Возможно, вам придется поделиться своим компьютером со многими людьми по разным причинам. Windows 10 предлагает и управляет всеми правами доступа к файлам на системном уровне. Он защищает ваши данные от других пользователей. На ПК с Windows 10 файлы, созданные пользователями, по умолчанию легко доступны. Вы можете изменить права доступа к файлам Windows 10, если вы являетесь администратором, что позволит другим пользователям редактировать только свои файлы. Права доступа к файлам можно легко изменить. В этой статье мы предлагаем вам полезное руководство, которое научит вас, как изменить права доступа к файлам в Windows 10.
В Windows 10у вас могут возникнуть проблемы с правами доступа к файлам в следующих случаях:
- Когда другие пользователи указали разрешения для файлов, которые вам не разрешено просматривать на общем ПК.
- Вы хотите изменить системные файлы, хотя редактирование системных файлов не рекомендуется, так как это может привести к неожиданным проблемам.
- Защищенные данные, загруженные с USB-накопителя или внешнего устройства, которые вы хотите изменить на своем ПК.
- Вы хотите внести изменения в файлы, которые были перенесены из других операционных систем, таких как macOS.
- Вы хотите удалить авторизацию других пользователей, чтобы они не могли просматривать определенные общие файлы.
Отличаются ли права доступа к файлам и атрибуты файлов?
Прежде чем научиться изменять права доступа к файлам в Windows 10, важно понимать разницу между правами доступа к файлам и атрибутами.
-
Атрибуты файла — это свойства файла. Например, доступен ли он только для чтения или нет. Атрибуты остаются неизменными, даже если файл копируется, загружается, загружается или отправляется по почте. Обычно для изменения атрибутов не требуются права администратора.
-
Права доступа к файлам — обычно они являются эксклюзивными для ПК, т. е. разрешения могут измениться, если файл будет открыт на другом ПК. Они контролируют, кто может получить доступ к файлам и их содержимому.
О чем следует помнить
Прежде чем мы перейдем к тому, как вы можете изменить разрешения в Windows 10, вы должны знать уровень прав пользователя, необходимый вам для изменения прав доступа к файлам в Windows 10.
- Системные файлы и папки: для изменения прав доступа к файлам необходимы права администратора.
- Пользовательские файлы: вам требуются права администратора или учетные данные для учетной записи пользователя Windows.
- Файлы, принадлежащие TrustedInstaller: для внесения изменений в файл или папку, контролируемую TrustedInstaller, необходимы права администратора.
Способ 1: изменить профиль пользователя в свойствах безопасности папки
Этот метод применим ко всем пользователям. Как правило, работа с файлами и папками, которыми вы владеете, не является проблемой. Однако люди сообщают, что не могут изменять файлы, которыми они владеют или создали. После входа в систему с правильной учетной записью пользователя выполните следующие действия, чтобы изменить права доступа к файлам в Windows 10.
1. Откройте проводник, одновременно нажав клавиши Win + E.
2. Перейдите к файлу, права доступа которого вы хотите изменить.
3. Щелкните его правой кнопкой мыши и выберите в контекстном меню пункт Свойства.
4. Перейдите на вкладку «Безопасность» и нажмите «Изменить».
Вы можете проверить и изменить разрешения для каждого из перечисленных пользователей или групп в следующем окне.
5. Выберите пользователя или группу.
6. Для каждого пользователя вы можете получить разные разрешения. Например, если в столбце «Запретить» установлен флажок «Полный доступ», выбранный пользователь не сможет открыть файл.
7. Вы увидите следующие варианты:
-
Полный доступ — файл может быть прочитан, записан, изменен или удален пользователем.
-
Modify — файл может быть прочитан, записан и изменен пользователем.
-
Чтение и выполнение — файл можно прочитать или запустить выбранный файл.
-
Список содержимого папки — файл можно просмотреть в выбранной папке.
-
Чтение — файл может быть открыт пользователем.
-
Запись — файл может быть отредактирован или создан пользователем.
Установите флажки разрешений в соответствии с вашими требованиями. Щелкните Применить > ОК.
Способ 2: заменить все записи разрешений дочерних объектов
В некоторых случаях разрешение изменить нельзя. Разрешения в столбце «Разрешить» выделены серым цветом и не могут быть выбраны. Вы можете изменить это, перейдя в Дополнительные настройки, вот как это сделать.
1. Выполните шаги 1, 2 и 3 из метода 1, чтобы открыть свойства папки.
