Windows консоль права на папку

Skip to content

Случается, что при работе с файлами или папками Вам бывает необходимо изменить для них владельца и права доступа.

Смена владельца файла или папки, используя Проводник.

1. Щелкните правой кнопкой мыши на файле или папке и выберите пункт Свойства.
2. Перейдите на вкладку Безопасность и нажмите кнопку Дополнительно.
3. Перейдите на вкладку Владелец и нажмите кнопку Изменить.
4. Выполните одно из следующих действий:

• Чтобы назначить владельцем пользователя или группу из списка, в окне «Изменить владельца на» выберите нового владельца и нажмите ОК.
• Чтобы назначить владельцем пользователя или группу, которых нет в списке:

1. Нажмите кнопку Другие пользователи и группы
2. Если владельцем необходимо установить службу TrustedInstaller, в качестве имени объекта в поле Введите имена выбираемых объектов (примеры) введите: NT SERVICE\TrustedInstaller и нажмите кнопку ОК.
3. Если владельцем необходимо другого пользователя или группу, то нажмите кнопку Дополнительно, а затем кнопку Поиск.
4. В результатах поиска выберите необходимую Вам группу или пользователя и нажмите кнопку ОК.
5. В окне Изменить владельца на: выберите добавленную группу или пользователя.
6. Чтобы сменить владельца всех субконтейнеров и объектов в папке, установите флажок Заменить владельца субконтейнеров и объектов и нажмите кнопку ОК.

Изменение разрешений для доступа к файлам и папкам, используя Проводник.

1. Щелкните правой кнопкой мыши на файле или папке и выберите пункт Свойства.
2. Перейдите на вкладку Безопасность и нажмите кнопку Дополнительно.
3. Нажмите кнопку Изменить разрешения и выполните одно из следующих действий:
4. Чтобы изменить разрешения для существующей группы или пользователя, выберите имя этой группы или пользователя и нажмите кнопку Изменить.
5. Установите необходимые Вам флажки Разрешить или Запретить напротив каждого разрешения и нажмите кнопку ОК, а затем кнопку Применить.
6. Чтобы изменить разрешения для группы или пользователя, которого нет в списке Элементы разрешений, нажмите кнопку Добавить.
7. Если необходимо изменить разрешения для службы TrustedInstaller, в качестве имени объекта в поле Введите имена выбираемых объектов (примеры) введите: NT SERVICE\TrustedInstaller и нажмите кнопку ОК.
8. Если необходимо изменить разрешения для другого пользователя или группы, то нажмите кнопку Дополнительно, а затем кнопку Поиск.
9. В результатах поиска выберите необходимую Вам группу или пользователя и нажмите кнопку ОК.
10. Установите необходимые Вам флажки Разрешить или Запретить напротив каждого разрешения и нажмите кнопку ОК, а затем кнопку Применить.
11. Чтобы удалить группу или пользователя из списка Элементы разрешений, нажмите кнопку Удалить.

Далее рассказывается как можно изменить разрешения или сменить владельца, используя командную строку запущенную от имени администратора.
Если после использовании команды, разрешения или владелец не сменятся, то возможно Вам придется зайти в систему под встроенной учётной записью «Администратор» для их выполнения заново.

Изменение владельца файла (папки) на указанного Вами пользователя, используя командную строку.

• icacls папка\файл /setowner Пользователь параметры 

Примеры:

icacls «C:\Test\file.exe» /setowner Administrtator /C /L /Q

icacls «C:\Test\file.exe» /setowner «NT SERVICE\TrustedInstaller» /C /L /Q

icacls «C:\Test\*» /setowner система /T /C /L /Q

icacls «C:\Test» /setowner Vince /T /C /L /Q

Параметры:

/T — операция выполняется для всех соответствующих файлов и каталогов, расположенных в указанных в имени каталогах.
/C — выполнение операции продолжается при любых файловых ошибках. Сообщения об ошибках по-прежнему выводятся на экран.
/L — операция выполняется над самой символической ссылкой, а не над ее целевым объектом.
/Q — команда icacls подавляет сообщения об успешном выполнении.

