte ACLs.

• ICACLS name [/grant[:r] Sid:perm[...]]
• [/deny Sid:perm [...]]
  • /deny Sid:perm verweigert die angegebenen Benutzerzugriffsrechte explizit. Eine explizit verweigerte ACE wird für die angegebenen Berechtigungen hinzugefügt, und die gleichen Berechtigungen in einer expliziten Berechtigung werden entfernt.

• [/remove[:g|:d]] Sid[...]] [/T] [/C] [/L] [/Q]
  • /remove[:[g|d]] Sid entfernt alle Vorkommen gewährter Rechten für diese SID. Mit :g, werden alle Vorkommen von gewährten Rechten für diese entfernt. Mit :d, werden alle Vorkommen von verweigerten Rechten für diese SID entfernt.

• [/setintegritylevel Level:policy[...]]
  • /setintegritylevel [(CI)(OI)]Level fügt allen übereinstimmenden Dateien explizit eine Integritäts-ACE hinzu. Die Ebene wird mit einem der folgenden Werte angegeben:
    • L[ow]
    • M[edium]
    • H[igh] Vererbungsoptionen für die Integritäts-ACE können vor der Ebene stehen und werden nur auf Verzeichnisse angewendet.

• /grant[:r] Sid:perm
  • gewährt die angegebenen Benutzerzugriffsrechte. Mit :r ersetzen die Berechtigungen alle zuvor gewährten expliziten Berechtigungen. Ohne :r, werden die Berechtigungen beliebigen zuvor gewährten expliziten Berechtigungen hinzugefügt.

• /inheritance:e|d|r
  • e - aktiviert die Vererbung.
  • d - deaktiviert die Vererbung und kopiert die ACEs.
  • r - entfernt alle vererbten ACEs.

Hinweis:

SIDs können im numerischen Format oder als Anzeigenamen angegeben werden. Fügen Sie beim numerischen Format ein * am Anfang der SID hinzu.

• /T gibt an, dass dieser Vorgang für alle übereinstimmenden Dateien/Verzeichnisse ausgeführt wird, die den im Namen angegebenen Verzeichnissen untergeordnet sind.

• /C gibt an, dass dieser Vorgang bei allen Dateifehlern fortgesetzt wird. Fehlermeldungen werden weiterhin angezeigt.
• /L gibt an, dass dieser Vorgang für einen symbolischen Link anhand seines Ziels ausgeführt wird.
• /Q gibt an, dass ICACLS Erfolgsmeldungen unterdrücken soll.

• ICACLS behält die kanonische Sortierung der ACE-Einträge bei:
  • Explizite Verweigerungen
  • Explizite Berechtigungen
  • Vererbte Verweigerungen
  • Vererbte Berechtigungen

• perm ist eine Berechtigungsmaske und kann in einem von zwei Formaten angegeben werden: Eine Folge von einfachen Rechten:
  • N - Kein Zugriff
  • F - Vollzugriff
  • M - Änderungszugriff
  • RX - Lese- und Ausführungszugriff
  • R - Schreibgeschützter Zugriff
  • W - Lesegeschützter Zugriff
  • D - Löschzugriff

• Eine in Klammern stehende kommagetrennte Liste von bestimmten Rechten:
  • DE - Löschen
  • RC - Lesesteuerung
  • WDAC - DAC schreiben
  • WO - Besitzer schreiben
  • S - Synchronisieren
  • AS - Systemsicherheitszugriff
  • MA - Maximal zulässig
  • GR - Allgemeiner Lesezugriff
  • GW - Allgemeiner Schreibzugriff
  • GE - Allgemeiner Ausführungszugriff
  • GA - Allgemeiner Zugriff (alle)
  • RD - Daten lesen/Verzeichnis auflisten
  • WD - Daten schreiben/Datei hinzufügen
  • AD - Daten anfügen/Unterverzeichnis hinzufügen
  • REA - Erweiterte Attribute lesen
  • WEA - Erweiterte Attribute schreiben
  • X - Ausführen/Durchsuchen
  • DC - Untergeordnetes Element löschen
  • RA - Attribute lesen
  • WA - Attribute schreiben

• Die Vererbungsrechte können beiden Formaten vorangestellt werden und werden nur auf Verzeichnisse angewendet:
  • (OI) - Objektvererbung
  • (CI) - Containervererbung
  • (IO) - Nur vererben
  • (NP) - Vererbung nicht verteilen
  • (I) - Vom übergeordneten Container vererbte Berechtigung