2. Перейдите на вкладку «Безопасность» и нажмите «Дополнительно».
3. Установите флажок «Заменить все записи разрешений дочерних объектов на записи разрешений, наследуемые от этого объекта», и выберите свою учетную запись в качестве пользователя.
4. Щелкните Применить. После этого появится запрос подтверждения, нажмите Да на нем.
Вы должны иметь возможность просматривать и изменять права доступа к выбранной папке или файлам и понимать, как изменить права доступа к файлам в Windows 10.
Способ 3: добавить новый профиль администратора
Иногда пользователь вообще не упоминается в списке пользователей или групп. Вы должны вручную добавить пользователя в этот сценарий, прежде чем сможете предоставить ему разрешение. В противном случае они не смогут получить доступ к файлам, поскольку их нет в списке пользователей. Выполните следующие действия, чтобы добавить пользователя и предоставить ему права доступа к файлам.
1. Щелкните правой кнопкой мыши папку/файл, к которому вы хотите предоставить общий доступ, и выберите в меню Свойства.
2. Перейдите на вкладку «Безопасность» и выберите «Изменить».
3. Нажмите Добавить.
4. В поле Введите имя объекта для выбора окна подсказки введите имя пользователя, которому вы хотите предоставить доступ. Нажмите «Проверить имена». Он автоматически выберет имя пользователя и проверит его. Нажмите «ОК».
5. Теперь имя пользователя появится на вкладке «Безопасность» в разделе «Имена групп или пользователей».
6. Выберите имя пользователя и предоставьте ему необходимое разрешение. Щелкните Применить > ОК.
Способ 4: сменить владельца на администратора
Вы можете легко изменить права доступа к файлу, взяв его во владение. Это самый простой способ изменить файл. Следуйте приведенным ниже инструкциям, чтобы получить полный контроль над файлом, взяв его на себя.
Вариант I. Изменение владельца в дополнительных настройках безопасности
1. Выполните шаги 1 и 2 из метода 2, чтобы перейти к дополнительным параметрам безопасности.
2. Нажмите «Изменить» рядом с разделом «Владелец» в верхней части страницы.
3. Появится всплывающее окно. Введите свое имя пользователя в поле Введите имя объекта для выбора. Выберите «Проверить имена» и подождите, пока они не будут проверены. Нажмите OK, чтобы сохранить изменения.
4. Теперь раздел владельца будет обновлен. Чтобы сохранить изменения, установите флажок «Заменить владельца вложенных контейнеров и объектов», затем нажмите «Применить» и «ОК».
Примечание. Вы можете установить флажок «Заменить все записи разрешений дочерних объектов», как советуют некоторые эксперты.
Вариант II. Предоставление прав доступа к файлам вручную
В редких случаях вам может потребоваться вручную предоставить доступ к файлам для вашей учетной записи. Для этого просто выполните следующие действия:
1. Перейдите к дополнительным параметрам безопасности.
2. Будет показан список всех пользователей. Нажмите кнопку «Добавить», если ваша учетная запись пользователя не отображается.
3. Щелкните Выбрать принципала.
4. Теперь введите имя своей учетной записи пользователя в поле подсказки, как показано на шаге 3 метода 4.
5. Выберите Полный доступ. В поле «Тип» выберите «Разрешить», а в разделе «Применяется» выберите «Эта папка, подпапки и файлы». Нажмите «ОК».
Теперь у вас есть полный доступ к выбранному файлу.
Вариант III: через командную строку
Если вы все еще не можете стать владельцем файла, вы можете использовать командную строку, которая напрямую изменит свойства файла. Вот как изменить права доступа к файлам в Windows 10 с помощью командной строки.
1. Нажмите клавишу Windows, введите «Командная строка» и нажмите «Запуск от имени администратора».
2. Введите следующую команду и нажмите клавишу Enter.
takeown /f path_to_folder /r /d y
Примечание. Замените path_to_folder на путь к папке/файлу, владельцем которого вы хотите стать.
3. Теперь введите следующую команду и нажмите клавишу Enter.
icacls path_to_folder /grant administrators:F /T
Примечание. Замените администраторов своей учетной записью/именем пользователя.
Теперь у вас должен быть полный доступ к выбранной папке/файлу после выполнения этих двух команд.
Часто задаваемые вопросы (FAQ)
В. Что такое разрешения в Windows 10?
