SetAcl ist ein Utility von Helge Klein, mit welchem Windows Berechtigungen manipuliert werden können. Wir verwenden das Tool hauptsächlich für Datei-, Verzeichnis- und Registry-Berechtigungen.
In diesem Artikel möchte ich ein paar Spezialfälle aufzeigen. Hier erfährst Du mehr darüber.
ACL zurücksetzen
Dieser Befehl entfernt sämtliche berechtigten des Benutzers und deaktiviert die Vererbung (inheritance) vom Parent-Folder. Die ACL ist leer (kaputt…).
SetACL.exe -on „C:\temp\test.cmd“ -ot file -actn setprot -op „dacl:p_nc;sacl:p_nc“
Take Ownership
Beispiel mit dem SYSTEM Account
SetAcl.exe -on „C:\temp\test.cmd“ -ot file -actn setowner -ownr n:S-1-5-18;s:y
Beispiel für einen anderern Benutzer
SetAcl.exe -on „C:\temp\test.cmd“ -ot file -actn setowner -ownr „n:domäne\username;s:n“
Full-Control dem System-User geben
SetAcl.exe -on „C:\temp\test.cmd“ -ot file -actn ace -ace „n:SYSTEM;p:full“
Gruppen hinzufügen
Beispiel mit Berechtigungen „read & execute“
setacl.exe -on „C:\temp\test.cmd“ -ot file -actn ace -ace „n:Gruppe1;p:read_ex“
Administratorengruppe hinzufügen und berechtigen
Im folgenden Beispiel wird die Administratoren-Gruppe hinzugefügt und im gleichen Zug folgende Berechtigungen vergeben:
- Standard-Permission-Set „read“
- Standard-Permission-Set „write“
- Standard-Permission-Set „delete“
- Spezifische Permissions „write_dacl“ und „write_owner“
Die Administrationsgruppe hat dadurch sämtliche Rechte ausser „Traverse Folder / execute File“.
SetAcl.exe -on „C:\temp\test.cmd“ -ot file -actn setprot -op „sacl:np“ -actn ace -ace „n:S-1-5-32-544;s:y;p:read,write,delete,write_dacl,write_owner;m:set“
Admin entfernen
Entfernt die lokale Administratorengruppe komplett
setacl.exe -on „C:\temp\test.cmd“ -ot file -actn trustee -trst n1:S-1-5-32-544;s1:y;ta:remtrst;w:dacl
User Gruppe entfernen
Entfernt die lokale Benutzergruppe
setacl.exe -on „C:\temp\test.cmd“ -ot file -actn trustee -trst n1:S-1-5-32-545;s1:y;ta:remtrst;w:dacl