Изменение разрешений для файла (папки), используя командную строку.

• icacls папка\файл /grant:r Пользователь:разрешение

Разрешения:

F — полный доступ
M — доступ на изменение
RX — доступ на чтение и выполнение
R — доступ только на чтение
W — доступ только на запись
D — доступ на удаление

Примеры:

icacls «C:\Windows\file.exe» /grant:r Vince:F

icacls «C:\Windows\file.exe» /grant:r Vince:M

icacls «C:\Windows» /grant:r Vince:F

icacls «C:\Windows» /grant:r Vince:RX /T

icacls «C:\TEMP» /grant Все:(OI)(CI)F /T
*((OI)(CI) — включают наследование для дочерних папок и файлов)

Об остальных возможностях команды icacls Вы сможете узнать введя команду: icacls /?

Смотрите также:

Join @AdmNtsRu on Telegram

Corrupt Permissions: Regaining access to a folder and its sub-objects

Although most of the answers posted in reply to the question have some merit, IMHO none of them give a complete solution. The following (might be) a perfect solution for Windows 7 if you are locked-out of a folder by corrupted permission settings:

icacls "c:\folder" /remove:d /grant:r Everyone:(OI)(CI)F /T  

For Windows 10 the user/SID must be specified after the /remove:d option:

icacls "c:\folder" /remove:d Everyone /grant:r Everyone:(OI)(CI)F /T  

.
Notes:

1. The command is applied to the specified directory.

2. Specifying the user «Everyone» sets the widest possible permission, as it includes every possible user.

3. The option «/remove:d» deletes any explicit DENY settings that may exist, as those override explicit ALLOW settings: a necessary preliminary to creating a new ALLOW setting. This is only a precaution, as there is often no DENY setting present, but better safe than sorry.

4. The option «/grant» creates a new ALLOW setting, an explicit permission that replaces («:r») any and all explicit ALLOW settings that may exist.

5. The «F» parameter (i.e. the permission created) makes this a grant of FULL control.

6. The «/T» parameter adds recursion, applying these changes to all current sub-objects in the specified directory (i.e. files and subfolders), as well as the folder itself.

7. The «(OI)» and «(CI)» parameters also add recursion, applying these changes to sub-objects created subsequently.
   .

ADDENDUM (2019/02/10) —

The Windows 10 command line above was kindly suggested to me today, so here it is. I haven’t got Windows 10 to test it, but please try it out if you have (and then will you please post a comment below).

The change only concerns removing the DENY setting as a first step. There might well not be any DENY setting present, so that option might make no difference. My understanding is, on Windows 7, that you don’t need to specify a user after /remove:d but I might be wrong about that!

.

ADDENDUM (2019/11/21) —

User astark recommends replacing Everyone with the term *S-1-1-0 in order for the command to be language independent. I only have an English install of Windows, so I can’t test this proposal, but it seems reasonable.

Одной из типовых задач администратора Windows при настройке доступа пользователей – управление NTFS разрешениями на папки и файлы файловой системы. Для управления NTFS разрешениями можно использовать графический интерфейс системы (вкладка Безопасность/Security в свойствах папки или файла), или встроенную утилиту командной строки iCACLS. В этой статье мы рассмотрим примеру использовании команды iCACLS для просмотра и управления разрешениями на папки и файлы.

Утилита iCACLS позволяет отображать или изменять списки управления доступом (Access Control Lists (ACLs) к файлам и папкам файловой системы. Предшественником у утилиты iCACLS.EXE является команда CACLS.EXE (доступна в Windows XP).

Чтобы просмотреть действующие разрешения на конкретную папку (например, C:\PS), откройте командную строку и выполните команду:

icacls c:\PS

Данная команда вернет список всех пользователей и групп пользователей, которым назначены разрешения на данную папку. Попробуем разобраться в синтаксисе разрешений, которые вернула команда iCACLS.

c:\PS BUILTIN\Администраторы:(I)(OI)(CI)(F)
NT AUTHORITY\СИСТЕМА:(I)(OI)(CI)(F)
BUILTIN\Пользователи:(I)(OI)(CI)(RX)
NT AUTHORITY\Прошедшие проверку:(I)(M)
NT AUTHORITY\Прошедшие проверку:(I)(OI)(CI)(IO)(M)

Успешно обработано 1 файлов; не удалось обработать 0 файлов

Напротив каждой группы и пользователя указан уровень доступа. Права доступа указываются с помощью сокращений. Рассмотрим разрешения для группы BUILTIN\Администраторы.