Ответ: Разрешения для приложений позволяют им получать доступ к определенным компонентам вашего устройства, таким как аппаратное обеспечение, такое как GPS, для определения вашего местоположения или программное обеспечение, такое как камера. Очень важно понимать, какие программы используют какие разрешения.
***
Мы надеемся, что это руководство было полезным, и вы смогли узнать, как изменить права доступа к файлам в Windows 10. Сообщите нам, какой метод сработал для вас лучше всего. Если у вас есть какие-либо вопросы или предложения, не стесняйтесь оставлять их в разделе комментариев.
Skip to content
Изменение прав доступа и владельца для файла (папки), используя Проводник или командную строку
Случается, что при работе с файлами или папками Вам бывает необходимо изменить для них владельца и права доступа.
Смена владельца файла или папки, используя Проводник.
- Щелкните правой кнопкой мыши на файле или папке и выберите пункт Свойства.
- Перейдите на вкладку Безопасность и нажмите кнопку Дополнительно.
- Перейдите на вкладку Владелец и нажмите кнопку Изменить.
- Выполните одно из следующих действий:
- Чтобы назначить владельцем пользователя или группу из списка, в окне «Изменить владельца на» выберите нового владельца и нажмите ОК.
- Чтобы назначить владельцем пользователя или группу, которых нет в списке:
- Нажмите кнопку Другие пользователи и группы
- Если владельцем необходимо установить службу TrustedInstaller, в качестве имени объекта в поле Введите имена выбираемых объектов (примеры) введите: NT SERVICETrustedInstaller и нажмите кнопку ОК.
- Если владельцем необходимо другого пользователя или группу, то нажмите кнопку Дополнительно, а затем кнопку Поиск.
- В результатах поиска выберите необходимую Вам группу или пользователя и нажмите кнопку ОК.
- В окне Изменить владельца на: выберите добавленную группу или пользователя.
- Чтобы сменить владельца всех субконтейнеров и объектов в папке, установите флажок Заменить владельца субконтейнеров и объектов и нажмите кнопку ОК.
Изменение разрешений для доступа к файлам и папкам, используя Проводник.
- Щелкните правой кнопкой мыши на файле или папке и выберите пункт Свойства.
- Перейдите на вкладку Безопасность и нажмите кнопку Дополнительно.
- Нажмите кнопку Изменить разрешения и выполните одно из следующих действий:
- Чтобы изменить разрешения для существующей группы или пользователя, выберите имя этой группы или пользователя и нажмите кнопку Изменить.
- Установите необходимые Вам флажки Разрешить или Запретить напротив каждого разрешения и нажмите кнопку ОК, а затем кнопку Применить.
- Чтобы изменить разрешения для группы или пользователя, которого нет в списке Элементы разрешений, нажмите кнопку Добавить.
- Если необходимо изменить разрешения для службы TrustedInstaller, в качестве имени объекта в поле Введите имена выбираемых объектов (примеры) введите: NT SERVICETrustedInstaller и нажмите кнопку ОК.
- Если необходимо изменить разрешения для другого пользователя или группы, то нажмите кнопку Дополнительно, а затем кнопку Поиск.
- В результатах поиска выберите необходимую Вам группу или пользователя и нажмите кнопку ОК.
- Установите необходимые Вам флажки Разрешить или Запретить напротив каждого разрешения и нажмите кнопку ОК, а затем кнопку Применить.
- Чтобы удалить группу или пользователя из списка Элементы разрешений, нажмите кнопку Удалить.
Далее рассказывается как можно изменить разрешения или сменить владельца, используя командную строку запущенную от имени администратора.
Если после использовании команды, разрешения или владелец не сменятся, то возможно Вам придется зайти в систему под встроенной учётной записью «Администратор» для их выполнения заново.
Изменение владельца файла (папки) на указанного Вами пользователя, используя командную строку.
- icacls папкафайл /setowner Пользователь параметры
Примеры:
icacls «C:Testfile.exe» /setowner Administrtator /C /L /Q
icacls «C:Testfile.exe» /setowner «NT SERVICETrustedInstaller» /C /L /Q
icacls «C:Test*» /setowner система /T /C /L /Q
icacls «C:Test» /setowner Vince /T /C /L /Q
Параметры:
/T — операция выполняется для всех соответствующих файлов и каталогов, расположенных в указанных в имени каталогах.
/C — выполнение операции продолжается при любых файловых ошибках. Сообщения об ошибках по-прежнему выводятся на экран.
/L — операция выполняется над самой символической ссылкой, а не над ее целевым объектом.
