Αναγν. άρθρου: 318754 - Τελευταία αναθεώρηση: Τρίτη, 12 Ιουνίου 2007 - Αναθεώρηση: 4.2

ΔΙΑΔΙΚΑΣΙΕΣ: Χρήση του Xcacls.exe για την τροποποίηση δικαιωμάτων του NTFS

Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Συμβουλή συστήματοςΑυτό το άρθρο ισχύει για διαφορετικό λειτουργικό σύστημα από αυτό που χρησιμοποιείτε. Το περιεχόμενο του άρθρου που ενδέχεται να μην σας αφορά έχει απενεργοποιηθεί.

Σε αυτήν τη σελίδα

Ανάπτυξη όλων | Σύμπτυξη όλων

Περίληψη

Αυτό το άρθρο βήμα προς βήμα περιγράφει τον τρόπο χρήσης του εργαλείου Extended Change Access Control List (Xcacls.exe) για την τροποποίηση και την προβολή δικαιωμάτων του NTFS για αρχεία ή φακέλους.

Μπορείτε να χρησιμοποιήσετε το Xcacls.exe για να ορίσετε όλες τις επιλογές ασφαλείας του συστήματος αρχείων για τις οποίες υπάρχει δυνατότητα πρόσβασης από τη γραμμή εντολών της "Εξερεύνησης των Windows" Windows Explorer. Το Xcacls.exe πραγματοποιεί τα παραπάνω εμφανίζοντας και τροποποιώντας τις λίστες ελέγχου πρόσβασης (ACL) των αρχείων.

Το Xcacls.exe είναι ιδιαίτερα χρήσιμο σε εγκαταστάσεις χωρίς παρακολούθηση των Windows 2000 Professional ή του Windows 2000 Server. Με τη χρήση αυτού του εργαλείου, μπορείτε να ορίσετε τα αρχικά δικαιώματα πρόσβασης για τους φακέλους στους οποίους βρίσκεται το λειτουργικό σύστημα. Όταν κάνετε διανομή λογισμικού σε διακομιστές ή σταθμούς εργασίας, το Xcacls.exe παρέχει επίσης προστασία με ένα βήμα ενάντια στη διαγραφή φακέλων ή αρχείων από τους χρήστες.

Το Xcacls.exe είναι ένα βοηθητικό πρόγραμμα που περιλαμβάνεται στο Windows 2000 Resource Kit. Το ακόλουθο αρχείο είναι διαθέσιμο για λήψη από το Κέντρο λήψης της Microsoft (Download Center):

Σύμπτυξη αυτής της εικόναςΑνάπτυξη αυτής της εικόνας
Λήψη
Άμεση λήψη του πακέτου XCacls_Installer.exe (Αγγλική έκδοση). (http://www.microsoft.com/downloads/details.aspx?FamilyID=0ad33a24-0616-473c-b103-c35bc2820bda&DisplayLang=en)
Επιστροφή στην αρχή

Σύνταξη του Xcacls.exe

xcacls όνομα αρχείου [/T] [/E] [/C] [/G user:perm;spec] [/R user] [/P user:perm;spec [...]] [/D χρήστης [...]] [/Y]
όπου το στοιχείο "όνομα αρχείου" υποδηλώνει το όνομα του αρχείου ή του φακέλου στα οποία εφαρμόζεται συνήθως το ACL ή η καταχώρηση ελέγχου πρόσβασης (ACE). Υπάρχει δυνατότητα χρήσης όλων των χαρακτήρων μπαλαντέρ.

Ο διακόπτης /T εισέρχεται περιοδικά μέσα στον τρέχοντα φάκελο και τους υποφακέλους του, εφαρμόζοντας τα επιλεγμένα δικαιώματα πρόσβασης στα κατάλληλα αρχεία ή φακέλους.