(OI) -  Object inherit – права наследуются на нижестоящие объекты
(CI) - Container inherit – наследование каталога
(F) – Full control– полный доступ к папке
(I) — Inherit   права наследованы с вышестоящего каталога

Это означает, что у данной группы есть права на запись, изменение данных в данном каталоге и на изменения NTFS разрешений. Данные права наследуются на все дочерние объекты в этом каталоге.

Ниже представлен полный список разрешений, которые можно устанавливать с помощью утилиты icacls.

Права наследования:

(OI) — object inherit
(CI) — container inherit
(IO) — inherit only
(NP) — don’t propagate inherit
(I) — Permission inherited from parent container

Список основных прав доступа:

D — право удаления
F — полный доступ
N — нет доступа
M — доступ на изменение
RX — доступ на чтение и запуск
R — доступ только на чтение
W — доступ только на запись

Детальные разрешения:

DE — Delete
RC — read control
WDAC — write DAC
WO — write owner
S — synchronize
AS — access system security
MA — maximum allowed
GR — generic read
GW — generic write
GE — generic execute
GA — generic all
RD — read data/list directory
WD — write data/add file
AD — append data/add subdirectory
REA — read extended attributes
WEA — write extended attributes
X — execute/traverse
DC — delete child
RA — read attributes
WA — write attributes

С помощью утилиты icacls вы можете сохранить текущие списки доступа к объекту в файл, а затем применить сохраненный список к этому же или другим объектам (своеобразный способ создания резервной копии текущего списка доступа — ACL).

Чтобы выгрузить текущие ACL папки C:\PS и сохранить их в текстовый файл export_ps_acl.txt, выполните команду:

icacls C:\PS\* /save c:\backup\export_ps_acl.txt /t

Данная команда сохраняет ACLs не только на сам каталог, но и на все вложенные папки и файлы. Полученный текстовый файл можно открыть с помощью блокнота или любого текстового редактора.

Чтобы применить сохраненные списки доступа (восстановить разрешения на каталог и все вложенные объекты), выполните команду:

icacls C:\PS /restore :\backup\export_ps_acl.txt

Таким образом процесс переноса прав доступа с одной папки на другую становится намного легче.

С помощью команды icacls вы можете изменить списки доступа к папке. Например, вы хотите предоставить пользователю aivanov право на редактирование содержимого папки. Выполните команду:

icacls C:\PS /grant aivanov:M

Удалить все назначенные разрешения для учетной записи пользователя aivanov можно с помощью команды:

icacls C:\PS /remove aivanov

Вы можете запретить пользователю или группе пользователей доступ к файлу или папке так:

icacls c:\ps /deny "MSKManagers:(CI)(M)"

Имейте в виду, что запрещающие правил имеют больший приоритете, чем разрешающие.

С помощью команды icacls вы можете изменить владельца каталог или папки, например:

icacls c:\ps\secret.docx /setowner aivanov /T /C /L /Q

Теперь разберемся, что это за параметры используются в каждой команде.

• /Q – сообщение об успешном выполнении команды не выводится;
• /L – команда выполняется непосредственно над символической ссылкой, а не конкретным объектом;
• /C – выполнение команды будет продолжаться несмотря на файловые ошибки; при этом сообщения об ошибках все равно будут отображаться;
• /T – команда используется для всех файлов и каталогов, которые расположены в указанном каталоге;

Вы можете изменить владельца всех файлов в каталоге:

icacls c:\ps\* /setowner aivanov /T /C /L /Q

Также при помощи icacls можно сбросить текущие разрешения на объекты,

icacls C:\ps /T /Q /C /RESET

После выполнения команды все текущие разрешения на папку будут сброшены и заменены на разрешения, наследуемые с вышестоящего объекта (каталога).