/Q — команда icacls подавляет сообщения об успешном выполнении.
Изменение разрешений для файла (папки), используя командную строку.
- icacls папкафайл /grant:r Пользователь:разрешение
Разрешения:
F — полный доступ
M — доступ на изменение
RX — доступ на чтение и выполнение
R — доступ только на чтение
W — доступ только на запись
D — доступ на удаление
Примеры:
icacls «C:Windowsfile.exe» /grant:r Vince:F
icacls «C:Windowsfile.exe» /grant:r Vince:M
icacls «C:Windows» /grant:r Vince:F
icacls «C:Windows» /grant:r Vince:RX /T
Об остальных возможностях команды icacls Вы сможете узнать введя команду: icacls /?
Если при попытке изменить, открыть или удалить папку или файл в Windows вы получаете сообщения о том, что вам отказано в доступе, «Нет доступа к папке», «Запросите разрешение на изменение этой папки» и аналогичные, то вам следует изменить владельца папки или файла, о чем и поговорим.
Есть несколько способов стать владельцем папки или файла, основные среди которых — использование командной строки и дополнительные настройки безопасности ОС. Есть также и сторонние программы, позволяющие изменить владельца папки в два клика, на одного из представителей которых тоже посмотрим. Все описанное ниже подходит для Windows 7, 8 и 8.1, а также Windows 10.
Примечания: для того, чтобы стать владельцем того или иного элемента с использованием способов ниже, вы должны иметь права администратора на компьютере. Кроме этого, не следует изменять владельца для всего системного диска — это может повлечь нестабильную работу Windows.
Дополнительная информация: если вы хотите стать владельцем папки для того, чтобы удалить ее, а иначе она не удаляется, и пишет Запросите разрешение от TrustedInstaller или от Администраторы, используйте следующую инструкцию (там же есть видео): Запросите разрешение от Администраторы на удаление папки.
Использование команды takeown для того, чтобы стать владельцем объекта
Для того, чтобы изменить владельца папки или файла с помощью командной строки, имеются две команды, первая из них — takeown.
Для ее использования, запустите командную строку от имени Администратора (в Windows 8 и Windows 10 это можно сделать из меню, вызываемого правым кликом по кнопке Пуск, в Windows 7 — с помощью правого клика по командной строке в стандартных программах).
В командной строке, в зависимости от того, владельцем какого объекта вам нужно стать, введите одну из команд:
- takeown /F “полный путь к файлу” — стать владельцем указанного файла. Чтобы сделать всех администраторов компьютера владельцами, используйте параметр /A после пути к файлу в команде.
- takeown /F “путь к папке или диску” /R /D Y — стать владельцем папки или диска. Путь к диску указывается в виде D: (без слэша), путь к папке — C:Folder (также без слэша).
При выполнении данных команд вы получите сообщение о том, что вы успешно стали владельцем конкретного файла или отдельных файлов в указанной вами папке или на диске (см. скриншот).
Как изменить владельца папки или файла с помощью команды icacls
Еще одна команда, которая позволяет получить доступ к папке или файлам (изменить их владельца) — icacls, использовать которую следует так же, в командной строке, запущенной от имени администратора.
Для установки владельца используйте команду в следующем виде (пример на скриншоте):
Icacls “путь к файлу или папке” /setowner “Имя_пользователя” /T /C
Пути указываются аналогично предыдущему способу. Если требуется сделать владельцами всех администраторов, то вместо имени пользователя используйте Администраторы (или, если не сработает, Administrators).
Дополнительная информация: помимо того, чтобы стать владельцем папки или файла, вам может потребоваться также получить разрешения для изменения, для этого вы можете использовать следующую команду (дает полные права пользователю для папки и вложенных объектов): ICACLS «%1» /grant:r «имя_пользователя»:(OI)(CI)F
Получение доступа с помощью настроек безопасности
Следующий способ — использовать лишь мышь и интерфейс Windows, не обращаясь к командной строке.
- Кликните правой кнопкой мыши по файлу или папке, доступ к которому нужно получить (стать владельцем), в контекстном меню выберите пункт «Свойства».
- На вкладке «Безопасность» нажмите кнопку «Дополнительно».
- Напротив пункта «Владелец» нажмите «Изменить».
- В открывшемся окне нажмите кнопку «Дополнительно», а в следующем — кнопку «Поиск».