Ο διακόπτης /E επεξεργάζεται ένα ACL αντί να το αντικαταστήσει. Για παράδειγμα, μόνο ο διαχειριστής θα έχει πρόσβαση στο αρχείο Test.dat εάν εκτελέσετε την εντολή XCACLS test.dat /G Administrator:F. Όλα τα ACE που εφαρμόστηκαν προηγουμένως, χάνονται.

Ο διακόπτης /C επιβάλλει στο Xcacls.exe να συνεχίσει όταν εμφανιστεί το μήνυμα λάθους "δεν επιτρέπεται η πρόσβαση" (access denied). Εάν δεν οριστεί το /C, το Xcacls.exe σταματά σε αυτό το σφάλμα.

Ο διακόπτης /G user:perm;spec παραχωρεί σε ένα χρήστη δικαίωμα πρόσβασης στο αρχείο ή το φάκελο που ταιριάζουν.
  • Η μεταβλητή perm (δικαίωμα) εφαρμόζεται στο καθορισμένο δικαίωμα πρόσβασης σε αρχεία και αντιπροσωπεύει την ειδική μάσκα δικαιώματος πρόσβασης αρχείων για φακέλους. Η μεταβλητή perm αποδέχεται τις ακόλουθες τιμές:
    • R Ανάγνωση
    • C Αλλαγή (εγγραφή)
    • F Πλήρης έλεγχος
    • P Αλλαγή δικαιωμάτων (ειδική πρόσβαση)
    • O Ανάληψη κατοχής (ειδική πρόσβαση)
    • X Εκτέλεση (ειδική πρόσβαση)
    • E Ανάγνωση (Ειδική πρόσβαση)
    • W Εγγραφή (Ειδική πρόσβαση)
    • D Διαγραφή (Ειδική πρόσβαση)
  • Η μεταβλητή spec (ειδική πρόσβαση) εφαρμόζεται μόνο σε φακέλους και αποδέχεται τις ίδιες τιμές με της μεταβλητής perm, με την προσθήκη της ακόλουθης ειδικής τιμής:
    • T Δεν καθορίζεται. Ορίζει ένα ACE για τον ίδιο τον κατάλογο, χωρίς να καθορίζει κάποιο ACE το οποίο να εφαρμόζεται σε νέα αρχεία που δημιουργούνται σε αυτόν τον κατάλογο. Πρέπει να ακολουθεί τουλάχιστον ένα δικαίωμα πρόσβασης. Οι καταχωρήσεις μεταξύ ενός ερωτηματικού (;) και του T παραβλέπονται. Σημειώσεις
      • Οι επιλογές πρόσβασης για αρχεία (για φακέλους, ειδικό αρχείο και πρόσβαση φακέλου) είναι ίδιες. Για λεπτομερείς επεξηγήσεις σχετικά με αυτέ τις επιλογές, ανατρέξτε στην τεκμηρίωση του λειτουργικού συστήματος των Windows 2000.
      • Όλες οι άλλες επιλογές, οι οποίες είναι επίσης δυνατό να οριστούν στην "Εξερεύνηση των Windows" (Windows Explorer), είναι υποσύνολα όλων των πιθανών συνδυασμών των βασικών δικαιωμάτων πρόσβασης. Για αυτό το λόγο, δεν υπάρχουν ειδικές επιλογές για δικαιώματα πρόσβασης φακέλου, όπως ΛΙΣΤΑ (LIST) ή ΑΝΑΓΝΩΣΗ (READ).
Ο διακόπτης /R χρήστης κάνει ανάκληση όλων των δικαιωμάτων πρόσβασης για το συγκεκριμένο χρήστη.

Ο διακόπτης /P user:perm;spec αντικαθιστά τα δικαιώματα πρόσβασης για το χρήστη. Οι κανόνες για τις μεταβλητές καθορισμού perm και spec είναι ίδιοι με της επιλογής /G. Ανατρέξτε στην ενότητα "Παραδείγματα του Xcacls.exe" αυτού του άρθρου.

Ο διακόπτης /D χρήστης αρνείται την πρόσβαση χρήστη στο αρχείο ή τον κατάλογο.

