Jelaskan output ICACLS.EXE, baris demi baris, item demi item

Apa artinya ini:

C:\foo\> icacls .
. NT AUTHORITY\IUSR:(M)
  BUILTIN\IIS_IUSRS:(M)
  BUILTIN\IIS_IUSRS:(OI)(CI)(M)
  NT AUTHORITY\IUSR:(OI)(CI)(M)
  BUILTIN\IIS_IUSRS:(I)(OI)(CI)(RX)
  NT AUTHORITY\IUSR:(I)(OI)(CI)(RX)
  NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
  BUILTIN\Administrators:(I)(OI)(CI)(F)

Saya pikir yang pertama berarti bahwa userid akan memodifikasi hak akses pada direktori - yang berarti bahwa pengguna dapat membuat file, atau memperbarui file, atau menghapus file. Baik? Apa yang dimaksud dengan pengguna "NT AUTHORITY \ IUSR"? Apakah itu benar-benar satu ID pengguna? Apakah ini ID pengguna IIS default?

ok, baris kedua saya pikir mengacu pada grup. Ia mendapat izin yang sama.

Bagaimana dengan semua baris dengan (I) dan (OI) dan sebagainya. Tolong jelaskan.

Dari Artikel Microsoft tentang ICACLS

Entri adalah pengguna dan grup khusus untuk file itu (DOMAIN \ USER atau GROUP), izin yang tercantum adalah sebagai berikut:

SID mungkin dalam bentuk nama numerik atau ramah. Jika Anda menggunakan bentuk angka, tambahkan karakter wildcard * ke awal SID.

icacls mempertahankan urutan kanonik entri ACE sebagai:

• Penolakan eksplisit
• Hibah eksplisit
• Penyangkalan yang diwariskan
• Hibah yang diwariskan

Perm adalah mask izin yang dapat ditentukan dalam salah satu bentuk berikut:

1. Urutan hak-hak sederhana:
   • F (akses penuh)
   • M (ubah akses)
   • RX (baca dan jalankan akses)
   • R (akses hanya baca)
   • W (akses hanya tulis)
2. Daftar yang dipisahkan koma dalam tanda kurung hak-hak khusus:
   • D (hapus)
   • RC (baca kontrol)
   • WDAC (tulis DAC)
   • WO (pemilik tulis)
   • S (sinkronkan)
   • AS (keamanan sistem akses)
   • MA (maksimum diizinkan)
   • GR (baca umum)
   • GW (tulis generik)
   • GE (eksekusi generik)
   • GA (umum semua)
   • RD (baca data / daftar direktori)
   • WD (tulis data / tambah file)
   • AD (tambahkan data / tambahkan subdirektori)
   • REA (baca atribut yang diperluas)
   • WEA (tulis atribut yang diperluas)
   • X (eksekusi / lintasi)
   • DC (hapus anak)
   • RA (baca atribut)
   • WA (tulis atribut)

Hak-hak waris dapat mendahului salah satu dari formulir Perm , dan mereka hanya diterapkan pada direktori:

• (OI) : objek bawaan
• (CI) : mewarisi wadah
• (IO) : hanya warisan
• (NP) : jangan menyebar warisan
• (I) : izin yang diwarisi dari wadah induk

Untuk file, topeng izin kurang lebih jelas: Rberarti Anda dapat membaca file, Xmemungkinkan untuk dieksekusi (sebagai program), dan sebagainya.

Untuk jenis objek lain, Anda harus menelusuri MSDN:

• Hak Akses Standar
• Aturan Warisan ACE
• Daftar
• Layanan
• ...

Hak waris dalam bahasa Inggris:

• (I) "Warisan": ACE ini diwarisi dari wadah induk.
• (OI) "Object inherit": ACE ini akan diwarisi oleh objek yang ditempatkan dalam wadah ini.
• (CI) "Container inherit": ACE ini akan diwarisi oleh subkontainer yang ditempatkan di wadah ini.
• (IO)"Hanya warisan": ACE ini akan diwarisi (lihat OIdan CI), tetapi tidak berlaku untuk objek ini sendiri.
• (NP)"Jangan menyebar": ACE ini akan diwarisi oleh objek dan subkontainer sedalam satu level - ini tidak akan berlaku untuk hal-hal di dalam subkontainer.

Untuk sistem file, "wadah" berarti folder dan "objek" berarti file, tetapi ingat bahwa ACL dapat diatur pada banyak jenis objek lainnya, tidak semuanya memiliki konsep "wadah".