- Выберите в списке пользователя (или группу пользователей), которого нужно сделать владельцем элемента. Нажмите Ок, затем — снова Ок.
- Если вы изменяете владельца папки или диска, а не отдельного файла, отметьте также пункт «Заменить владельца подконтейнеров и объектов».
- Нажмите Ок.
На этом вы стали владельцем указанного объекта Windows и сообщения о том, что нет доступа к папке или файлу вас не должны больше потревожить.
Другие способы стать владельцем папок и файлов
Есть и другие способы решить проблему «отказано в доступе» и быстро стать владельцем, например, с помощью сторонних программ, встраивающих пункт «Стать владельцем» в контекстное меню проводника. Одна из таких программ — TakeOwnershipPro, бесплатная и, насколько я могу судить, без чего-то потенциально нежелательного. Аналогичный пункт в контекстное меню можно добавить и путем редактирования реестра Windows.
Однако, с учетом того, что подобная задача возникает сравнительно редко, я не рекомендую устанавливать стороннее ПО или вносить изменения в систему: на мой взгляд, лучше изменить владельца элемента одним из способов «вручную».
Для управления NTFS разрешениями в Windows можно использовать встроенную утилиту iCACLS. Утилита командной строки icacls.exe позволяет получить или изменить списки управления доступом (ACL — Access Control Lists) на файлы и папки на файловой системе NTFS. В этой статье мы рассмотрим полезные команды управления ntfs разрешениями в Windows с помощью icacls.
Содержание:
- Просмотр и изменения NTFS прав на папки и файлы с помощью icacls
- Бэкап (экспорт) текущих NTFS разрешений каталога
- Восстановление NTFS разрешений с помощью iCacls
- Сброс NTFS разрешений в Windows
- Копирование NTFS прав между папками
Просмотр и изменения NTFS прав на папки и файлы с помощью icacls
Текущие права доступа к любому объекту на NTFS томе можно вывести так:
icacls 'C:ShareVeteran'
Команда вернет список пользователей и групп, которым назначены права доступа. Права указываются с помощью сокращений:
- F – полный доступ
- M – изменение
- RX – чтение и выполнение
- R – только чтение
- W – запись
- D – удаление
Перед правами доступа указаны права наследования (применяются только к каталогам):
- (OI)— наследование объектами
- (CI)— наследование контейнерами
- (IO)— только наследование
- (I)– разрешение унаследовано от родительского объекта
С помощью icacls вы можете изменить права доступа на папку.
Чтобы предоставить группе fs01_Auditors домена resource права чтения и выполнения (RX) на каталог, выполните:
icacls 'C:ShareVeteran' /grant resourcefs01_Auditors:RX
Чтобы удалить группу из ACL каталога:
icacls 'C:ShareVeteran' /remove resourcefs01_Auditors
С помощью icacls вы можете включить наследование NTFS прав с родительского каталога:
icacls 'C:ShareVeteran' /inheritance:e
Или отключить наследование с удалением всех наследованных ACEs:
icacls 'C:ShareVeteran' /inheritance:r
Также icacls можно использовать, чтобы изменить владельца файла или каталога:
icacls 'C:ShareVeteran' /setowner resourcea.ivanov /T /C /L /Q
Бэкап (экспорт) текущих NTFS разрешений каталога
Перед существенным изменением разрешений (переносе, обновлении ACL, миграции ресурсов) на NTFS папке (общей сетевой папке) желательно создать резервную копию старых разрешений. Данная копия позволит вам вернуться к исходным настройкам или хотя бы уточнить старые права доступа на конкретный файл/каталог.
Для экспорта/импорта текущих NTFS разрешений каталога вы также можете использовать утилиту icacls. Чтобы получить все ACL для конкретной папки (в том числе вложенных каталогов и файлов), и экспортировать их в текстовый файл, нужно выполнить команду
icacls 'C:ShareVeteran' /save c:psveteran_ntfs_perms.txt /t /c
Примечание. Ключ /t указывает, что нужно получить ACL для всех дочерних подкаталогов и файлов, ключ /c – позволяет игнорировать ошибки доступа. Добавив ключ /q можно отключить вывод на экран информации об успешных действиях при доступе к объектам файловой системы.
В зависимости от количества файлов и папок, процесс экспорта разрешений может занять довольно продолжительное время. После окончания выполнения команды отобразится статистика о количестве обработанных и пропущенных файлов.