Ο διακόπτης /Y απενεργοποιεί την επιβεβαίωση κατά την αντικατάσταση δικαιωμάτων πρόσβασης χρήστη. Από προεπιλογή, το CACLS ζητά επιβεβαίωση. Εξαιτίας αυτής της δυνατότητας, όταν το CACLS χρησιμοποιείται σε μια ρουτίνα δέσμης, η ρουτίνα σταματά να ανταποκρίνεται μέχρι να καταχωρηθεί η σωστή απάντηση. Η επιλογή /Y παρουσιάστηκε για την αποτροπή αυτής της επιβεβαίωσης, έτσι ώστε το Xcacls.exe να μπορεί να χρησιμοποιηθεί σε λειτουργία δέσμης.

Επιστροφή στην αρχή

Χρησιμοποιήστε το Xcacls.exe για να προβάλετε δικαιώματα

Μπορείτε επίσης να χρησιμοποιήσετε το Xcacls.exe για την προβολή δικαιωμάτων για ένα αρχείο ή φάκελο. Για παράδειγμα, πληκτρολογήστε xcacls C:\winnt στη γραμμή εντολών και, κατόπιν, πιέστε το πλήκτρο ENTER. Το ακόλουθο είναι ένα τυπικό αποτέλεσμα: 
c:\WINNT BUILTIN\Users:R
           BUILTIN\Users:(OI)(CI)(IO)(special access:)
                                     GENERIC_READ
                                     GENERIC_EXECUTE

           BUILTIN\Power Users:C
           BUILTIN\Power Users:(OI)(CI)(IO)C
           BUILTIN\Administrators:F
           BUILTIN\Administrators:(OI)(CI)(IO)F
           NT AUTHORITY\SYSTEM:F
           NT AUTHORITY\SYSTEM:(OI)(CI)(IO)F
           BUILTIN\Administrators:F
           CREATOR OWNER:(OI)(CI)(IO)F
Οι σημαίες ACL έχουν τις ακόλουθες σημασίες:
  • IO: Inherit Only (Μόνο μεταβίβαση)- Αυτή η σημαία υποδηλώνει ότι αυτό το ACE δεν εφαρμόζεται στο τρέχον αντικείμενο.
  • CI: Container Inherit (Μεταβίβαση σε κοντέινερ)- Αυτή η σημαία υποδηλώνει ότι αυτό το ACE θα μεταβιβαστεί σε δευτερεύοντα κοντέινερ.
  • OI: Object Inherit (Μεταβίβαση σε αντικείμενο)- Αυτή η σημαία υποδηλώνει ότι το ACE θα μεταβιβαστεί σε δευτερεύοντα αρχεία.
  • NP: Non-Propagate (Χωρίς μεταβίβαση)- Αυτή η σημαία υποδεικνύει ότι το δευτερεύον αντικείμενο δεν θα μεταβιβάσει ξανά το μεταβιβάσιμο ACE.
Το γράμμα στο τέλος κάθε γραμμής υποδηλώνει δικαίωμα. Για παράδειγμα:
  • F: Πλήρης έλεγχος (Full Control)
  • C: Αλλαγή
  • W: Εγγραφή (Write)
Επιστροφή στην αρχή

Παραδείγματα του Xcacls.exe

Παράδειγμα 1

Πληκτρολογήστε XCACLS *.* /G administrator:RW /Y στη γραμμή εντολών και, στη συνέχεια, πιέστε ENTER για να αντικαταστήσετε το ACL όλων των αρχείων και φακέλων του τρέχοντος φακέλου, χωρίς σάρωση υποφακέλων και χωρίς επιβεβαίωση.

