ICACLS имя /save ACL_файл /T /C сохранение DACL файлов и папок, соответствующих имени, в ACL-файл для последующего использования ...

ICACLS имя /save ACL_файл [/T] [/C]
    сохранение DACL файлов и папок, соответствующих имени, в ACL-файл для
    последующего использования с командой /restore. Обратите внимание, что
    метки SACL, владельца и целостности не сохраняются.

ICACLS каталог [/substitute OldSid NewSid [...]] /restore ACL_файл [/C]
    применение сохраненных DACL к файлам в каталоге.

ICACLS имя /setowner пользователь [/T] [/C]
    изменение владельца всех соответствующих имен. Этот параметр не
    предназначен для принудительной смены владельца; используйте для этой цели
    программу takeown.exe.

ICACLS имя /findsid Sid [/T] [/C]
    поиск всех соответствующих имен,
    содержащих ACL с явным упоминанием ИД безопасности.

ICACLS имя /verify [/T] [/C]
    поиск всех файлов с неканоническими ACL или длинами,
    не соответствующими количеству ACE.

ICACLS имя /reset [/T] [/C]
    замена ACL на унаследованные по умолчанию для всех соответствующих файлов.

ICACLS имя [/grant[:r] Sid:perm[...]]
       [/deny Sid:perm [...]]
       [/remove[:g|:d]] Sid[...]] [/T] [/C]

    /grant[:r] Sid:perm — предоставление указанных прав доступа
        пользователя. С параметром :r эти разрешения заменяют любые ранее
        предоставленные явные разрешения. Без параметра :r разрешения добавляются
        к любым ранее предоставленным явным разрешениям.

    /deny Sid:perm — явный отзыв указанных прав доступа пользователя.
        ACE явного отзыва добавляется для заявленных разрешений с
        удалением этих же разрешений в любом явном предоставлении.

    /remove[:[g|d]] Sid — удаление всех вхождений ИД безопасности в ACL. 
        С параметром :g удаляются все вхождения предоставленных прав в этом ИД безопасности. 
        С параметром :d, удаляются все вхождения отозванных прав в этом ИД безопасности.

    /inheritance:e|d|r
        e - включение наследования
        d - отключение наследования и копирование ACE
        r - удаление всех унаследованных ACE



Примечание:
    ИД безопасности могут быть в числовой форме или в форме понятного имени. Если задана числовая форма, добавьте * в начало
    ИД безопасности.

    /T — операция выполняется для всех соответствующих
        файлов и каталогов, расположенных в указанных в имени каталогах.

    /C — выполнение операции продолжается при всех ошибках файла.
        Сообщения об ошибках по-прежнему выводятся на экран.

    ICACLS сохраняет канонический порядок записей ACE:
            Явные отзывы
            Явные предоставления
            Унаследованные отзывы
            Унаследованные предоставления

    разрешение — это маска разрешений, которая может быть указана в одной из двух форм:
        последовательность простых прав:
                N - доступ отсутствует
                F - полный доступ
                M - доступ на изменение
                RX - доступ на чтение и выполнение
                R - доступ только на чтение
                D - доступ на удаление
        список отдельных прав, разделенный запятыми и заключенный в скобки:
                DE - удаление
                RC - чтение
                WDAC - запись DAC
                WO - смена владельца
                S - синхронизация
                AS - доступ к безопасности системы
                MA - максимально возможный
                GR - общее чтение
                GW - общая запись
                GE - общее выполнение
                GA - все общие
                RD - чтение данных, перечисление содержимого каталога
                WD - запись данных, добавление файлов
                AD - добавление данных, создание подкаталогов
                REA - чтение дополнительных атрибутов
                WEA - запись дополнительных атрибутов
                X - выполнение файлов и обзор папок
                DC - удаление вложенных объектов
                RA - чтение атрибутов
                WA - запись атрибутов
        права наследования могут предшествовать любой форме и применяются
        только к каталогам:
                (OI) - наследование объектами
                (CI) - наследование контейнерами
                (IO) - только наследование
                (NP) - запрет на распространение наследования
                (I) - наследование разрешений от родительского контейнера

Примеры:

        icacls c:\windows\* /save ACL_файл /T
        - сохранение в ACL-файле ACL для всех файлов в каталоге c:\windows
          и его подкаталогах.

        icacls c:\windows\ /restore ACL_файл
        - восстановление из ACL-файла ACL для
          каждого файла в каталоге c:\windows и его подкаталогах.

        icacls file /grant Administrator:(D,WDAC)
        - предоставление пользователю Administrator разрешений на удаление
          и запись DAC для файла.

        icacls file /grant *S-1-1-0:(D,WDAC)
        - предоставление пользователю с ИД безопасности S-1-1-0 разрешений
          на удаление и запись DAC для файла.