Successfully processed 3001 files; Failed processing 0 files
Откройте файл veteran_ntfs_perms.txt с помощью любого текстового редактора. Как вы видите, он содержит полный список папок и файлов в каталоге, и для каждого указаны текущие разрешения в формате SDDL (Security Descriptor Definition Language).
К примеру, текущие NTFS разрешения на корень папки такие:
D:PAI(A;OICI;FA;;;BA)(A;OICIIO;FA;;;CO)(A;OICI;0x1200a9;;;S-1-5-21-2340243621-32346796122-2349433313-23777994)(A;OICI;0x1301bf;;;S-1-5-21-2340243621-32346796122-2349433313-23777993)(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-2340243621-32346796122-2349433313-24109193)S:AI
Данная строка описывает доступ для нескольких групп или пользователей. Мы не будем подробно углубляться в SDDL синтаксис (при желании справку по нему можно найти на MSDN, или вкратце формат рассматривался в статье об управлении правами на службы Windows). Мы для примера разберем небольшой кусок SDDL, выбрав только одного субъекта:
(A;OICI;FA;;;S-1-5-21-2340243621-32346796122-2349433313-24109193)
A – тип доступа (Allow)
OICI – флаг наследования (OBJECT INHERIT+ CONTAINER INHERIT)
FA – тип разрешения (SDDL_FILE_ALL – все разрешено)
S-1-5-21-2340243621-32346796122-2349433313-24109193 – SID учетной записи или группы в домене, для которой заданы разрешения. Чтобы преобразовать SID в имя учетной записи или группы, воспользуйтесь командой:
$objSID = New-Object System.Security.Principal.SecurityIdentifier ("S-1-5-21-2340243621-32346796122-2349433313-24109193")
$objUser = $objSID.Translate( [System.Security.Principal.NTAccount])
$objUser.Value
Или командами:
Get-ADUser -Identity SID
или
Get-ADGroup -Identity SID
Таким образом, мы узнали, что пользователь corpdvivan обладал полными правами (Full Control) на данный каталог.
Восстановление NTFS разрешений с помощью iCacls
С помощью ранее созданного файла veteran_ntfs_perms.txt вы можете восстановить NTFS разрешения на каталог. Чтобы задать NTFS права на объекты в каталоге в соответствии со значениями в файле с резервной копией ACL, выполните команду:
icacls C:share /restore c:PSveteran_ntfs_perms.txt /t /c
Примечание. Обратите внимание, что при импорте разрешений из файла указывается путь к родительской папке, но не имя самого каталога.
По окончанию восстановления разрешений также отобразится статистика о количестве обработанных файлов:
Successfully processed 114 files; Failed processing 0 files
С учетом того, что в резервной копии ACL указываются относительные, а не абсолютные пути к файлам, вы можете восстановить разрешения в каталоге даже после его перемещения на другой диск/каталог.
Сброс NTFS разрешений в Windows
С помощью утилиты icacls вы можете сбросить текущие разрешения на указанный файл или каталог (и любые вложенные объекты):
icacls C:shareveteran /reset /T /Q /C /RESET
Данная команда включит для указанного объекта наследование NTFS разрешений с родительского каталога, и удалит любые другие права.
Копирование NTFS прав между папками
Вы можете использовать текстовый файл с резервной копией ACL для копирования NTFS разрешений с одного каталога на другой/
Сначала создайте бэкап NTFS разрешений корня папки:
icacls 'C:ShareVeteran' /save c:pssave_ntfs_perms.txt /c
А замет примените сохраненные ACL к целевой папке:
icacls e:share /restore c:pssave_ntfs_perms.txt /c
Это сработает, если исходная и целевая папка называются одинаково. А что делать, если имя целевой папки отличается? Например, вам нужно скопировать NTFS разрешения на каталог E:PublicDOCS
Проще всего открыть файл save_ntfs_perms.txt в блокноте и отредактировать имя каталога. С помощью функции Replace замените имя каталога Veteran на PublicDOCS.
Затем импортируйте NTFS разрешения из файла и примените их к целевому каталогу:
icacls e: /restore c:pssave_ntfs_perms.txt /c
Одной из типовых задач администратора Windows при настройке доступа пользователей – управление NTFS разрешениями на папки и файлы файловой системы. Для управления NTFS разрешениями можно использовать графический интерфейс системы (вкладка Безопасность/Security в свойствах папки или файла), или встроенную утилиту командной строки iCACLS. В этой статье мы рассмотрим примеру использовании команды iCACLS для просмотра и управления разрешениями на папки и файлы.
