PowerShell命令与脚本(15)——注册表教程
- -
操作注册表的几条重要命令
你可以像导航文件系统那样来访问注册表,PowerShell把文件系统和注册表都当作层次信息系统来处理。 注册表中的键对应于文件系统的目录,但是键对应的值和文件系统中的文件不是非常类似。相反的,它们显示在属性栏,被以键的属性来管理。 下面的表格列出了访问注册表所需的所有命令。 命令 描述 Dir, Get-ChildItem 列出键的内容 Cd, Set-Location 更改当前(键)目录 HKCU:, HKLM: 预定义的两个重要注册表根目录虚拟驱动器 Get-ItemProperty 读取键的值 Set-ItemProperty 设置键的值 New-ItemProperty 给键创建一个新值 Clear-ItemProperty 删除键的值内容 Remove-ItemProperty 删除键的值 New-Item, md 创建一个新键 Remove-Item, Del 删除一个键 Test-Path 验证键是否存在 - - - - - -
“提供程序”文件系统以外的位置
PowerShell拥有一个被叫做“提供程序”的负责特定信息存储的模型化结构。在上一章,你已经使用过了文件系统提供程序,所以如果你想访问注册表,就需要一个替代文件系统的注册表提供者。在其它方面,就和上一章的操作没什么区别了。你可以在注册表中使用你在文件系统中使用过的命令。 1、支持的提供程序 Get-PSProvider能获取安装的提供程序列表。下面的例子中,可能没有列出你自定义的列表,因为提供程序可以随后添加。比如,PowerShell默认就没有活动目录的提供程序。 这里你感兴趣的可能只是“Drives”列,它就是用来管理各自驱动器的名称。你也看到了,注册表提供程序挂载了驱动器HKLM:(根目录HKEY\_LOCAL\_MACHINE)和HKCU:(根目录HKEY\_CURRENT\_USER)。这些驱动器用起来,很像传统的文件系统驱动器,试试吧: 从这个位置,你可以像你在真正的文件系统中做的那样,通过子目录来导航。相同的特殊字符功能也一样,除了”~”符号在注册表中不能识别,并且会产生错误。 2、创建提供程序 注册表提供程序提供访问注册表。你可以通过驱动器来定位它们。如果你想查看那些注册表驱动器已经被注册表提供程序使用了,可以通过Get-PSDrive命令,和参数-PSProvider: 这里稍微注意下,你可能会困惑,注册表包含的根节点远不止两个。 事实上HKEY\_CLASSES\_ROOT根节点不是一个独立的根节点,而是指向HKEY\_LOCAL\_MACHINE\SOFTWARE\Classes。这意味着你可以以这个路径为起点,来创建一个新的驱动器。 New-PSDrive -name HKCR -PSProvider registry -root HKLM:\SOFTWARE\Classes 现在,你可以去访问这个分支了。事实上,你可以访问上面表格中列出的任意根节点。 小技巧:你可以自由地创建任何额外的驱动器,尤其在你有频繁操作某个特定的注册表区域时。 New-PSDrive job1 registry "HKLM:\Software\Microsoft\Windows NT\CurrentVersion" dir job1: - - - - - -
搜索注册表
使用Dir,你可以像在文件系统中那样来搜索注册表。使用注册表提供程序提供的虚拟驱动器,非常方便。驱动器HKCU:提供了KEY\_CURRENT\_USER根目录键的。 如果你想像下面那样列出内容,可以使用Format-List: Dir | Format-List Dir | Format-List Name Dir | Format-List * 1、递归搜索 注册表提供程序不支持任何过滤器,因此你不能在Dir中使用类似于-filter这样的参数。但是参数-recurse,-include和 -exclude还是支持的。在上一章中,我们使用过它来递归地搜索文件系统。这个活在注册表中也可以这么干。比如,你想知道注册表中的那个位置包含了“PowerShell”,可以这样使用: Dir HKCU:, HKLM: -recurse -include *PowerShell* 上面的命令会搜索HKEY\_CURRENT\_USER根节点和HKEY\_LOCAL\_MACHINE根节点。它会找出所有包括”PowerShell”单词的键。因为可能有很多键包含了单词“PowerShell”,所以使用了通配符。这样的搜索操作可能会产生错误信息,因为搜索的过程,也是读取注册表的每个子键的过程,但是部分键值没有访问权限就会报错。如果想从结果中过滤掉这些错误信息,可以使用参数-ErrorAction,并给它指定值为SilentlyContinue: Dir HKCU:, HKLM: -recurse -include PowerShell -ErrorAction SilentlyContinue 2、单个注册表键 Dir获取的每一个注册表键(Microsoft.Win32.Registry 对象)对应下面的属性。 下面的表格列出一个Microsoft.Win32.Registry(注册表键)对象的重要属性: 属性 描述 Name 在注册编辑器中显示的键的路径 Property 当前键的名称 PSChildName 存储在键中的值的名称数组 PSDrive 键的注册表根节点 PSParentPath 父键 PSPath 键的PowerShell路径,使用Dir可以查看该路径下键的内容 PSProvider 提供程序的名称:注册表 SubKeyCount(SKC) 子键个数 ValueCount (VC) 键中的值个数 PSIsContainer 总是为True 3、PowerShell怎样寻址注册表 我们来仔细看下分配一个注册表键的属性。