SO WIRD'S GEMACHT: Verwenden von "Xcacls.exe" zum Ändern von NTFS-Berechtigungen

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 318754 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
318754 HOW TO: Use Xcacls.exe to modify NTFS permissions
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Dieser Artikel beschreibt Schritt für Schritt, wie Sie das Programm "Xcacls.exe" (Extended Change Access Control List, XCACLS) verwenden, um NTFS-Berechtigungen für Dateien und Ordner zu ändern und anzuzeigen.

Sie können "Xcacls.exe" verwenden, um alle Sicherheitsoptionen des Dateisystems festzulegen, auf die Sie in Windows Explorer von der Befehlszeile aus zugreifen können. Zu diesem Zweck werden die Zugriffssteuerungslisten (ACLs) von Dateien von "Xcacls.exe" angezeigt und geändert.

Das Programm "Xcacls.exe" ist besonders nützlich bei unbeaufsichtigten Installationen von Windows 2000 Professional oder Windows 2000 Server. Mithilfe dieses Programms können Sie die anfänglichen Zugriffsrechte für Ordner festlegen, in denen sich das Betriebssystem befindet. Beim Verteilen von Software auf Server oder Arbeitsstationen bietet "Xcacls.exe" zudem einen einfach einzurichtenden Schutzmechanismus, mit dem das Löschen von Dateien und Ordnern durch Benutzer verhindert wird.

Das Programm "Xcacls.exe" ist im Windows 2000 Resource Kit enthalten. Die folgende Datei steht im Microsoft Download Center zum Herunterladen zur Verfügung:

Bild minimierenBild vergrößern
Download
Paket "XCacls_Installer.exe" jetzt herunterladen.

Syntax von "Xcacls.exe"

xcacls Dateiname [/T] [/E] [/C] [/G Benutzer:Ber.;Beschr.] [/R Benutzer] [/P Benutzer:Ber.;Beschr. [...]] [/D Benutzer [...]] [/Y]
Dabei steht Dateiname für den Namen der Datei oder des Ordners, auf die bzw. den die ACL oder der Zugriffssteuerungseintrag (ACE) typischerweise angewendet wird. Es können alle Standard-Platzhalterzeichen verwendet werden.

/T durchläuft rekursiv den aktuellen Ordner und alle seine Unterordner und wendet die gewählten Zugriffsrechte auf die entsprechenden Dateien oder Ordner an.

/E bearbeitet die ACL, statt sie zu ersetzen. Beispielsweise hat nur der Administrator Zugriff auf die Datei "Test.dat", wenn Sie den Befehl XCACLS test.dat /G Administrator:F ausführen. Alle zuvor angewendeten ACEs werden verworfen.

/C veranlasst "Xcacls.exe" fortzufahren, wenn eine Fehlermeldung "Zugriff verweigert" auftritt. Wenn /C nicht angegeben ist, hält "Xcacls.exe" an, wenn dieser Fehler auftritt.

/G Benutzer:Ber.;Beschr. gewährt einem Benutzer Zugriff auf die entsprechende Datei oder den Ordner.
  • Die Variable Ber. (Berechtigung) wendet das angegebene Zugriffsrecht auf Dateien an und stellt die spezielle Dateizugriffsrecht-Maske für Ordner dar. Für die Variable Ber. sind folgende Werte zulässig:
    • R Lesen
    • C Ändern (Schreiben)
    • F Vollzugriff
    • P Berechtigungen ändern (Beschränkter Zugriff)
    • O Besitz übernehmen (Beschränkter Zugriff)
    • X Ausführen (Beschränkter Zugriff)
    • E Lesen (Beschränkter Zugriff)
    • W Schreiben (Beschränkter Zugriff)
    • D Löschen (Beschränkter Zugriff)
  • Die Variable Beschr. (Beschränkter Zugriff) gilt nur für Ordner und akzeptiert dieselben Werte wie die Variable Ber. sowie zusätzlich den folgenden Spezialwert:
    • T Nicht angegeben. Dieser Wert setzt einen ACE für das Verzeichnis selbst, ohne einen ACE anzugeben, der auf neu erstellte Dateien in diesem Verzeichnis angewendet wird. Auf diesen Wert muss mindestens ein Zugriffsrecht folgen. Einträge zwischen einem Strichpunkt (;) und T werden ignoriert. Hinweise:
      • Die Zugriffsoptionen für Dateien (für Ordner, beschränkter Datei- und Ordnerzugriff) sind identisch. Eine ausführliche Erklärung zu diesen Optionen finden Sie in der Dokumentation zu Ihrem Windows 2000-Betriebssystem.
      • Alle weiteren Optionen, die auch in Windows Explorer gesetzt werden können, sind Teilmengen aller zulässigen Kombinationen der grundlegenden Zugriffsrechte. Aus diesem Grund gibt es keine speziellen Optionen für Ordnerzugriffsrechte wie LIST (Auflisten) oder READ (Lesen).
/R Benutzer hebt alle Zugriffsrechte für den angegebenen Benutzer auf.

/P Benutzer:Ber.;Beschr. ersetzt Zugriffsrechte für den Benutzer. Die Regeln für die Angabe von "Ber." und "Beschr." entsprechen denen für die Option /G. Lesen Sie hierzu den Abschnitt Beispiele für "Xcacls.exe" in diesem Artikel.

/D Benutzer verweigert den Benutzerzugriff auf die Datei oder das Verzeichnis.