Утилита iCACLS позволяет отображать или изменять списки управления доступом (Access Control Lists (ACLs) к файлам и папкам файловой системы. Предшественником у утилиты iCACLS.EXE является команда CACLS.EXE (доступна в Windows XP).
Чтобы просмотреть действующие разрешения на конкретную папку (например, C:PS), откройте командную строку и выполните команду:
icacls c:PS
Данная команда вернет список всех пользователей и групп пользователей, которым назначены разрешения на данную папку. Попробуем разобраться в синтаксисе разрешений, которые вернула команда iCACLS.
c:PS BUILTINАдминистраторы:(I)(OI)(CI)(F)
NT AUTHORITYСИСТЕМА:(I)(OI)(CI)(F)
BUILTINПользователи:(I)(OI)(CI)(RX)
NT AUTHORITYПрошедшие проверку:(I)(M)
NT AUTHORITYПрошедшие проверку:(I)(OI)(CI)(IO)(M)
Успешно обработано 1 файлов; не удалось обработать 0 файлов 
Напротив каждой группы и пользователя указан уровень доступа. Права доступа указываются с помощью сокращений. Рассмотрим разрешения для группы BUILTINАдминистраторы.
(OI) - Object inherit – права наследуются на нижестоящие объекты
(CI) - Container inherit – наследование каталога
(F) – Full control– полный доступ к папке
(I) — Inherit права наследованы с вышестоящего каталога
Это означает, что у данной группы есть права на запись, изменение данных в данном каталоге и на изменения NTFS разрешений. Данные права наследуются на все дочерние объекты в этом каталоге.
Ниже представлен полный список разрешений, которые можно устанавливать с помощью утилиты icacls.
Права наследования:
(OI) — object inherit
(CI) — container inherit
(IO) — inherit only
(NP) — don’t propagate inherit
(I) — Permission inherited from parent container
Список основных прав доступа:
D — право удаления
F — полный доступ
N — нет доступа
M — доступ на изменение
RX — доступ на чтение и запуск
R — доступ только на чтение
W — доступ только на запись
Детальные разрешения:
DE — Delete
RC — read control
WDAC — write DAC
WO — write owner
S — synchronize
AS — access system security
MA — maximum allowed
GR — generic read
GW — generic write
GE — generic execute
GA — generic all
RD — read data/list directory
WD — write data/add file
AD — append data/add subdirectory
REA — read extended attributes
WEA — write extended attributes
X — execute/traverse
DC — delete child
RA — read attributes
WA — write attributes
С помощью утилиты icacls вы можете сохранить текущие списки доступа к объекту в файл, а затем применить сохраненный список к этому же или другим объектам (своеобразный способ создания резервной копии текущего списка доступа — ACL).
Чтобы выгрузить текущие ACL папки C:PS и сохранить их в текстовый файл export_ps_acl.txt, выполните команду:
icacls C:PS* /save c:backupexport_ps_acl.txt /t
Данная команда сохраняет ACLs не только на сам каталог, но и на все вложенные папки и файлы. Полученный текстовый файл можно открыть с помощью блокнота или любого текстового редактора.
Чтобы применить сохраненные списки доступа (восстановить разрешения на каталог и все вложенные объекты), выполните команду:
icacls C:PS /restore :backupexport_ps_acl.txt
Таким образом процесс переноса прав доступа с одной папки на другую становится намного легче.
С помощью команды icacls вы можете изменить списки доступа к папке. Например, вы хотите предоставить пользователю aivanov право на редактирование содержимого папки. Выполните команду:
icacls C:PS /grant aivanov:M
Удалить все назначенные разрешения для учетной записи пользователя aivanov можно с помощью команды:
icacls C:PS /remove aivanov
Вы можете запретить пользователю или группе пользователей доступ к файлу или папке так:
icacls c:ps /deny "MSKManagers:(CI)(M)"
Имейте в виду, что запрещающие правил имеют больший приоритете, чем разрешающие.
С помощью команды icacls вы можете изменить владельца каталог или папки, например:
icacls c:pssecret.docx /setowner aivanov /T /C /L /Q
Теперь разберемся, что это за параметры используются в каждой команде.