比如:下面图中通过注册表编辑器打开的HKLM:\Software\Microsoft\PowerShell\1 键,这里存放的是PowerShell的一些内部设置。 在PowerShell中使用Get-Item访问该键: 果然,Name属性获取的是键的完整名称,更有意思的是这些属性的名称,前面加了‘PS’,它们将注册表键分成多个片段。 4、键对应的值 在上图中打开的注册表编辑器中,右边的属性列有三个值,汇报给PowerShell的只有两个值: 貌似一个值丢了。仔细查看属性“Property”可以发现PowerShell记录了哪些值: 这些属性名对应上图中的属性名,唯独(Default)没有出现。也对,在上图中默认值为空。注册表编辑器识别为:“数值未设置”。 如果你要获取这些值的内容,可以将注册表的PS路径传递给Get-ItemProperty: 这种方式会把该键对应的所有值自动获取并输出。另外,除了一些常规属性,这些值还包括了PowerShell添加的其他属性。如果你只想获取特定的值: 如果你想获取键的所有值,但是不想包含PowerShell自动添加的属性。可以这样做: $key = Get-Item HKLM:\\Software\\Microsoft\\PowerShell\\1 $values = Get-ItemProperty $key.PSPath foreach ($value in $key.Property) { $value + "=" + $values.$value } 小技巧:如果你已经将路径定位到该注册表路径下,还可以使用另外一种方法获取所有值: 这里将”.”传递给Get-ItemProperty。当然前提条件是先得CD到目标键的路径下。 如果你想输出多个键的多个值,应当使用Dir。Dir的结果可以通过管道传递给ForEach-Object。这样,你就可以一次性获取某个键的所有子键,并且分 别访问它们的属性值。下面的脚本会列出Uninstall的子键,和它们的属性DisplayName与MoreInfoURL.。这也为你提供了一个简约版已安装程序列表: Dir hklm:\software\microsoft\windows\currentversion\uninstall | ForEach-Object { Write-Host -ForegroundColor Yellow "Installed Products:" }{ $values = Get-ItemProperty $\_.PSPath; "{0:-30} {1:20}" -f $values.DisplayName, $values.MoreInfoURL }{Write-Host -ForegroundColor Yellow "Finished!"} 注:上面的脚本写法稍微有点坑爹,其实是ForEach-Object可以接受三个脚本块用于管道的流模式处理,分别代表begin,process和end。 5、键的子键 在注册表编辑器中,某个键的子键在PowerShell中可以这样调用: Dir也能获取子键的名称。需要将PSPath这样的PowerShell路径传递给Dir: - - - - - -
创建和删除键值
使用New-item或者md函数来创建注册表键。注册表中的键行为类似文件系统的中的目录。 但是上面的两条命令创建的键是空的:它的默认值为没有设置。如果你想给一个键定义默认值,使用New-Item替代md吧,同时给它指定值的类型(-itemType参数),和值的内容(-value参数): 如果你想删除刚才测试时创建的三个注册表键,可以像在文件系统中那样,使用Remove-Item,或者短别名Del : 下面的表格列出所有支持的注册表值类型(itemType): ItemType 描述 数据类型 String 一个字符串 REG\_SZ ExpandString 包含环境变量的字符串在执行时可以自动处理 REG\_EXPAND\_SZ Binary 二进制值 REG\_BINARY DWord 32位数值 REG\_DWORD MultiString 多行文本 REG\_MULTI\_SZ QWord 64位数值 REG\_QWORD 1、删除键和内容 如果一个键名称包含空格,需要将该键用括号引起来。非常不幸,不能像在文件系统那样一次性创建多个键。因为父键必须存在。这也就为什么下面的脚本会报错:父键和子键均不存在。 md : 指定路径下的注册表项不存在。 必须将上面的语句分成多个语句来执行: 如果尝试删除第一个键,像文件系统中那样,需要确认。因为它包含了非空子键: 当然可以使用-recurse参数来明确指定要删除子键和它的内容: 2、设置,更改,和删除键的值 注册表编辑器通过良好的组织结构来区别键和值:左边为键,右边为值。键对应于文件系统中的文件夹,值对应于文件系统中的目录中的文件。所以要添加一个新键,可以使用md,或者最好使用New-Item,方便使用-itemType 和 -value 参数给你新创建的键来赋一个新值。 - 添加新值
