ICACLS.EXEの出力を、行ごとに、項目ごとに説明する

これは何を意味するのでしょうか：

C:\foo\> icacls .
. NT AUTHORITY\IUSR:(M)
  BUILTIN\IIS_IUSRS:(M)
  BUILTIN\IIS_IUSRS:(OI)(CI)(M)
  NT AUTHORITY\IUSR:(OI)(CI)(M)
  BUILTIN\IIS_IUSRS:(I)(OI)(CI)(RX)
  NT AUTHORITY\IUSR:(I)(OI)(CI)(RX)
  NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
  BUILTIN\Administrators:(I)(OI)(CI)(F)

最初の方法は、ユーザーIDがディレクトリの変更権限を取得することを意味すると思います。つまり、ユーザーはファイルを作成、ファイルを更新、またはファイルを削除できます。正しい？「NT AUTHORITY \ IUSR」ユーザーとは何ですか？それは本当に単一のユーザーIDですか？デフォルトのIISユーザーIDですか？

わかりました。2行目はグループを指していると思います。同じ許可を取得します。

（I）や（OI）などの行はどうでしょうか。説明してください。

ICACLSに関するマイクロソフトの記事から

エントリは、そのファイルに固有のユーザーとグループ（DOMAIN \ USERまたはGROUP）であり、リストされている権限は次のとおりです。

SIDは、数値形式またはフレンドリ名形式のいずれかです。数値形式を使用する場合、SIDの先頭にワイルドカード文字*を付加します。

icaclsは、ACEエントリの標準的な順序を次のように保持します。

• 明示的な拒否
• 明示的な許可
• 継承拒否
• 継承された助成金

Permは、次のいずれかの形式で指定できる許可マスクです。

1. 単純な権利のシーケンス：
   • F（フルアクセス）
   • M（アクセス権の変更）
   • RX（読み取りおよび実行アクセス）
   • R（読み取り専用アクセス）
   • W（書き込み専用アクセス）
2. 特定の権利の括弧内のコンマ区切りリスト：
   • D（削除）
   • RC（読み取り制御）
   • WDAC（書き込みDAC）
   • WO（書き込み所有者）
   • S（同期）
   • AS（アクセスシステムセキュリティ）
   • MA（最大許容）
   • GR（汎用読み取り）
   • GW（汎用書き込み）
   • GE（汎用実行）
   • GA（汎用すべて）
   • RD（読み取りデータ/リストディレクトリ）
   • WD（データの書き込み/ファイルの追加）
   • AD（データの追加/サブディレクトリの追加）
   • REA（拡張属性の読み取り）
   • WEA（拡張属性の書き込み）
   • X（実行/トラバース）
   • DC（子の削除）
   • RA（属性の読み取り）
   • WA（属性の書き込み）

継承権はいずれかのPermフォームに先行する場合があり、ディレクトリにのみ適用されます。

• （OI）：オブジェクト継承
• （CI）：コンテナ継承
• （IO）：継承のみ
• （NP）：継承を伝播しません
• （I）：親コンテナから継承された許可

ファイルの場合、アクセス許可マスクは多かれ少なかれ自明Rです。つまり、ファイルを読み取ったり、X（プログラムとして）実行したりできることを意味します。

他の種類のオブジェクトについては、MSDNを参照する必要があります。

• 標準アクセス権
• ACE継承ルール
• 登録
• サービス
• ...

英語の相続権：

• (I) 「継承」：このACEは親コンテナから継承されました。
• (OI) 「オブジェクト継承」：このACEは、このコンテナに配置されたオブジェクトによって継承されます。
• (CI) 「コンテナ継承」：このACEは、このコンテナに配置されたサブコンテナに継承されます。
• (IO)「継承のみ」：このACEは、（参照継承されるOIとCI）、このオブジェクト自体には適用されません。
• (NP)「伝播しない」：このACEは、オブジェクトおよびサブコンテナに1レベル深く継承されます。サブコンテナ内のものには適用されません。

ファイルシステムの場合、「コンテナ」はフォルダを意味し、「オブジェクト」はファイルを意味しますが、ACLは他の多くの種類のオブジェクトに設定できることを忘れないでください。