Beispiele:

icacls c:\windows\* /save AclFile /T

- Speichert die ACLs für alle Dateien unter "c:\windows" und in den dazugehörigen Unterverzeichnissen in der ACL.

icacls c:\windows\ /restore AclFile

- Stellt die ACLs für alle Dateien in der ACL-Datei wieder her, die unter "c:\windows" und in den dazugehörigen Unterverzeichnissen vorhanden sind.

icacls file /grant Administrator:(D,WDAC)

- Gewährt dem Benutzer mit Administratorrechten die Berechtigungen "DAC löschen" und "DAC schreiben" für die Datei.

icacls file /grant *S-1-1-0:(D,WDAC)

- Gewährt dem durch die SID S-1-1-0 definierten Benutzer die Berechtigungen "DAC löschen" und "DAC schreiben" für die Datei.

• TAKEOWN [/S System [/U Benutzername [/P [Kennwort]]]] /F Dateiname [/A] [/R [/D Aufforderung]]

Beschreibung:

Dieses Tool ermöglicht einem Administrator das Wiederherstellen des Zugriffs auf eine Datei, für die der Zugriff durch erneutes Zuweisen des Besitzers verweigert wurde.

Parameterliste:

• /S System Bestimmt das Remotesystem mit dem eine Verbindung hergestellt werden soll.
• /U [Domäne\]Benutzer Bestimmt den Benutzerkontext, unter dem der Befehl ausgeführt werden soll.
• /P [Kennwort] Gibt das Kennwort für den jeweiligen Benutzerkontext an. Zeigt eine Eingabe-aufforderung an, wenn keine Eingabe vorgenommen wurde.
• /F Dateiname Gibt das Dateinamen- oder Verzeichnis-namenmuster an. Platzhalter "*" können verwendet werden,um das Muster anzugeben. Ermöglicht die Angabe von Freigabename\ Dateiname.
• /A Überträgt die Besitzrechte an die Gruppe "Administratoren" anstelle des aktuellen Benutzers.
• /R Rekursiv: Weist das Tool zur Bearbeitung von Dateien im angegebenen Verzeichnis und allen Unterverzeichnissen an.
• /D Aufforderung Standardantwort, die verwendet wird, wenn der aktuelle Benutzer nicht die Berechtigung "Ordner auflisten" für ein Verzeichnis hat. Tritt bei der rekursiven Bearbeitung (/R) von Unterverzeichnissen auf. Gültige Werte sind "Y" zum Übernehmen der Besitzrechte oder "N" zum Auslassen dieses Schrittes.

• /SKIPSL Keiner symbolischen Verknüpfung folgen. Nur mit "/R" zulässig.

• /? Zeigt die Hilfemeldung an.

HINWEIS:

• 1) Wenn "/A" nicht angegeben wird, werden die Besitzrechte für die Datei dem derzeit angemeldeten Benutzer übertragen.
• 2) Gemischte Muster mit "?" und "*" werden nicht unterstützt.
• 3) "/D" wird verwendet, um die Bestätigungsaufforderung zu unterdrücken.

Beispiele:

• TAKEOWN /?
• TAKEOWN /F Dateiname
• TAKEOWN /F \\system\share\lostfile /A
• TAKEOWN /F directory /R /D N
• TAKEOWN /F directory /R /A
• TAKEOWN /F *
• TAKEOWN /F C:\Windows\System32\acme.exe
• TAKEOWN /F %windir%\*.txt
• TAKEOWN /S System /F EigeneFreigabe\Acme*.doc
• TAKEOWN /S System /U Benutzer /F EigeneFreigabe\EigeneBinärdatei.dll
• TAKEOWN /S System /U Domäne\Benutzer /P Kennwort /F Freigabe\Dateiname
• TAKEOWN /S System /U Benutzer /P Kennwort /F Dokumente\Report.doc /A
• TAKEOWN /S System /U Benutzer /P Kennwort /F EigeneFreigabe\*
• TAKEOWN /S System /U Benutzer /P Kennwort /F Startseite\Anmelden /R
• TAKEOWN /S System /U Benutzer /P Kennwort /F EigeneFreigabe\Verzeichnis