내장된 iCACLS를 사용할 수 있습니다. Windows에서 NTFS 권한을 관리하는 도구입니다. icacls.exe 명령줄 도구를 사용하면 NTFS 파일 시스템의 파일 및 폴더에 대한 ACL(액세스 제어 목록)을 가져오거나 변경할 수 있습니다. 이 기사에서는 iCACLS를 사용하여 Windows에서 NTFS 권한을 관리하는 데 유용한 명령을 살펴보겠습니다.
내용:
- iCACLS를 사용하여 파일 및 폴더 권한 보기 및 설정
- 폴더 NTFS 권한을 백업(내보내기)하는 방법
- iCacl로 NTFS 권한을 복원하는 방법
- NTFS 권한을 기본값으로 재설정
- 한 폴더에서 다른 폴더로 NTFS 권한 복사
iCACLS를 사용하여 파일 및 폴더 권한 보기 및 설정
NTFS 볼륨의 모든 개체에 대한 현재 액세스 권한은 다음과 같이 표시될 수 있습니다.
icacls 'C:\Share\Veteran\'
이 명령은 액세스 권한이 할당된 사용자 및 그룹 목록을 반환합니다. 권한은 약어를 사용하여 지정됩니다.
- F – 전체 액세스
- 남 – 액세스 수정
- 수신 – 읽기 및 실행 액세스
- R – 읽기 전용 액세스
- 여 – 쓰기 전용 액세스
- D – 삭제
상속권한이 접근권한보다 먼저 지정됨(상속권한은 폴더에만 적용됨):
- (OI) – 객체 상속
- (CI) – 컨테이너 상속
- (IO) – 상속만
- (나는) – 상위 컨테이너에서 권한 상속
icacls를 사용하면 폴더 권한을 변경할 수 있습니다.
"resource\mun-fs01_Auditors를 부여하려면 ” 그룹 폴더에 대한 읽기 및 실행(RX) 권한:
icacls 'C:\Share\Veteran\' /grant resource\mun-fs01_Auditors:RX
디렉토리 ACL에서 그룹을 제거하려면:
icacls 'C:\Share\Veteran\' /remove resource\mun-fs01_Auditors
icacls를 사용하면 상위 폴더에서 NTFS 권한 상속을 활성화할 수 있습니다.
icacls 'C:\Share\Veteran\' /inheritance:e
또는 상속된 모든 ACE를 제거하여 상속을 비활성화합니다.
icacls 'C:\Share\Veteran\' /inheritance:r
icacls.exe를 사용하여 파일 또는 폴더의 소유권을 변경할 수 있습니다.
icacls 'C:\Share\Veteran\' /setowner resource\j.smith /T /C /L /Q
폴더 NTFS 권한을 백업(내보내기)하는 방법
NTFS 폴더(또는 공유 네트워크 폴더)에 대한 사용 권한(이동, ACL 업데이트, 리소스 마이그레이션)을 크게 변경하기 전에 이전 사용 권한을 백업하는 것이 좋습니다. 이 사본을 사용하면 원래 설정으로 돌아가거나 최소한 특정 파일/디렉토리에 대한 이전 권한을 명확히 할 수 있습니다.
icacls.exe 도구를 사용하여 현재 NTFS 디렉터리 권한을 내보내거나 가져올 수 있습니다. 특정 폴더(하위 디렉토리 및 파일 포함)에 대한 모든 ACL을 가져오고 이를 텍스트 파일로 내보내려면 다음 명령을 실행하십시오.
icacls g:\veteran /save c:\backup\veteran_ntfs_perms.txt /t /c
파일 및 폴더의 수에 따라 권한 내보내기에 시간이 꽤 오래 걸릴 수 있습니다. 명령이 실행된 후 파일 처리의 성공 또는 실패 횟수에 대한 통계가 표시됩니다.
Successfully processed 3001 files; Failed processing 0 files
veteran_ntfs_perms.tx 파일을 엽니다. t 텍스트 편집기를 사용하여. 보시다시피 디렉토리에 있는 파일 및 폴더의 전체 목록이 포함되어 있으며 각 항목에는 SDDL에 지정된 현재 권한이 있습니다. (Security Descriptor Definition Language) 형식.
예를 들어, 폴더 루트에 대한 현재 NTFS 권한은 다음과 같습니다.
