ICACLS.EXE의 출력을 항목 별, 항목별로 설명

16

이것은 무엇을 의미 하는가: 

C:\foo\> icacls .
. NT AUTHORITY\IUSR:(M)
  BUILTIN\IIS_IUSRS:(M)
  BUILTIN\IIS_IUSRS:(OI)(CI)(M)
  NT AUTHORITY\IUSR:(OI)(CI)(M)
  BUILTIN\IIS_IUSRS:(I)(OI)(CI)(RX)
  NT AUTHORITY\IUSR:(I)(OI)(CI)(RX)
  NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
  BUILTIN\Administrators:(I)(OI)(CI)(F)

첫 번째 것은 userid가 디렉토리에 대한 수정 권한을 얻는 것을 의미한다고 생각합니다. 즉, 사용자는 파일을 작성하거나 파일을 업데이트하거나 파일을 삭제할 수 있습니다. 권리? "NT AUTHORITY \ IUSR"사용자는 무엇입니까? 정말 단일 사용자 ID입니까? 기본 IIS 사용자 ID입니까?

두 번째 줄은 그룹을 나타냅니다. 동일한 권한을 얻습니다.

(I)와 (OI) 등의 모든 라인은 어떻습니까? 설명 해주십시오.

windows  icacls 
치즈
소스

답변:

24

ICACLS에 관한 Microsoft 기사

항목은 해당 파일에 고유 한 사용자 및 그룹 (DOMAIN \ USER 또는 GROUP)이며 나열된 권한은 다음과 같습니다.

SID는 숫자 또는 친숙한 이름 형식 일 수 있습니다. 숫자 형식을 사용하는 경우 와일드 카드 문자 *를 SID의 시작 부분에 첨부하십시오.

icacls 는 ACE 항목의 표준 순서를 다음과 같이 유지합니다.

  • 명시 적 거부
  • 명시 적 보조금
  • 상속 거부
  • 상속 된 보조금

Perm 은 다음 형식 중 하나로 지정할 수있는 권한 마스크입니다.

  1. 일련의 간단한 권한 :
    • F (풀 액세스)
    • M (액세스 수정)
    • RX (읽기 및 실행 액세스)
    • R (읽기 전용 액세스)
    • W (쓰기 전용 액세스)
  2. 특정 권한의 괄호 안에 쉼표로 구분 된 목록 :
    • D (삭제)
    • RC (읽기 제어)
    • WDAC (DAC 쓰기)
    • WO (작성자)
    • S (동기화)
    • AS (액세스 시스템 보안)
    • MA (최대 허용)
    • GR (일반 읽기)
    • GW (일반 쓰기)
    • GE (일반 실행)
    • GA (일반)
    • RD (데이터 / 목록 디렉토리 읽기)
    • WD (데이터 쓰기 / 파일 추가)
    • AD (데이터 추가 / 하위 디렉토리 추가)
    • REA (확장 속성 읽기)
    • WEA (확장 속성 쓰기)
    • X (실행 / 트래버스)
    • DC (자식 삭제)
    • RA (읽기 속성)
    • WA (쓰기 속성)

상속 권한은 Perm 형식 보다 우선 할 수 있으며 디렉토리에만 적용됩니다.

  • (OI) : 객체 상속
  • (CI) : 컨테이너 상속
  • (IO) : 상속 만
  • (NP) : 상속을 전파하지 마십시오
  • (I) : 상위 컨테이너에서 상속 된 권한

파일의 경우 권한 마스크는 다소 자명 R합니다. 파일을 읽고, X프로그램으로 실행할 수 있도록하는 등의 의미입니다.

다른 종류의 개체의 경우 MSDN을 찾아야합니다.

영어의 상속 권리 :

  • (I) "상 속됨":이 ACE는 상위 컨테이너에서 상속되었습니다.
  • (OI) "개체 상속":이 ACE는이 컨테이너에 배치 된 개체에 의해 상속됩니다.
  • (CI) "컨테이너 상속":이 ACE는이 컨테이너에 배치 된 서브 컨테이너에 의해 상속됩니다.
  • (IO)"상속 만":이 ACE는 상속 되지만 ( OI및 참조 CI)이 객체 자체에는 적용되지 않습니다.
  • (NP)"전파하지 마십시오":이 ACE는 개체 및 하위 컨테이너가 한 수준 깊이 상속됩니다 . 하위 컨테이너 내부의 항목에는 적용되지 않습니다.

파일 시스템의 경우, "컨테이너"는 폴더를 의미하고 "객체"는 파일을 의미하지만 ACL은 다른 많은 종류의 오브젝트에 설정 될 수 있으며, "컨테이너"라는 개념을 가진 것은 아닙니다.

맥 클레오 드
소스
1
감사합니다. 나는 Google 글을 읽고 글을 읽을 수 있습니다. 그러나 나는 (I) RX를 갖는 것이 무엇을 의미하는지에 대한 영어 설명을 원합니다. "컨테이너 상속"-그것이 의미하는 바를 설명하고 내가 제공 한 예제에 구체적입니다.
Cheeso
이 경우 NTFS 권한에 대한 충돌 과정이 필요합니다.
surfasb
1
Google 글을 읽고 쓰는 사람이라면 Google "ntfs 권한", "ACL"및 "파일 및 레지스트리 권한"을 사용할 수 있습니다. 솔직히 말해서 평신도 용어로 모든 줄을 설명하는 것은 본질적으로 전체 Technet 기사를 다시 작성하는 것입니다.
surfasb
3
1 년 후 ... 예. 훨씬 감사합니다. "가서 읽어라"고 말하는 다른 사람들에 관해서는, 그것이 슈퍼 유저를위한 것입니까? 다른 곳에서 명확하게 답변되지 않은 질문에 대답합니다.
Cheeso
1
필자는 실제로 Windows 7 에서 (I)언급 한 것을 발견 했습니다 icacls /?. 또한 두 개의 개별 "삭제"권한 (D)이있었습니다. 이전에는 첫 번째 목록에서 (DE)대신 두 번째 목록에서 사용되었습니다. ss64.com/nt/icacls.html을 참조하십시오 . 그때부터 상황이 약간 변한 것 같습니다.
mwfearnley
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.