/Y deaktiviert die Aufforderung zur Bestätigung, wenn Zugriffsrechte für Benutzer ersetzt werden. Standardmäßig fragt CACLS nach einer Bestätigung. Wenn CACLS in einer Stapelroutine verwendet wird, reagiert die Routine wegen dieser Funktion nicht mehr, bis die korrekte Antwort eingegeben wird. Die Option /Y wurde eingeführt, um diese Bestätigungsaufforderung zu verhindern, sodass "Xcacls.exe" im Stapelmodus verwendet werden kann.

Verwenden von "Xcacls.exe" zum Anzeigen von Berechtigungen

Sie können "Xcacls.exe" auch verwenden, um Berechtigungen für eine Datei oder einen Ordner anzuzeigen. Geben Sie an der Eingabeaufforderung zum Beispiel xcacls C:\winnt ein, und drücken Sie die [EINGABETASTE]. Das folgende Beispiel zeigt eine typische Ausgabe:
c:\WINNT BUILTIN\Users:R
           BUILTIN\Users:(OI)(CI)(IO)(special access:)
                                     GENERIC_READ
                                     GENERIC_EXECUTE

           BUILTIN\Power Users:C
           BUILTIN\Power Users:(OI)(CI)(IO)C
           BUILTIN\Administrators:F
           BUILTIN\Administrators:(OI)(CI)(IO)F
           NT AUTHORITY\SYSTEM:F
           NT AUTHORITY\SYSTEM:(OI)(CI)(IO)F
           BUILTIN\Administrators:F
           CREATOR OWNER:(OI)(CI)(IO)F
				
Die ACL-Flags haben folgende Bedeutung:
  • IO: Nur vererben (Inherit Only) - Dieses Flag gibt an, dass dieser ACE nicht auf das aktuelle Objekt angewendet wird.
  • CI: Containervererbung (Container Inherit) - Dieses Flag gibt an, dass untergeordnete Container diesen ACE erben.
  • OI: Objektvererbung (Object Inherit) - Dieses Flag gibt an, dass untergeordnete Dateien diesen ACE erben.
  • NP: Nicht weitergeben (Non-Propagate) - Dieses Flag gibt an, dass das untergeordnete Objekt den ererbten ACE nicht weitergibt.
Der Buchstabe am Ende jeder Zeile gibt die Berechtigung an, zum Beispiel:
  • F: Vollzugriff
  • C: Ändern
  • W: Schreiben

Beispiele für "Xcacls.exe"

Beispiel 1

Geben Sie an der Eingabeaufforderung XCACLS *.* /G administrator:RW /Y ein, und drücken Sie die [EINGABETASTE], um die ACL aller Dateien und Ordner im aktuellen Ordner zu ersetzen, ohne dass Unterordner durchsucht werden und nach einer Bestätigung gefragt wird.

Beispiel 2

Die ACEs, die in diesem Beispiel zu dem Ordner hinzugefügt werden, erben auch ACEs für neu erstellte Dateien in diesem Ordner. Mit dem Befehl erhält der Benutzer "TestUser" Lese-, Schreib-, Ausführungs- und Löschberechtigungen für alle neu erstellten Dateien in diesem Ordner, aber nur Lese- und Schreibberechtigungen für den Ordner selbst. Geben Sie an der Eingabeaufforderung XCACLS *.* /G TestUser:RWED;RW /E ein, und drücken Sie die [EINGABETASTE].

Beispiel 3

In dem folgenden Beispiel erhält "TestUser" Lese- und Schreibberechtigungen für einen Ordner, ohne dass ein ererbter Eintrag für neue Dateien erstellt wird. Daher erhalten in diesem Beispiel Dateien, die in diesem Ordner neu erstellt werden, keinen ACE für "TestUser". Für vorhandene Dateien wird ein ACE mit Leseberechtigungen erstellt. Geben Sie an der Eingabeaufforderung XCACLS *.* /G TestUser:R;RW /E ein, und drücken Sie die [EINGABETASTE].

Richtlinien für NTFS-Berechtigungen

Für die Zuweisung von NTFS-Berechtigungen gelten folgende Richtlinien:
  • Verwenden Sie NTFS-Berechtigungen, um den Zugriff auf Dateien und Ordner zu beschränken.
  • Weisen Sie Berechtigungen Gruppen zu, nicht einzelnen Benutzern.
  • NTFS-Dateiberechtigungen haben Vorrang vor NTFS-Ordnerberechtigungen.
  • Administratoren und der Besitzer einer Datei oder eines Ordners kontrollieren, welche Berechtigungen für dieses Objekt gesetzt werden können.
  • Achten Sie beim Ändern von Ordnerberechtigungen auf Programme, die auf den Servern installiert sind. Programme erstellen eigene Ordner, für die die Einstellung Vererbbare übergeordnete Berechtigungen übernehmen aktiviert ist. Wenn Berechtigungen im übergeordneten Ordner geändert werden, könnte dies zu Problemen in dem jeweiligen Programm führen.

    Warnung: Denken Sie daran, dass viele Dateien und Ordner ihre Berechtigungen durch Vererbung erhalten. Beim Ändern der Berechtigungen für einen Ordner besteht daher das Risiko, dass Berechtigungen für viele weitere Ordner geändert werden.

Informationsquellen

Weitere Informationen finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
245015 Welche Verfahrensweise an: Sie drucken Ordner und Dateiberechtigung aus einem Ordner
135268 Wie Verwenden von CACLS.EXE in Batchdateien

Eigenschaften

Artikel-ID: 318754 - Geändert am: Montag, 24. Juli 2006 - Version: 4.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Keywords: 
kbenv kbhowtomaster KB318754
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com