D:PAI(A;OICI;FA;;;BA)(A;OICIIO;FA;;;CO)(A;OICI;0x1200a9;;;S-1-5-21-2340243621-32346796122-2349433313-23777994)(A;OICI;0x1301bf;;;S-1-5-21-2340243621-32346796122-2349433313-23777993)(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-2340243621-32346796122-2349433313-24109193)S:AI
이 문자열은 일부 그룹 또는 사용자에 대한 액세스를 설명합니다. 우리는 SDDL 구문을 자세히 고려하지 않을 것입니다(SDDL 형식은 "Windows에서 서비스 권한을 보고 수정하는 방법?" 기사에서 간략하게 설명했습니다). 개체를 하나만 선택하여 SDDL의 작은 부분에 집중해 보겠습니다.
(A;OICI;FA;;;S-1-5-21-2340243621-32346796122-2349433313-24109193)
A – 접근 유형(허용)
OICI – 상속 플래그(OBJECT INHERIT+ CONTAINER INHERIT)
FA – 권한 유형(SDDL_FILE_ALL – 모두 허용됨)
S-1-5-21-2340243621-32346796122-2349433313-24109193 – 권한이 설정된 계정 또는 도메인 그룹의 SID. SID를 계정 또는 그룹 이름으로 변환하려면 다음 PowerShell 명령을 사용하십시오.
$objSID = New-Object System.Security.Principal.SecurityIdentifier ("S-1-5-21-2340243621-32346796122-2349433313-24109193")
$objUser = $objSID.Translate( [System.Security.Principal.NTAccount])
$objUser.Value
또는 다음 명령 중 하나를 사용하십시오.Get-ADUser -Identity SID
또는Get-ADGroup -Identity SID
따라서 사용자 corp\dvivar가 이 디렉토리에 대한 모든 권한을 갖고 있음을 알게 되었습니다.
iCacl로 NTFS 권한을 복원하는 방법
이전에 만든 베테랑_ntfs_perms.txt 파일을 사용하여 폴더에 대한 NTFS 권한을 복원할 수 있습니다. ACL 백업 파일의 값에 따라 디렉터리의 개체에 대한 NTFS 권한을 설정하려면 다음 명령을 실행하십시오.
icacls g:\ /restore c:\backup\veteran_ntfs_perms.txt /t /c
모든 권한이 복구되면 처리된 파일 수에 대한 통계도 표시됩니다.
백업 ACL 파일에는 절대 파일 경로가 아닌 상대 파일 경로가 포함되어 있습니다. 즉, 폴더를 다른 드라이브/디렉토리로 이동한 후에도 폴더에 대한 권한을 복원할 수 있습니다.
NTFS 권한을 기본값으로 재설정
icacls 도구를 사용하여 폴더 권한(중첩 파일 및 하위 디렉터리 포함)을 재설정할 수 있습니다.
icacls C:\share\veteran /reset /T /Q /C
이 명령은 지정된 개체에 대해 상속된 NTFS 권한을 활성화하고 다른 ACL을 제거합니다.
한 폴더에서 다른 폴더로 NTFS 권한 복사
ACL 백업이 있는 텍스트 파일을 사용하여 한 디렉터리에서 다른 디렉터리로 NTFS 권한을 복사할 수 있습니다.
먼저 원본 폴더의 NTFS 권한을 백업합니다.
icacls 'C:\Share\Veteran' /save C:\PS\save_ntfs_perms.txt /c
그런 다음 저장된 ACL을 대상 폴더에 적용합니다.
icacls D:\Share /restore C:\PS\save_ntfs_perms.txt /c
원본 및 대상 폴더의 이름이 동일한 경우 작동합니다. 대상 폴더 이름이 다른 경우 어떻게 합니까? 예를 들어 NTFS 권한을 D:\PublicDOCS 폴더에 복사해야 합니다.
가장 쉬운 방법은 save_ntfs_perms.txt를 여는 것입니다. 메모장에 파일을 만들고 폴더 이름을 편집합니다. 베테랑을 대체하려면 바꾸기 기능을 사용하세요. PublicDOCS가 있는 이름 .
그런 다음 파일에서 NTFS 권한을 가져와 대상 폴더에 적용합니다.
icacls D:\ /restore C:\PS\save_ntfs_perms.txt /c
Get-Acl -Path 'C:\Share\Veteran' | Set-Acl -Path 'E:\PublicDOCS'