很可惜,你如果想给一个键添加值时,文件系统这个比喻似乎不太奏效。因为常规情况下,可以使用Set-Content往文件夹下写文件。但是注册表似乎不买账。 Set-Content : 无法使用接口。此提供程序未实现 IContentCmdletProvider 接口。 取而代之,使用Set-ItemProperty给一个键添加值。 你添加的这个值会在注册表中自动注册为REG\_SZ类型。如果你想尝试其它类型,上面的表格中已经列出来了。下面就创建一系列的值作为测试吧: $testKey ='HKCU:\\Software\\Testkey' if ( -not (Test-Path $testKey)) { md $testKey } New-ItemProperty $testKey -name "Entry2" -value "123" -propertyType dword New-ItemProperty $testKey Entry3 -value "Windows is in %windir%" -propertyType string New-ItemProperty $testKey Entry4 -value "Windows is in %windir%" -propertyType expandstring New-ItemProperty $testKey Entry5 -value "One","Two","Three" -propertyType multistring New-ItemProperty $testKey Entry6 -value 1,2,3,4,5 -propertyType binary New-ItemProperty $testKey Entry7 -value 100 -propertyType dword New-ItemProperty $testKey Entry8 -value 100 -propertyType qword 然后打开注册表编辑器,来对照一下: 如果你已经拿到了Microsoft.Win32.Registry对象,你还可以通过该对象的SetValue() 和 GetValue()方法来读写值。在你使用New-Item来创建新键时,返回的结果已然是Microsoft.Win32.Registry了。你需要做的无非是把它保存起来,然后按照下面的步骤操作即可: # 创建一个包含多个值的键: $key = md HKCU:\\Software\\Test2 $key.SetValue("Entry1", "123") $key.SetValue("Entry2", "123", "Dword") $key.SetValue("Entry3", "%windir%", "ExpandString") $key.GetValue("Entry3") > 小技巧:SetValue()方法只对刚创建的键有效,因为添加新键时,PowerShell会以写权限打开它。但是对于已存在的键使用Get-Item是以只读模式打开,不能在这种情况下使用SetValue()。相反,可以使用Set-ItemProperty。
- 读取值
读取注册表的值,是注册表操作中唯一不太清楚的地方了。一般情况下,我们会想既然可以使用Set-ItemProperty添加值,应当就是可以通过Get-ItemProperty读取值。想法是对的,但是这个蛋疼的PowerShell获取的不是一个值,而是包括了额外PowerShell属性的许多值: 注:其原因应当是 PowerShell 对注册表的处理和对文件系统等一样使用的是统一的层次信息模型。 所以要获取正确的属性值,还得针对返回的对象,再次指定属性比如: Entry4和Entry3有所区别,因为Entry3类型为REG\_SZ,普通字符串,是什么就是什么,但是Entry4的类型为REG\_EXPAND\_SZ,Windows 会在程序读取该值之前自动解析包含在其中的处理环境变量。这就是为什么你看到了真实的Windows系统目录,而非一个生硬的环境变量半成品。 注意:上面读取值的方法还可写为: (Get-ItemProperty HKCU:\Software\Testkey).Entry4 貌似简练,可读性强。但是事实上,它先得读取所有值,效率稍低。 删除值 使用Remove-ItemProperty删除一个值,下面的指令会删除之前例子中创建的:Entry5 Remove-ItemProperty HKCU:\Software\Testkey Entry5 只会删除Entry5值,不会删除Testkey。 - 默认项
默认项扮演着一个特殊的角色。它显示在注册表编辑器的右边属性列,名为(默认)。但事实上,该项的属于未命名项:它无名却有值。 默认项并非一定得定义。如果你没有设置,它在注册表中显示为“数值未设置”。正常情况下在使用New-Item和-Value参数添加键,并赋给它默认值。但是也可以直接通过属性名(default)来访问它: 重要:确保删除刚才添加的这些测试键值: Del HKCU:\Software\Testkey -recurse Del HKCU:\Software\Test2 -recurse Del HKCU:\Software\Test3 -recurse 3、实例:扩展上下文菜单 注册表中键值用途广泛而丰富。其中就包括了资源管理器的上下文菜单在Windows系统中的设置。在下面的例子中,我们会测试在上下文菜单中针对PowerShell脚本添加三个新的命令项:“执行完停留”,“执行完关闭”,”记事本编辑”。 执行和编辑PowerShell脚本 要继续上面的测试,你先得知道怎样在PowerShell控制台外面运行PowerShell脚本,这方便啦。首先创建一个示例脚本: Cd $home # 创建示例脚本 '"向世界人民问好!"' | Out-File test.ps1 如果在PowerShell控制台中,可以使用相对路径或者绝对路径执行它: .