C�MO: Usar Xcacls.exe para modificar los permisos NTFS

Id. de art�culo: 318754 - Ver los productos a los que se aplica este art�culo

En este art�culo se describe paso a paso c�mo utilizar la herramienta de control extendido de acceso de modificaci�n (Xcacls.exe) a fin de modificar y ver los permisos NTFS de archivos o carpetas.

Puede utilizar Xcacls.exe para establecer todas las opciones de seguridad del sistema de los archivos que son accesibles en el Explorador de Windows desde la l�nea de comandos. Para ello, Xcacls.exe muestra y modifica las listas de control de acceso (ACL) de los archivos.

Xcacls.exe es especialmente �til en instalaciones desatendidas de Windows 2000 Professional o Windows 2000 Server. Con esta herramienta puede establecer los derechos de acceso iniciales de las carpetas en las que el sistema operativo reside. Al distribuir el software en servidores o estaciones de trabajo, Xcacls.exe tambi�n permite impedir que los usuarios eliminen las carpetas o archivos.

La utilidad Xcacls.exe se incluye en el Kit de recursos de Windows 2000. El siguiente archivo se puede descargar desde el Centro de descarga de Microsoft:

Contraer esta imagenAmpliar esta imagen

Descargar el paquete XCacls_Installer.exe ahora.

(http://www.microsoft.com/downloads/details.aspx?FamilyID=0ad33a24-0616-473c-b103-c35bc2820bda&DisplayLang=en)

Sintaxis de Xcacls.exe syntax

xcacls nombre de archivo [/T] [/E] [/C] [/G usuario:perm;espec] [/R usuario] [/P usuario:perm;espec [...]] [/D usuario [...]] [/Y]

donde nombre de archivo indica el nombre del archivo o carpeta a la que la ACL o la entrada de control de acceso (ACE) se suele aplicar. Se pueden utilizar todos los caracteres comod�n est�ndar.

/T recorre de forma recursiva la carpeta actual y todas sus subcarpetas, aplicando los derechos de acceso elegidos a los archivos o carpetas correspondientes.

/E modifica la ACL en lugar de reemplazarla. Por ejemplo, s�lo el administrador tendr� acceso al archivo Test.dat si se ejecuta el comando XCACLS test.dat /G Administrator:F . Todas las ACE aplicadas anteriormente se pierden.

/C hace que Xcacls.exe contin�e si se produce un mensaje de error "Acceso denegado". Si no se especifica /C, Xcacls.exe se detiene en este error.

/G usuario:perm;espec concede acceso al usuario al archivo o carpeta correspondiente.

La variable perm (permiso) aplica el derecho de acceso especificado a los archivos y representa la m�scara de los derechos de acceso especial a archivos para las carpetas. La variable perm acepta los valores siguientes:
- R Lectura
- C Cambiar (escribir)
- F Control total
- P Permisos de modificaci�n (acceso especial)
- O Tomar posesi�n (acceso especial)
- X Ejecutar (acceso especial)
- E Lectura (acceso especial)
- W Escritura (acceso especial)
- D Eliminar (acceso especial)
La variable espec (acceso especial) se aplica s�lo a las carpetas y acepta los mismos valores que perm, adem�s del valor especial siguiente:
- T Sin especificar. Establece una ACE para el propio directorio sin especificar una ACE que se aplique a los nuevos archivos que se crearon en ese directorio. Despu�s debe haber al menos un derecho de acceso. Las entradas entre un punto y coma (;) y T se pasan por alto. Notas
  - Las opciones de acceso para los archivos (para carpetas, archivo especial y acceso a la carpeta) son id�nticas. Para obtener una explicaci�n detallada de estas opciones, consulte la documentaci�n del sistema operativo de Windows 2000.
  - Todas las dem�s opciones, que tambi�n se pueden establecer en el Explorador de Windows, son subconjuntos de todas las posibles combinaciones de los derechos de acceso b�sicos. Debido a esto, no hay ninguna opci�n especial para los derechos de acceso de las carpetas, como MOSTRAR o LECTURA.

/R usuario revoca todos los derechos de acceso para el usuario especificado.

/P usuario:perm;espec reemplaza todos los derechos de acceso del usuario especificado. Las reglas para especificar perm y espec son las mismas que para la opci�n /G. Vea la secci�n "Ejemplos de Xcacls.exe" de este art�culo.

/D usuario deniega al usuario el acceso al archivo o directorio.

