ICACLS nome /save fileACL /T /C /L /Q Archivia i DACL per i file e le cartelle corrispondenti a quelli specificati in fileACL ...

ICACLS nome /save fileACL [/T] [/C] [/L] [/Q]
    Archivia i DACL per i file e le cartelle corrispondenti a quelli
    specificati in fileACL per consentirne l'utilizzo con /restore in un secondo momento.
    Si noti che i SACL, i proprietari e le etichette di integrità non vengono salvati.

ICACLS directory [/substitute VecchioSID NuovoSID [...]] /restore fileACL
                 [/C] [/L] [/Q]
    Applica i DACL archiviati ai file nella directory specificata.

ICACLS nome /setowner utente [/T] [/C] [/L] [/Q]
    Cambia il proprietario per tutti i nomi corrispondenti. Questa opzione
    non forza la modifica del proprietario. Per tale scopo è possibile
    eseguire l'utilità takeown.exe.

ICACLS nome /findsid SID [/T] [/C] [/L] [/Q]
    Trova tutti i nomi corrispondenti che contengono un ACL in cui il SID è indicato esplicitamente.

ICACLS nome /verify [/T] [/C] [/L] [/Q]
    Trova tutti i file il cui ACL non è in forma canonica o la cui
    lunghezza non è coerente con il numero delle voci di controllo di accesso.

ICACLS nome /reset [/T] [/C] [/L] [/Q]
    Sostituisce con gli ACL ereditati predefiniti gli ACL in tutti i file corrispondenti.

ICACLS nome [/grant[:r] Sid:perm[...]]
       [/deny Sid:perm [...]]
       [/remove[:g|:d]] SID[...]] [/T] [/C] [/L] [/Q]
       [/setintegritylevel Level:policy[...]]

    /grant[:r] Sid:perm concede diritti di accesso all'utente specificato.
      Con :r, le autorizzazioni sostituiscono tutte le autorizzazioni esplicite concesse in precedenza.
        Senza :r, le autorizzazioni vengono aggiunte alle autorizzazioni
        esplicite concesse in precedenza.

    /deny Sid:perm nega esplicitamente i diritti di accesso all'utente specificato.
     Per l'autorizzazione interessata viene aggiunta una voce di controllo di accesso di negazione esplicita
     e le stesse autorizzazioni vengono rimosse da tutte le eventuali concessioni esplicite.

    /remove[:[g|d]] SID Rimuove tutte le occorrenze del SID nell'ACL.
        Con :g, vengono rimosse tutte le occorrenze dei diritti concessi al SID.
        Con :d, vengono rimosse tutte le occorrenze dei diritti negati al SID.

    /setintegritylevel [(CI)(OI)]Livello Aggiunge esplicitamente
        una voce di controllo di accesso di integrità a tutti i file
        corrispondenti. Per specificare il livello,
        utilizzare uno dei valori seguenti:
            L[ow]
            M[edium]
            H[igh]
        Prima del livello è possibile specificare le opzioni relative
        all'ereditarietà della voce di controllo di accesso di integrità, che vengono applicate solo alle directory.

    /inheritance:e|d|r
        e - Abilità l'ereditarietà.
        d - Disabilità l'ereditarietà e copia le voci di controllo di accesso.
        r - Rimuove tutte le voci di controllo di accesso ereditate.


Nota:
    Il SID può essere espresso in forma numerica o come nome descrittivo. Se
    si utilizza la forma numerica, aggiungere un asterisco (*) all'inizio del SID.

    /T Indica che l'operazione viene eseguita su tutti
        i file o le directory corrispondenti contenute nelle directory specificate nel nome.

    /C Indica che l'operazione deve continuare anche in caso di errori relativi ai file.
       I messaggi di errore verranno visualizzati comunque.

    /L Indica che l'operazione viene eseguita sul collegamento simbolico
       stesso anziché sulla relativa destinazione.

    /Q Indica che i messaggi relativi alle operazioni riuscite non devono essere visualizzati.

    ICACLS mantiene l'ordinamento canonico delle voci di controllo di accesso:
            Negazioni esplicite
            Concessioni esplicite
            Negazioni ereditate
            Concessioni ereditate

    perm è una maschera di autorizzazione che può essere specificata in due modi diversi:
        Come sequenza di diritti di base:
                N - Nessun accesso
                F - Accesso completo
                M - Accesso in modifica
                RX - Accesso in lettura ed esecuzione
                R - Accesso in sola lettura
                W - Accesso in sola scrittura
                D - Eliminazione
        Come elenco delimitato da virgole di diritti specifici tra parentesi:
                DE - Eliminazione
                RC - Controllo lettura
                WDAC - Scrittura DAC
                WO - Proprietario scrittura
                S - Sincronizzazione
                AS - Sicurezza sistema di accesso
                MA - Limite massimo
                GR - Lettura generica
                GW - Scrittura generica
                GE - Esecuzione generica
                GA - Completo generico
                RD - Lettura dati/elenco directory
                WD - Scrittura dati/aggiunta file
                AD - Aggiunta dati/aggiunta sottodirectory
                REA - Lettura attributi estesi
                WEA - Scrittura attributi estesi
                X - Esecuzione/transito
                DC - Eliminazione figlio
                RA - Lettura attributi
                WA - Scrittura attributi
        Entrambe le forme possono essere precedute dai diritti di
        ereditarietà, che vengono applicati solo alle directory:
                (OI) - Eredità oggetto
                (CI) - Eredità contenitore
                (IO) - Solo eredità
                (NP) - Non propagare eredità
                (I) - Autorizzazione ereditata da contenitore padre

Esempi:

        icacls c:\windows\* /save FileACL /T
        - Salva in FileACL gli ACL per tutti i file nel percorso c:\windows
          e nelle relative sottodirectory.

        icacls c:\windows\ /restore FileACL
        - Ripristina gli ACL per i singoli file specificati
          in FileACL ed esistenti in c:\windows e nelle relative sottodirectory.

        icacls file /grant Administrator:(D,WDAC)
        - Concede all'utente Administrator le autorizzazioni di eliminazione
          e scrittura DAC per il file.

        icacls file /grant *S-1-1-0:(D,WDAC)
        - Concede all'utente definito dal SID S-1-1-0 le autorizzazioni di
        eliminazione e scrittura DAC per il file.