ICACLS nome /save arquivo_ACL /T /C /L /Q armazena as DACLs referentes aos arquivos e às pastas correspondentes a nome em ...

ICACLS nome /save arquivo_ACL [/T] [/C] [/L] [/Q]
    armazena as DACLs referentes aos arquivos e às pastas correspondentes
    a nome em arquivo_ACL para uso posterior com /restore. Observe que
    as SACLs, o proprietário e os rótulos de integridade não são salvos.

ICACLS diretório [/substitute SIDAntiga SIDNova [...]] /restore arquivo_ACL
                 [/C] [/L] [/Q]
    aplica as DACLs armazenadas aos arquivos de diretório.

ICACLS nome /setowner usuário [/T] [/C] [/L] [/Q]
    altera o proprietário de todos os nomes correspondentes. Esta opção
    não força uma alteração de propriedade; para essa finalidade, use
    o utilitário takeown.exe.

ICACLS nome /findsid SID [/T] [/C] [/L] [/Q]
    localiza todos os nomes correspondentes que contêm uma ACL
    com menção explícita a SID.

ICACLS nome /verify [/T] [/C] [/L] [/Q]
    localiza todos os arquivos cuja ACL não está na forma canônica
    ou cujo tamanho é inconsistente com as contagens de ACEs.

ICACLS nome /reset [/T] [/C] [/L] [/Q]
    substitui as ACLs por ACLs herdadas padrão para todos os arquivos
    correspondentes.

ICACLS nome [/grant[:r] SID:perm[...]]
       [/deny SID:perm [...]]
       [/remove[:g|:d]] SID[...]] [/T] [/C] [/L] [/Q]
       [/setintegritylevel Nível:diretiva[...]]

    /grant[:r] SID:perm concede direitos de acesso ao usuário especificado.
        Com :r, as permissões substituem todas as permissões explícitas
        concedidas anteriormente. Sem :r, as permissões são adicionadas
        às permissões explícitas concedidas anteriormente.

    /deny SID:perm nega explicitamente direitos de acesso ao usuário
        especificado. Uma ACE de negação explícita é adicionada para as
        permissões declaradas e as mesmas permissões em qualquer concessão
        explícita são removidas.

    /remove[:[g|d]] SID remove todas as ocorrências de SID na ACL. Com :g,
        remove todas as ocorrências de direitos concedidos a essa SID. Com
        :d, remove todas as ocorrências de direitos negados a essa SID.

    /setintegritylevel [(CI)(OI)]Nível adiciona explicitamente uma ACE de
        integridade a todos os arquivos correspondentes. O nível deverá ser
        especificado como um destes:
            L [baixa]
            M [média]
            H [alta]
        Opções de herança para a ACE de integridade podem preceder o nível
        e são aplicadas somente a diretórios.

    /inheritance:e|d|r
        e - habilita a herança
        d - desabilita a herança e copia as ACEs
        r - remove todas as ACEs herdadas


Observação:
    As SIDs podem estar no formato numérico ou de nome amigável. Se for
    usado o formato numérico, afixe um * ao início da SID.

    /T indica que a operação será executada em todos os arquivos/diretórios
        correspondentes abaixo dos diretórios especificados em nome.

    /C indica que a operação continuará em todos os erros de arquivo.
        As mensagens de erro ainda serão exibidas.

    /L indica que a operação será executada em um link simbólico
       propriamente dito, e não no destino correspondente.

    /Q indica que ICACLS deve suprimir as mensagens de êxito.

    ICACLS preserva a ordenação canônica das entradas ACE:
            Negações explícitas
            Concessões explícitas
            Negações herdadas
            Concessões herdadas

    perm é uma máscara de permissão e pode ser especificada de duas formas:
        uma sequência de direitos simples:
                N - sem acesso
                F - acesso completo
                M - acesso para modificar
                RX - acesso para ler e executar
                R - acesso somente leitura
                W - acesso somente gravação
                D - acesso para excluir
        uma lista separada por vírgulas de direitos específicos, entre
        parênteses:
                DE - excluir
                RC - ler controle
                WDAC - gravar DAC
                WO - gravar proprietário
                S - sincronizar
                AS - acessar segurança do sistema
                MA - máximo permitido
                GR - leitura genérica
                GW - gravação genérica
                GE - execução genérica
                GA - todos genéricos
                RD - ler dados/listar diretório
                WD - gravar dados/adicionar arquivo
                AD - acrescentar dados/adicionar subdiretório
                REA - ler atributos estendidos
                WEA - gravar atributos estendidos
                X - executar/atravessar
                DC - excluir filho
                RA - ler atributos
                WA - gravar atributos
        os direitos de herança podem preceder qualquer uma das duas formas
        e aplicam-se somente a diretórios:
                (OI) - objetos serão herdeiros
                (CI) - contêineres serão herdeiros
                (IO) - aplica-se somente aos herdeiros
                (NP) - não propagar herança
                (I) - permissão herdada do contêiner pai

Exemplos:

        icacls c:\windows\* /save ArquivoACL /T
        - Salva as ACLs referentes a todos os arquivos de c:\windows
          e seus subdiretórios em ArquivoACL.

        icacls c:\windows\ /restore ArquivoACL
        - Restaura as ACLs correspondentes a cada arquivo incluído em
          ArquivoACL que exista em c:\windows e seus subdiretórios.

        icacls arquivo /grant Administrador:(D,WDAC)
        - Concede ao usuário Administrador as permissões Excluir e
          Gravar DAC para arquivo.

        icacls arquivo /grant *S-1-1-0:(D,WDAC)
        - Concede ao usuário definido pela SID S-1-1-0 as permissões
          Excluir e Gravar DAC para arquivo.