/Y deshabilita la confirmaci�n al reemplazar los derechos de acceso del usuario. De forma predeterminada, CACLS pide confirmaci�n. Debido a esta caracter�stica, cuando CACLS se utiliza en una rutina por lotes, la rutina deja de responder hasta que se escriba la respuesta correcta. La opci�n /Y se introdujo para evitar esta confirmaci�n, para que Xcacls.exe se pueda utilizar en modo de lote.

Utilizar Xcacls.exe para ver los permisos

Tambi�n puede utilizar Xcacls.exe para ver los permisos de un archivo o carpeta. Por ejemplo, escriba xcacls C:\winnt en el s�mbolo del sistema y, despu�s, presione ENTRAR. Lo siguiente es un resultado t�pico:

c:\WINNT BUILTIN\Users:R BUILTIN\Users:(OI)(CI)(IO)(special access:) GENERIC_READ GENERIC_EXECUTE

           BUILTIN\Power Users:C BUILTIN\Power Users:(OI)(CI)(IO)C BUILTIN\Administrators:F BUILTIN\Administrators:(OI)(CI)(IO)F NT AUTHORITY\SYSTEM:F NT AUTHORITY\SYSTEM:(OI)(CI)(IO)F BUILTIN\Administrators:F CREATOR OWNER:(OI)(CI)(IO)F

Los marcadores de las ACL tienen los significados siguientes:

IO: (Inherit Only) s�lo heredar - Este marcador indica que esta ACE no se aplica al objeto actual.
CI: (Container Inherit) el contenedor hereda - Este marcador indica que los contenedores subordinados heredar�n esta ACE.
OI: (Object Inherit) el objeto hereda - Este marcador indica que los archivos subordinados heredar�n la ACE.
NP: (Non-Propagate) no propagar - Este marcador indica que el objeto subordinado no propagar� la ACE heredada m�s all�.

La letra al final de cada l�nea indica el permiso. Por ejemplo:

F: Control total
C: Cambiar
W: Escritura

Ejemplos de cacls.exe

Ejemplo 1

Escriba XCACLS *.* /G administrator:RW /Y en el s�mbolo del sistema y, a continuaci�n, presione ENTRAR para reemplazar la ACL de todos los archivos y carpetas de la carpeta actual sin examinar las subcarpetas y sin pedir confirmaci�n.

Ejemplo 2

Las ACE que se agregan a la carpeta en este ejemplo tambi�n heredan la ACE de los archivos nuevos que se crean en esta carpeta. El comando proporciona a usuarioDePrueba derechos de lectura, escritura, ejecuci�n y eliminaci�n en todos los archivos nuevos creados en esta carpeta, pero s�lo los permisos de lectura y escritura en la propia carpeta. Escriba XCACLS *.* /G usuarioDePrueba:RWED;RW /E en el s�mbolo del sistema y, despu�s, presione ENTRAR.

Ejemplo 3

El ejemplo siguiente concede permisos de lectura y escritura en una carpeta sin crear una entrada heredada para los archivos nuevos. Por consiguiente, en este ejemplo, los archivos nuevos que se crean en esta carpeta no reciben ninguna ACE para usuarioDePrueba. Para los archivos existentes, se crea una ACE con permisos de lectura. Escriba XCACLS *.* /G usuarioDePrueba:R;RW /E en el s�mbolo del sistema y, despu�s, presione ENTRAR.

Instrucciones de los permisos NTFS

A continuaci�n se proporcionan instrucciones para asignar los permisos NTFS:

Use permisos NTFS para controlar el acceso a los archivos o carpetas.
Asigne los permisos a los grupos en lugar de a los usuarios individuales.
Los permisos de archivos NTFS tienen prioridad sobre los permisos de carpetas NTFS.
Los administradores y el propietario de un archivo o de una carpeta controlan los permisos que se pueden establecer para ese objeto.
Al cambiar los permisos de las carpetas, tenga en cuenta los programas que est�n instalados en los servidores. Los programas crean sus propias carpetas que tienen activada la configuraci�n Hacer posible que los permisos heredables de un objeto primario se propaguen a este objeto. Si los permisos se cambian en la carpeta primaria, estos cambios podr�an crear problemas en el programa.

ADVERTENCIA
Recuerde que muchos archivos y carpetas reciben sus permisos a trav�s de la herencia. Por consiguiente, cuando piense que est� cambiando s�lo una carpeta, puede estar cambiando muchas m�s.