Technet Artikel

Beispiel:
icacls.exe "F:\Verzeichnis" /T /grant:r "BENUTZER":(OI)(CI)M

ICACLS name /save aclfile [/T] [/C] [/L] [/Q]
    Speichert die DACLs für die Dateien und Ordner mit übereinstimmendem
    Namen zur späteren Verwendung mit "/restore" in der ACL-Datei.
    SACLs, Besitzer oder Integritätsbezeichnungen werden nicht gespeichert.

ICACLS Verzeichnis [/substitute SidOld SidNew [...]] /restore aclfile
                   [/C] [/L] [/Q]
    Wendet die gespeicherten ACLs auf die Dateien im Verzeichnis an.

ICACLS name /setowner user [/T] [/C] [/L] [/Q]
    Ändert den Besitzer für alle übereinstimmenden Namen. Diese Option
    erzwingt keine Änderung der Besitzrechte. Verwenden Sie dazu das
    Hilfsprogramm "takeown.exe".

ICACLS name /findsid Sid [/T] [/C] [/L] [/Q]
    Findet alle übereinstimmenden Namen, die eine ACL enthalten,
    in der die SID explizit erwähnt wird.

ICACLS name /verify [/T] [/C] [/L] [/Q]
    Findet alle Dateien, deren ACL kein kanonisches Format aufweist
    oder deren Länge nicht mit der ACE-Anzahl übereinstimmt.

ICACLS name /reset [/T] [/C] [/L] [/Q]
    Ersetzt die ACLs für alle übereinstimmenden Dateien durch standardmäßige
    vererbte ACLs.

ICACLS name [/grant[:r] Sid:perm[...]]
       [/deny Sid:perm [...]]
       [/remove[:g|:d]] Sid[...]] [/T] [/C] [/L] [/Q]
       [/setintegritylevel Level:policy[...]]

    /grant[:r] Sid:perm gewährt die angegebenen Benutzerzugriffsrechte.
        Mit :r ersetzen die Berechtigungen alle zuvor gewährten expliziten
        Berechtigungen. Ohne :r, werden die Berechtigungen beliebigen zuvor
        gewährten expliziten Berechtigungen hinzugefügt.

    /deny Sid:perm verweigert die angegebenen Benutzerzugriffsrechte explizit.
        Eine explizit verweigerte ACE wird für die angegebenen Berechtigungen
        hinzugefügt, und die gleichen Berechtigungen in einer expliziten
        Berechtigung werden entfernt.

    /remove[:[g|d]] Sid entfernt alle Vorkommen gewährter Rechten für diese
        SID. Mit :g, werden alle Vorkommen von gewährten Rechten für diese
        entfernt. Mit :d, werden alle Vorkommen von verweigerten
        Rechten für diese SID entfernt.

    /setintegritylevel [(CI)(OI)]Level fügt allen übereinstimmenden Dateien
        explizit eine Integritäts-ACE hinzu. Die Ebene wird mit einem der
        folgenden Werte angegeben:
            L[ow]
            M[edium]
            H[igh]
        Vererbungsoptionen für die Integritäts-ACE können vor der Ebene
        stehen und werden nur auf Verzeichnisse angewendet.

    /inheritance:e|d|r
        e - aktiviert die Vererbung.
        d - deaktiviert die Vererbung und kopiert die ACEs.
        r - entfernt alle vererbten ACEs.

Hinweis:
   SIDs können im numerischen Format oder als Anzeigenamen angegeben werden.
   Fügen Sie beim numerischen Format ein * am Anfang der SID hinzu.

    /T gibt an, dass dieser Vorgang für alle übereinstimmenden
        Dateien/Verzeichnisse ausgeführt wird, die den im Namen angegebenen
        Verzeichnissen untergeordnet sind.

    /C gibt an, dass dieser Vorgang bei allen Dateifehlern fortgesetzt wird.
        Fehlermeldungen werden weiterhin angezeigt.

    /L gibt an, dass dieser Vorgang für einen symbolischen Link
        anhand seines Ziels ausgeführt wird.

    /Q gibt an, dass ICACLS Erfolgsmeldungen unterdrücken soll.

    ICACLS behält die kanonische Sortierung der ACE-Einträge bei:
            Explizite Verweigerungen
            Explizite Berechtigungen
            Vererbte Verweigerungen
            Vererbte Berechtigungen

    perm ist eine Berechtigungsmaske und kann in einem von zwei Formaten
         angegeben werden:
        Eine Folge von einfachen Rechten:
                N - Kein Zugriff
                F - Vollzugriff
                M - Änderungszugriff
                RX - Lese- und Ausführungszugriff
                R - Schreibgeschützter Zugriff
                W - Lesegeschützter Zugriff
                D - Löschzugriff
        Eine in Klammern stehende kommagetrennte Liste von bestimmten Rechten:
                DE - Löschen
                RC - Lesesteuerung
                WDAC - DAC schreiben
                WO - Besitzer schreiben
                S - Synchronisieren
                AS - Systemsicherheitszugriff
                MA - Maximal zulässig
                GR - Allgemeiner Lesezugriff
                GW - Allgemeiner Schreibzugriff
                GE - Allgemeiner Ausführungszugriff
                GA - Allgemeiner Zugriff (alle)
                RD - Daten lesen/Verzeichnis auflisten
                WD - Daten schreiben/Datei hinzufügen
                AD - Daten anfügen/Unterverzeichnis hinzufügen
                REA - Erweiterte Attribute lesen
                WEA - Erweiterte Attribute schreiben
                X - Ausführen/Durchsuchen
                DC - Untergeordnetes Element löschen
                RA - Attribute lesen
                WA - Attribute schreiben
        Die Vererbungsrechte können beiden Formaten vorangestellt werden
        und werden nur auf Verzeichnisse angewendet:
                (OI) - Objektvererbung
                (CI) - Containervererbung
                (IO) - Nur vererben
                (NP) - Vererbung nicht verteilen
                (I) - Vom übergeordneten Container vererbte Berechtigung