\\test.ps1 但是怎样在PowerShell控制台外面执行它呢?启动PowerShell.exe,并且指定参数-NoExit选项,这样就会让脚本处理完毕后,进程不退出,停留在控制台界面上,方便用户查看和评估脚本的结果。在-Command参数后,指定PowerShell支持的命令行,将路径包在单引号中,前面加上调用操作符,为啥要多次一举呢?因为我们不知道,你的脚本路径中是否包含了空格,然后再将命令放在双引号中。 powershell.exe -NoExit -Command "& '.\\test.ps1'" 如果你要编辑脚本,命令要简单的多,根据你的选择指定编辑器,然后将脚本路径传递过去: notepad.exe ".\\test.ps1" 上下文菜单的扩展接下来会被写入注册表,当然需要管理员权限: # 创建HKEY\_CLASSES\_ROOT快捷方式: New-PSDrive -Name HKCR -PSProvider registry -root HKEY\_CLASSES\_ROOT | Out-Null # 找出关联PS1文件的键,若没有则创建一个: if(!(Test-Path("HKCR:\\.ps1"))){ New-Item -ItemType String ("HKCR:\\.ps1") -value "Powershell" $keyname = (Get-ItemProperty HKCR:\.ps1)."(default)" New-Item -Type Directory ("HKCR:\$keyname") New-Item -Type Directory ("HKCR:\$keyname\shell") } else{ $keyname = (Get-ItemProperty HKCR:\\.ps1)."(default)" } # 添加三个菜单命令: $psExe= "$pshome\\powershell.exe" New-Item ("HKCR:\\$keyname\shell\myexecute1") -value '执行完停留' -type String New-Item ("HKCR:\$keyname\shell\myexecute1\command") -value "$psExe -NoExit -Command "& '%L'"" -type String New-Item ("HKCR:\\$keyname\shell\myexecute2") -value '执行完关闭' -type String New-Item ("HKCR:\$keyname\shell\myexecute2\command") -value "$psExe -Command "& '%L'"" -type String New-Item ("HKCR:\\$keyname\shell\myeditnotepad") -value '记事本编辑' -type String New-Item ("HKCR:\$keyname\shell\myeditnotepad\command") -value 'notepad.exe "%L"' -type String # 设置图标 # 如果存在删除它: if (Test-Path ("HKCR:\$keyname\DefaultIcon")) { Del ("HKCR:\$keyname\DefaultIcon") } $icon = '%windir%\\System32\\WindowsPowerShell\\v1.0\\powershell.exe,0' New-Item ("HKCR:\\$keyname\DefaultIcon") -value $icon -type ExpandString 执行完在ps1脚本的右键菜单中就会有: 只让别人安装,不给卸载的行为都是耍流氓,所以测试完毕后可以删除: dir HKCR:\\$keyname\shell\my* | Remove-Item -Force - - - - - -
注册表权限
在上一章中,我们详细的学习了怎样使用PowerShell来控制文件和文件夹的权限。同样的机制也可以在注册表中使用,使用Get-Acl查看键的当前权限: 因为注册表权限管理基本和文件系统的权限管理类似,所以你可能需要在给注册表键分配权限前再看看第15章,或者重温一下基础知识。注册表中所需的权限在.NET中的类和与文件系统稍微有点区别。此时需要使用的不再是FilesystemAccessRule,而是RegistryAccessRule,两者的根本区别在于可以设置不同的访问权限。在注册表访问规则(RegistryAccessRule)中,权限的枚举值并不和文件系统访问规则(FilesystemAccessRule)中的枚举值对应: [System.Enum]::GetNames([System.Security.AccessControl.RegistryRights] 1、接管所有权 在尝试更改注册表的权限前,请先测试以确保你是该键的“所有者”。除非你是所有者,才能够撤销可能存在的错误。下面的示例会演示怎样接管一个注册表键(当然你还是得先有权限访问)的所有权。 2、设置新的访问权限 下面的步骤会给这个键分配新的权限,让“所有人”组禁止更改此键。 $acl = Get-Acl HKCU:\\Software\\Testkey $person = [System.Security.Principal.NTAccount]"Everyone" $access = \[System.Security.AccessControl.RegistryRights\]"WriteKey" $inheritance = [System.Security.AccessControl.InheritanceFlags]"None" $propagation = \[System.Security.AccessControl.PropagationFlags\]"None" $type = [System.Security.AccessControl.AccessControlType]"Deny" $rule = New-Object System.Security.AccessControl.RegistryAccessRule( ` $person,$access,$inheritance,$propagation,$type) $acl.AddAccessRule($rule) Set-Acl HKCU:\Software\Testkey $acl 更改会立刻生效,当你尝试通过注册表编辑器或者在PowerShell中创建子键时,会得到错误信息: > 小技巧:你可能会问,为什么连我自己都限制,我是管理员啊,我应当拥有完全的访问权啊。这是因为在访问权限中,“拒绝”的优先权比“允许”高。哪怕你是管理员,你也是人,既然所有人都被拒绝,你自然也会被拒绝,除非你不是人。
3、移除一条访问规则 给所有人的访问权限完全是在浪费时间,也经不起考验。怎样删除这条规则呢?你可以使用RemoveAccessRule()方法来移除特定的权限,还可以使用RemoveAccessRuleAll()方法来移除指定用户的在某条规则中的所有权限(包括授权和拒绝),ModifyAccessRule()方法更新已存在的规则,PurgeAccessRules(),异常特定用户的所有权限。 要移除刚才创建的规则,可以这样处理: $acl = Get-Acl HKCU:\\Software\\Testkey $person = [System.Security.Principal.NTAccount]"Everyone" $access = \[System.Security.AccessControl.RegistryRights\]"WriteKey" $inheritance = [System.Security.AccessControl.InheritanceFlags]"None" $propagation = \[System.Security.AccessControl.PropagationFlags\]"None" $type = [System.Security.AccessControl.AccessControlType]"Deny" $rule = New-Object System.Security.AccessControl.RegistryAccessRule( $person,$access,$inheritance,$propagation,$type) $acl.RemoveAccessRule($rule) Set-Acl HKCU:\\Software\\Testkey $acl -force 但是这样移除自己的访问规则后,并不是期望的结果。因为你把自己锁在了门外,因为你不在有权去更新这个键,本来是可以更改自己的安全设置的。此时如果你接管了所有权后。还是可以纠正遇到的这个问题的。此类情况发生后,你可以打开注册表编辑器,定位到这个键,右键鼠标选择权限,打开安全设置对话框,手动删除“所有人”组。 重要:刚才已经看到了,把自己锁在门外有多容易。所以在操作“所有人”这个组时,一定要格外小心。如果可以,尽量不要给这个组分配“拒绝”规则,因为它通常可能引入超出你预期的恶劣影响。 4、控制子键的访问 下面的例子,使用“允许”规则,而非“拒绝”规则,可以让世界稍微变得美好一点。在下面的测试键中,只有管理员才能更改这个键的值,而其它闲杂人等,只能读取和创建子键。 md HKCU:\\Software\\Testkey2 $acl = Get-Acl HKCU:\\Software\\Testkey2 # 管理员无所不能: $person = \[System.Security.Principal.NTAccount\]"Administrators" $access = \[System.Security.AccessControl.RegistryRights\]"FullControl" $inheritance = \[System.Security.AccessControl.InheritanceFlags\]"None" $propagation = \[System.Security.AccessControl.PropagationFlags\]"None" $type = \[System.Security.AccessControl.AccessControlType\]"Allow" $rule = New-Object System.Security.AccessControl.RegistryAccessRule( $person,$access,$inheritance,$propagation,$type) $acl.ResetAccessRule($rule) # 所有人只能读取和创建子键: $person = \[System.Security.Principal.NTAccount\]"Everyone" $access = [System.Security.AccessControl.RegistryRights]"ReadKey" $inheritance = \[System.Security.AccessControl.InheritanceFlags\]"None" $propagation = [System.Security.AccessControl.PropagationFlags]"None" $type = \[System.Security.AccessControl.AccessControlType\]"Allow" $rule = New-Object System.Security.AccessControl.RegistryAccessRule( $person,$access,$inheritance,$propagation,$type) $acl.ResetAccessRule($rule) Set-Acl HKCU:\\Software\\Testkey2 $acl 稍微注意下,这种情况下没有使用AddAccessRule()而是使用ResetAccessRule()添加规则。其结果导致删除了各个用户已存在的权限。尽管如此,结果仍旧不对,因为正常的用户还是可以创建子键和写值。 5、揭示继承权 查看键的当前权限,可以弄清为什么上面的设置没有如期生效: 该键包含的权限可不止我们设置的那两条规则,还有其它一些从父键中继承过来的阿猫阿狗规则。如果你想清理掉它们,可以使用SetAccessRuleProtection()方法。 $acl = Get-Acl HKCU:\\Software\\Testkey2 $acl.SetAccessRuleProtection($true, $false) Set-Acl HKCU:\\Software\\Testkey2 $acl 现在再回过头来看看,该键的访问规则只有我们明确指定的两条规则,其它继承权限已不复存在。 此时再让普通用户尝试给该键添加子键或者设置值,应当会报错:Set-ItemProperty : 不允许所请求的注册表访问权。 6、控制你自己的继承权 继承权是一把双刃剑。你已经从父键中关闭了继承,但是你自己的继承权呢?使用管理员权限打开控制台,能让我们给上面受保护的测试键添加子键。 md HKCU:\\Software\\Testkey2\\Subkey1 md HKCU:\\Software\\Testkey2\\Subkey1\\Subkey2 然后看看这些新创建的子键的权限: 其结果是这些权限仍旧没有与你设置的权限对应起来。理由是:对于你的继承权你啥都没设置,如果你想把自己纯正的血统不折不扣的遗传给下一代,请更改设置: del HKCU:\\Software\\Testkey2 md HKCU:\\Software\\Testkey2 $acl = Get-Acl HKCU:\\Software\\Testkey2 # Admins may do anything: $person = \[System.Security.Principal.NTAccount\]"Administrators" $access = \[System.Security.AccessControl.RegistryRights\]"FullControl" $inheritance = \[System.Security.AccessControl.InheritanceFlags\] "ObjectInherit,ContainerInherit" $propagation = \[System.Security.AccessControl.PropagationFlags\]"None" $type = [System.Security.AccessControl.AccessControlType]"Allow" $rule = New-Object System.Security.AccessControl.RegistryAccessRule( $person,$access,$inheritance,$propagation,$type) $acl.ResetAccessRule($rule) # Everyone may only read and create subkeys: $person = \[System.Security.Principal.NTAccount\]"Everyone" $access = \[System.Security.AccessControl.RegistryRights\]"ReadKey" $inheritance = \[System.Security.AccessControl.InheritanceFlags\] "ObjectInherit,ContainerInherit" $propagation = [System.Security.AccessControl.PropagationFlags]"None" $type = \[System.Security.AccessControl.AccessControlType\]"Allow" $rule = New-Object System.Security.AccessControl.RegistryAccessRule( ` $person,$access,$inheritance,$propagation,$type) $acl.ResetAccessRule($rule) Set-Acl HKCU:\\Software\\Testkey2 $acl