- /Q – сообщение об успешном выполнении команды не выводится;
- /L – команда выполняется непосредственно над символической ссылкой, а не конкретным объектом;
- /C – выполнение команды будет продолжаться несмотря на файловые ошибки; при этом сообщения об ошибках все равно будут отображаться;
- /T – команда используется для всех файлов и каталогов, которые расположены в указанном каталоге;
Вы можете изменить владельца всех файлов в каталоге:
icacls c:ps* /setowner aivanov /T /C /L /Q
Также при помощи icacls можно сбросить текущие разрешения на объекты,
icacls C:ps /T /Q /C /RESET
После выполнения команды все текущие разрешения на папку будут сброшены и заменены на разрешения, наследуемые с вышестоящего объекта (каталога).
Corrupt Permissions: Regaining access to a folder and its sub-objects
Although most of the answers posted in reply to the question have some merit, IMHO none of them give a complete solution. The following (might be) a perfect solution for Windows 7 if you are locked-out of a folder by corrupted permission settings:
icacls "c:folder" /remove:d /grant:r Everyone:(OI)(CI)F /T
For Windows 10 the user/SID must be specified after the /remove:d option:
icacls "c:folder" /remove:d Everyone /grant:r Everyone:(OI)(CI)F /T
.
Notes:
-
The command is applied to the specified directory.
-
Specifying the user «Everyone» sets the widest possible permission, as it includes every possible user.
-
The option «/remove:d» deletes any explicit DENY settings that may exist, as those override explicit ALLOW settings: a necessary preliminary to creating a new ALLOW setting. This is only a precaution, as there is often no DENY setting present, but better safe than sorry.
-
The option «/grant» creates a new ALLOW setting, an explicit permission that replaces («:r») any and all explicit ALLOW settings that may exist.
-
The «F» parameter (i.e. the permission created) makes this a grant of FULL control.
-
The «/T» parameter adds recursion, applying these changes to all current sub-objects in the specified directory (i.e. files and subfolders), as well as the folder itself.
-
The «(OI)» and «(CI)» parameters also add recursion, applying these changes to sub-objects created subsequently.
.
ADDENDUM (2019/02/10) —
The Windows 10 command line above was kindly suggested to me today, so here it is. I haven’t got Windows 10 to test it, but please try it out if you have (and then will you please post a comment below).
The change only concerns removing the DENY setting as a first step. There might well not be any DENY setting present, so that option might make no difference. My understanding is, on Windows 7, that you don’t need to specify a user after /remove:d but I might be wrong about that!
.
ADDENDUM (2019/11/21) —
User astark recommends replacing Everyone with the term *S-1-1-0 in order for the command to be language independent. I only have an English install of Windows, so I can’t test this proposal, but it seems reasonable.
Corrupt Permissions: Regaining access to a folder and its sub-objects
Although most of the answers posted in reply to the question have some merit, IMHO none of them give a complete solution. The following (might be) a perfect solution for Windows 7 if you are locked-out of a folder by corrupted permission settings:
icacls "c:folder" /remove:d /grant:r Everyone:(OI)(CI)F /T
For Windows 10 the user/SID must be specified after the /remove:d option:
icacls "c:folder" /remove:d Everyone /grant:r Everyone:(OI)(CI)F /T
.
Notes:
-
The command is applied to the specified directory.
-
Specifying the user «Everyone» sets the widest possible permission, as it includes every possible user.
-
The option «/remove:d» deletes any explicit DENY settings that may exist, as those override explicit ALLOW settings: a necessary preliminary to creating a new ALLOW setting. This is only a precaution, as there is often no DENY setting present, but better safe than sorry.
-
The option «/grant» creates a new ALLOW setting, an explicit permission that replaces («:r») any and all explicit ALLOW settings that may exist.
-
The «F» parameter (i.e. the permission created) makes this a grant of FULL control.
-
The «/T» parameter adds recursion, applying these changes to all current sub-objects in the specified directory (i.e. files and subfolders), as well as the folder itself.
-
The «(OI)» and «(CI)» parameters also add recursion, applying these changes to sub-objects created subsequently.
.
ADDENDUM (2019/02/10) —
The Windows 10 command line above was kindly suggested to me today, so here it is. I haven’t got Windows 10 to test it, but please try it out if you have (and then will you please post a comment below).
The change only concerns removing the DENY setting as a first step. There might well not be any DENY setting present, so that option might make no difference. My understanding is, on Windows 7, that you don’t need to specify a user after /remove:d but I might be wrong about that!
.
ADDENDUM (2019/11/21) —
User astark recommends replacing Everyone with the term *S-1-1-0 in order for the command to be language independent. I only have an English install of Windows, so I can’t test this proposal, but it seems reasonable.