Tweet

［System Environment］

→ Windows TIPS TOPへ → Windows TIPS全リストへ → 内容別分類一覧へ icaclsコマンドでファイルのアクセス制御リストACLを保存／復元する → 解説をスキップして操作方法を読む デジタルアドバンテージ　打越 浩幸 2010/06/18 対象OS Windows Server 2003 SP2 Windows Vista Windows Server 2008 Windows 7 Windows Server 2008 R2

■ アクセス制御リストACLを操作するには、従来のcaclsコマンドのほか、icaclsコマンドも利用できる。 ■ icaclsコマンドでは、ACLの保存や復元が可能になるなど、機能が拡張されている。

　Windows OSでは、ファイルやオブジェクトにACL（アクセス制御リスト）を付与し、アクセスを許可するか、禁止するかなどを制御している。ACLの詳細についてはTIPS「アクセス制御リストACLとは？」や「有効なファイル・アクセス権を調査する」などを参照していただきたい。

　ACLを調査するコマンドとしてはcacls.exeがあり、TIPS「caclsコマンドの出力の見方」「caclsコマンドでACLを編集する」などで紹介している。このcaclsコマンドの後継として、Windows Server 2003 SP2以降のOSでは、icacls.exeというコマンドが提供されている。オプションの指定方法が少し変更されているほか、ACLの保存や復元、SIDを指定しての削除など、いくつか機能が拡張されている。

　本TIPSではicaclsコマンドの基本的な使い方として、ACLの保存と復元方法について紹介する。それ以外の用法については今後別TIPSで紹介する。

icacls.exeの使い方

　icaclsコマンドの使い方は引数なしで実行するか、/?を付けると表示される。

■Windows Server 2003 SP3に付属のicacls.exeコマンドについて
　 日本語版のWindows Server 2003 SP2に付属のicacls.exeコマンドには不具合があり、/?を付けてもヘルプが正しく表示されない。とはいえ、これはヘルプの表示方法だけの問題であり、機能的には正しく動作する。Windows Vista以降のWindows OSに付属のものは正しくヘルプが表示される。

　マイクロソフトからはこれに対する修正プログラムが提供されている。

• Icacls.exe ユーティリティは Windows Server 2003 Service Pack 2 ベースのコンピューターで英語以外の言語を表示できません。［機械翻訳］（サポート技術情報）

【2010/06/25追記】ただし、上のサポート技術情報に記述されているicacls.exeコマンドはその後さらに改訂され、現在ではより新しいバージョンが提供されている。次のページの先頭にある「この技術情報に対応する修正プログラムのダウンロードのリスト」のリンクをクリックして、最新版を入手していただきたい。修正プログラムのダウンロード手順については、TIPS「不具合を修正するホットフィックス修正プログラム（QFE）を入手する」を参照のこと。

• Windows Server 2003 SP2 を実行しているコンピューター上のファイルまたはフォルダーの所有権を設定する Icacls.exe ユーティリティを実行するとエラー メッセージ: アクセスが拒否されました"［機械翻訳］（サポート技術情報）

ACLを保存する

　icaclsにパス名を付けて実行すると、デフォルトでは指定されたファイルやフォルダのACLが表示される。フォルダを再帰的に走査するには/Tオプションを指定する（これはcaclsコマンドと同じ）。さらに「/save ＜ファイル名＞」オプションを付けると、その結果が指定されたファイルに保存される。このファイルは後でACLの復元作業に利用できる。

　結果は次のように、Unicode形式のテキスト・ファイルとして保存される（ただし先頭の「BOM：Byte Order Mark」はないので注意）。「D:AI(A;OICIID;FA;;;WD)」といった文字列はSDDL形式で表現したACLである。SDDLについてははTIPS「セキュリティ設定を記述するSDDL文字列とは？」「caclsコマンドでACLを編集する（SDDL編）」を参照していただきたい。

保存されたACLのリスト

結果のACLはUnicode形式でファイルに保存される。ACLの各要素（DACLという）は、SDDL形式で記録されている。ファイル／フォルダ名とACLが1行ずつ並んでいる。

ACLの各エントリは2行で構成されている。1行目はパス名、2行目はACL（DACL）のリストである。ファイルはUnicode形式で読み書きすること。パス名は絶対パス名でもよいし、この例のように相対パス名でもよい。ただし相対パス名のときは、復元コマンドの実行時のカレント・フォルダに注意。

ACLを復元する

　/saveオプションで保存したACLのテキスト・ファイルや同様の形式になるように作成したファイルは、/restoreオプションを付けて実行すれば、ACLの復元に利用できる。

　なおメモ帳でUnicodeとして保存すると先頭に「BOM：Byte Order Mark（16進数でFF-FE）」が付くが、このようなUnicodeテキスト・ファイルはWindows 7やWindows Server 2008 R2以降のicacls.exeコマンドでないと正しく読み込めないようである。Windows Server 2003やWindows Vista、Windows Server 2008のicacls.exeに与える場合は、BOMマークのないUnicodeテキスト・ファイルにする必要がある。いったんInternet Explorer 8で開いて、Unicode形式で保存し直すと、BOMのないUnicodeファイルになる（TIPS「文字コードを変換する」参照）。

この記事と関連性の高い別のWindows TIPS icaclsコマンドでアクセス制御リスト中のメンバーを検索する caclsコマンドの出力の見方 caclsコマンドでACLを編集する（SDDL編） ファイルやフォルダのアクセス権をリセットして親フォルダから継承させる caclsコマンドでACLを編集する このリストは、（株）デジタルアドバンテージが開発した 自動関連記事探索システム Jigsaw（ジグソー） により自動抽出したものです。 generated by

「Windows TIPS」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）

RSSフィード