Παράδειγμα 2

Στα ACE τα οποία προστίθενται στο φάκελο αυτού του παραδείγματος μεταβιβάζεται το ACE για νέα αρχεία που δημιουργούνται σε αυτόν το φάκελο. Η εντολή δίνει στον TestUser δικαιώματα ανάγνωσης, εγγραφής, εκτέλεσης και διαγραφής σε όλα τα νέα αρχεία που δημιουργούνται σε αυτόν το φάκελο, αλλά μόνο δικαιώματα ανάγνωσης και εγγραφής στον ίδιο το φάκελο. Πληκτρολογήστε XCACLS *.* /G TestUser:RWED;RW /E στη γραμμή εντολών και, στη συνέχεια, πιέστε το πλήκτρο ENTER.

Παράδειγμα 3

Το ακόλουθο παράδειγμα παραχωρεί δικαιώματα ανάγνωσης και εγγραφής σε ένα φάκελο, χωρίς τη δημιουργία καταχώρησης μεταβίβασης για νέα αρχεία. Επομένως, σε αυτό το παράδειγμα, τα νέα αρχεία που δημιουργούνται σε αυτόν το φάκελο δεν λαμβάνουν ACE για τον TestUser. Όσον αφορά τα υπάρχοντα αρχεία, δημιουργείται ένα ACE με δικαιώματα ανάγνωσης. Πληκτρολογήστε XCACLS *.* /G TestUser:R;RW /E στη γραμμή εντολών και, στη συνέχεια, πιέστε το πλήκτρο ENTER.

Επιστροφή στην αρχή

Οδηγίες δικαιωμάτων του NTFS

Ακολουθούν οδηγίες για την εκχώρηση δικαιωμάτων NTFS:
  • Χρησιμοποιήστε δικαιώματα NTFS για τον έλεγχο της πρόσβασης σε αρχεία και φακέλους.
  • Εκχώρηση δικαιωμάτων σε ομάδες αντί σε μεμονωμένους χρήστες.
  • Τα δικαιώματα αρχείου NTFS έχουν προτεραιότητα έναντι των δικαιωμάτων φακέλου NTFS.
  • Οι διαχειριστές και ο κάτοχος ενός αρχείου ή φακέλου ελέγχουν ποια δικαιώματα είναι δυνατό να οριστούν για αυτό το αντικείμενο.
  • Όταν αλλάζετ δικαιώματα φακέλου, να έχετε υπόψη σας τα προγράμματα που είναι εγκατεστημένα στους διακομιστές. Τα προγράμματα δημιουργούν τους δικούς τους φακέλους, στους οποίους υπάρχει ενεργοποιημένη η ρύθμιση Δυνατότητα μεταβίβασης δικαιωμάτων από το γονικό αντικείμενο σε αυτό το αντικείμενο (Allow Inheritable permissions from parent to propagate to this object). Στην περίπτωση που τα δικαιώματα αλλάξουν στον γονικό φάκελο, οι αλλαγές αυτές θα μπορούσαν να δημιουργήσουν προβλήματα στο πρόγραμμα.

    ΠΡΟΕΙΔΟΠΟΙΗΣΗ: Να θυμάστε ότι πολλά αρχεία και φάκελοι λαμβάνουν τα δικαιώματά τους μέσω μεταβίβασης. Επομένως, όταν νομίζετε ότι αλλάζετε μόνο ένα φάκελο, ενδέχεται να αλλάζετε πολύ περισσότερους.
Επιστροφή στην αρχή

Αναφορές

Για περισσότερες πληροφορίες, κάντε κλικ στους αριθμούς των άρθρων παρακάτω, για να προβάλετε τα άρθρα της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
245015  (http://support.microsoft.com/kb/245015/EL/ ) ΔΙΑΔΙΚΑΣΙΕΣ: Εκτύπωση δικαιωμάτων φακέλου και αρχείου από ένα φάκελο
135268  (http://support.microsoft.com/kb/135268/EL/ ) Τρόπος χρήσης του CACLS.EXE σε ένα αρχείο δέσμης
Επιστροφή στην αρχή
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Επιστροφή στην αρχή
Λέξεις-κλειδιά: 
kbenv kbhowtomaster KB318754
Επιστροφή στην αρχή