Explique la salida de ICACLS.EXE, línea por línea, elemento por elemento.

Qué significa esto:

C:\foo\> icacls .
. NT AUTHORITY\IUSR:(M)
  BUILTIN\IIS_IUSRS:(M)
  BUILTIN\IIS_IUSRS:(OI)(CI)(M)
  NT AUTHORITY\IUSR:(OI)(CI)(M)
  BUILTIN\IIS_IUSRS:(I)(OI)(CI)(RX)
  NT AUTHORITY\IUSR:(I)(OI)(CI)(RX)
  NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
  BUILTIN\Administrators:(I)(OI)(CI)(F)

Creo que el primero significa que userid obtiene permisos de modificación en el directorio, lo que significa que el usuario puede crear archivos, actualizar archivos o eliminar archivos. ¿Derecho? ¿Qué es el usuario "NT AUTHORITY \ IUSR"? ¿Es realmente una sola identificación de usuario? ¿Es el ID de usuario IIS predeterminado?

ok, la segunda línea creo que se refiere a un grupo. Obtiene los mismos permisos.

¿Qué pasa con todas esas líneas con (I) y (OI) y así sucesivamente? Por favor explique.

Del artículo de Microsoft sobre ICACLS

Las entradas son usuarios y grupos específicos de ese archivo (DOMINIO \ USUARIO o GRUPO), los permisos enumerados son los siguientes:

Los SID pueden estar en forma de nombre numérico o descriptivo. Si usa una forma numérica, pegue el carácter comodín * al comienzo del SID.

icacls conserva el orden canónico de las entradas de ACE como:

• Negaciones explícitas
• Subvenciones explícitas
• Negaciones heredadas
• Subvenciones heredadas

Perm es una máscara de permiso que se puede especificar en una de las siguientes formas:

1. Una secuencia de derechos simples:
   • F (acceso completo)
   • M (modificar acceso)
   • RX (acceso de lectura y ejecución)
   • R (acceso de solo lectura)
   • W (acceso de solo escritura)
2. Una lista separada por comas entre paréntesis de derechos específicos:
   • D (borrar)
   • RC (control de lectura)
   • WDAC (escribir DAC)
   • WO (escribir propietario)
   • S (sincronizar)
   • AS (seguridad del sistema de acceso)
   • MA (máximo permitido)
   • GR (lectura genérica)
   • GW (escritura genérica)
   • GE (ejecución genérica)
   • GA (genérico todo)
   • RD (leer datos / directorio de lista)
   • WD (escribir datos / agregar archivo)
   • AD (agregar datos / agregar subdirectorio)
   • REA (leer atributos extendidos)
   • WEA (escribir atributos extendidos)
   • X (ejecutar / atravesar)
   • DC (eliminar hijo)
   • RA (leer atributos)
   • WA (escribir atributos)

Los derechos de herencia pueden preceder a cualquiera de los formularios de Perm , y se aplican solo a los directorios:

• (OI) : el objeto hereda
• (CI) : el contenedor hereda
• (IO) : heredar solo
• (NP) : no propagar heredar
• (I) : permiso heredado del contenedor principal

Para los archivos, las máscaras de permisos se explican más o menos por sí mismas: Rsignifica que puede leer el archivo, Xpermite que se ejecute (como un programa), etc.

Para otros tipos de objetos, tendrá que explorar MSDN:

• Derechos de acceso estándar
• Reglas de herencia de ACE
• Registro
• Servicio
• ...

Derechos de herencia en inglés:

• (I) "Heredado": este ACE se heredó del contenedor principal.
• (OI) "Objeto heredado": este ACE será heredado por los objetos ubicados en este contenedor.
• (CI) "Contenedor heredado": este ACE será heredado por los subcontenedores ubicados en este contenedor.
• (IO)"Solo heredar": este ACE se heredará (ver OIy CI), pero no se aplica a este objeto en sí.
• (NP)"No propagar": este ACE será heredado por objetos y subcontenedores de un nivel de profundidad ; no se aplicará a cosas dentro de subcontenedores.

Para el sistema de archivos, "contenedor" significa una carpeta y "objeto" significa un archivo, pero recuerde que las ACL se pueden establecer en muchos otros tipos de objetos, no todos los cuales tienen un concepto de "contenedores".