icaclsコマンドとは？意味をわかりやすく簡単に解説

text: XEXEQ編集部

icaclsコマンドとは

icaclsコマンドはWindowsオペレーティングシステムにおけるACL(アクセス制御リスト)を表示または変更するためのコマンドラインツールです。このコマンドを使用することで、ファイルやディレクトリに対するユーザーやグループのアクセス権限を詳細に管理できます。

ACLはファイルやディレクトリに対するアクセス許可や拒否を定義したルールの集合体であり、セキュリティ識別子(SID)によって表現されます。icaclsコマンドを用いると、これらのACLエントリを表示、追加、変更、削除することが可能となります。

icaclsコマンドの主な機能はファイルやディレクトリのACLを表示することです。コマンドにファイルやディレクトリのパスを指定することで、現在設定されているACLエントリの一覧を確認できます。

また、icaclsコマンドを使用して、ファイルやディレクトリのACLを変更することもできます。特定のユーザーやグループに対して、読み取り、書き込み、実行などの権限を付与したり、拒否したりすることが可能です。

icaclsコマンドはシステム管理者がWindowsシステムのセキュリティを適切に管理するために重要なツールの一つです。適切なアクセス権限の設定により、機密データの保護や不正アクセスの防止を実現できます。

icaclsコマンドの基本的な使い方

icaclsコマンドに関して、以下3つを簡単に解説していきます。

icaclsコマンドの構文と主要なオプション
icaclsコマンドを使ったACLの表示方法
icaclsコマンドを使ったACLの変更方法

icaclsコマンドの構文と主要なオプション

icaclsコマンドの基本的な構文はicacls [ファイルまたはディレクトリのパス] [オプション]となります。オプションを指定することで、表示や変更の動作を制御できます。

主要なオプションには/grant(アクセス許可の付与)、/deny(アクセス拒否の設定)、/remove(ACLエントリの削除)、/setowner(所有者の変更)などがあります。これらのオプションを適切に組み合わせることで、目的に応じたACLの設定が可能です。

また、/inheritanceオプションを使用すると、ディレクトリとその中のファイルに対する継承設定を制御できます。継承を有効にすることで、上位ディレクトリのACLが下位のファイルやディレクトリに自動的に反映されます。

icaclsコマンドを使ったACLの表示方法

icaclsコマンドを使ってACLを表示するにはコマンドにファイルやディレクトリのパスを指定するだけで済みます。例えば、icacls C:Documentsとすると、C:DocumentsディレクトリのACLが表示されます。

表示される情報には所有者、グループ、各ACLエントリの詳細が含まれます。ACLエントリはアクセス許可(Allow)や拒否(Deny)の種類、適用されるユーザーやグループ、許可される操作(読み取り、書き込み、実行など)が示されます。

また、/tオプションを使用すると、指定したディレクトリとその中のすべてのサブディレクトリやファイルのACLを再帰的に表示することができます。これにより、ディレクトリ構造全体のアクセス権限を一度に確認できます。

icaclsコマンドを使ったACLの変更方法

icaclsコマンドを使ってACLを変更するには適切なオプションを指定する必要があります。例えば、icacls C:Documents /grant Users:(OI)(CI)Rとすると、C:Documentsディレクトリに対して、Usersグループに読み取り権限が付与されます。

/grantオプションの後にはユーザーやグループ名、続けて許可する権限(R:読み取り、W:書き込み、X:実行など)を指定します。(OI)と(CI)はそれぞれオブジェクト継承とコンテナ継承を表し、下位のファイルやディレクトリにACLを継承させるために使用します。

同様に、/denyオプションを使用してアクセス拒否を設定したり、/removeオプションを使用して特定のACLエントリを削除したりすることもできます。変更を適用する際はシステムへの影響を十分に考慮し、慎重に行う必要があります。

icaclsコマンドの応用的な使用例

icaclsコマンドに関して、以下3つを簡単に解説していきます。

icaclsコマンドを使った複数のファイルやディレクトリのACL一括変更
icaclsコマンドを使ったバックアップと復元
icaclsコマンドを使ったACLの詳細な設定

icaclsコマンドを使った複数のファイルやディレクトリのACL一括変更

icaclsコマンドではワイルドカード(*)を使用して複数のファイルやディレクトリを指定し、一括でACLを変更することができます。例えば、icacls C:Documents* /grant Users:(OI)(CI)Rとすると、C:Documentsディレクトリ内のすべてのファイルとサブディレクトリに対して、Usersグループに読み取り権限が付与されます。

また、/tオプションを組み合わせることで、指定したディレクトリとそのサブディレクトリ内のすべてのファイルに対して、再帰的にACLを変更できます。これにより、大規模なディレクトリ構造全体のアクセス権限を一度に設定することが可能となります。

ただし、一括変更を行う際は意図しない結果を引き起こさないよう、対象のファイルやディレクトリを慎重に選択する必要があります。変更前にバックアップを取るなどの対策も重要です。

icaclsコマンドを使ったバックアップと復元

icaclsコマンドを使って、ファイルやディレクトリのACL設定をバックアップし、必要に応じて復元することができます。バックアップするにはicacls [パス] /save [バックアップファイル名]のように指定します。これにより、現在のACL設定がテキストファイルに保存されます。

バックアップしたACL設定を復元するにはicacls [パス] /restore [バックアップファイル名]のようにコマンドを実行します。これにより、保存されていたACL設定がファイルやディレクトリに適用されます。

ACLのバックアップと復元はシステムの変更や移行の前に行うことで、必要な場合に元の設定に戻すことができます。また、定期的にバックアップを取ることで、ACLの設定ミスによる問題発生時の復旧にも役立ちます。

icaclsコマンドを使ったACLの詳細な設定

icaclsコマンドではACLの詳細な設定を行うことができます。例えば、/inheritance:rオプションを使用すると、指定したディレクトリとそのサブディレクトリ内のファイルに対して、ACLの継承を削除できます。これにより、個別のファイルやディレクトリに独自のアクセス権限を設定することが可能となります。

また、/setintegritylevelオプションを使って、ファイルやディレクトリの整合性レベルを設定できます。整合性レベルはシステムの安定性と信頼性を維持するために使用され、低い整合性レベルのプロセスからの書き込みを制限するなどの効果があります。

さらに、/resetオプションを使用すると、ファイルやディレクトリのACLを親ディレクトリから継承された設定にリセットできます。これは個別に設定されたACLをクリアし、上位のディレクトリと同じアクセス権限に戻すために使用されます。