SetAcl ist ein Utility von Helge Klein, mit welchem Windows Berechtigungen manipuliert werden können. Wir verwenden das Tool hauptsächlich für Datei-, Verzeichnis- und Registry-Berechtigungen.

In diesem Artikel möchte ich ein paar Spezialfälle aufzeigen. Hier erfährst Du mehr darüber.

ACL zurücksetzen

Dieser Befehl entfernt sämtliche berechtigten des Benutzers und deaktiviert die Vererbung (inheritance) vom Parent-Folder. Die ACL ist leer (kaputt…).

SetACL.exe -on „C:\temp\test.cmd“ -ot file -actn setprot -op „dacl:p_nc;sacl:p_nc“

Take Ownership

Beispiel mit dem SYSTEM Account

SetAcl.exe -on „C:\temp\test.cmd“ -ot file -actn setowner -ownr n:S-1-5-18;s:y

Beispiel für einen anderern Benutzer

SetAcl.exe -on „C:\temp\test.cmd“ -ot file -actn setowner -ownr „n:domäne\username;s:n“

Full-Control dem System-User geben

SetAcl.exe -on „C:\temp\test.cmd“ -ot file -actn ace -ace „n:SYSTEM;p:full“

Gruppen hinzufügen

Beispiel mit Berechtigungen „read & execute“

setacl.exe -on „C:\temp\test.cmd“ -ot file -actn ace -ace „n:Gruppe1;p:read_ex“

Administratorengruppe hinzufügen und berechtigen

Im folgenden Beispiel wird die Administratoren-Gruppe hinzugefügt und im gleichen Zug folgende Berechtigungen vergeben:

• Standard-Permission-Set „read“
• Standard-Permission-Set „write“
• Standard-Permission-Set „delete“
• Spezifische Permissions „write_dacl“ und „write_owner“

Die Administrationsgruppe hat dadurch sämtliche Rechte ausser „Traverse Folder / execute File“.

SetAcl.exe -on „C:\temp\test.cmd“ -ot file -actn setprot -op „sacl:np“ -actn ace -ace „n:S-1-5-32-544;s:y;p:read,write,delete,write_dacl,write_owner;m:set“

Admin entfernen

Entfernt die lokale Administratorengruppe komplett

setacl.exe -on „C:\temp\test.cmd“ -ot file -actn trustee -trst n1:S-1-5-32-544;s1:y;ta:remtrst;w:dacl

User Gruppe entfernen

Entfernt die lokale Benutzergruppe

setacl.exe -on „C:\temp\test.cmd“ -ot file -actn trustee -trst n1:S-1-5-32-545;s1:y;ta:remtrst;w:dacl