COMMENT FAIRE : Utiliser Xcacls.exe pour modifier les autorisations NTFS

Traductions disponibles Traductions disponibles
Numéro d'article: 318754 - Voir les produits auxquels s'applique cet article
Cet article peut contenir des liens vers des informations en langue anglaise (pas encore traduites).
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article décrit étape par étape comment utiliser l'outil Xcacls.exe (Extended Change Access Control List) pour modifier et afficher les autorisations NTFS pour des fichiers ou des dossiers.

Vous pouvez utiliser Xcacls.exe pour définir toutes les options de sécurité du système de fichiers qui sont accessibles dans l'Explorateur Windows à partir de la ligne de commande. Pour ce faire, Xcacls.exe affiche et modifie les listes de contrôle d'accès (ACL, Access Control List) des fichiers.

Xcacls.exe est particulièrement utile dans le cadre d'installations sans assistance de Windows 2000 Professionnel ou de Windows 2000 Server. À l'aide de cet outil, vous pouvez définir les droits d'accès initiaux aux dossiers où réside le système d'exploitation. Lorsque vous distribuez des logiciels à des serveurs ou des stations de travail, Xcacls.exe offre un niveau de protection en empêchant les utilisateurs de supprimer des dossiers ou des fichiers.

L'utilitaire Xcacls.exe est inclus dans le Kit de ressources de Windows 2000. Vous pouvez télécharger le fichier suivant à partir du Centre de téléchargement Microsoft (en anglais) :

Réduire cette imageAgrandir cette image
Télécharger
Télécharger le package XCacls_Installer.exe maintenant.

Syntaxe Xcacls.exe

xcacls nom de fichier [/T] [/E] [/C] [/G user:perm;spec] [/R user] [/P user:perm;spec [...]] [/D user [...]] [/Y]
nom de fichier indique le nom du fichier ou du dossier auquel la liste de contrôle d'accès (ACL) ou l'entrée de contrôle d'accès s'applique. Tous les caractères génériques standard peuvent être utilisés.

/T parcourt récursivement le dossier en cours et tous ses sous-dossiers, appliquant les droits d'accès choisis aux fichiers ou aux dossiers correspondants.

/E modifie l'ACL au lieu de la remplacer. Par exemple, si vous exécutez la commande XCACLS test.dat /G administrator:F, seul l'administrateur pourra accéder au fichier Test.dat. Toutes les ACE appliquées précédemment sont perdues.

/C force Xcacls.exe à continuer si un message d'erreur "accès refusé" se produit. Si /C n'est pas spécifié, Xcacls.exe s'arrête suite à cette erreur.

/G user:perm;spec accorde à l'utilisateur l'accès au fichier ou dossier correspondant.
  • La variable perm (permission) applique le droit d'accès spécifié aux fichiers et représente le masque file-access-right spécial pour les dossiers. La variable perm accepte les valeurs suivantes :
    • R Lecture
    • C Modification (en écriture)
    • F Contrôle total
    • P Modification des autorisations (accès spécial)
    • O Appropriation (accès spécial)
    • X Exécution (accès spécial)
    • E Lecture (accès spécial)
    • W Écriture (accès spécial)
    • D Suppression (accès spécial)
  • La variable spec (special access) s'applique uniquement aux dossiers et accepte les mêmes valeurs que perm plus les valeurs spéciales suivantes :
    • T Non spécifié. Définit une ACE pour le répertoire, sans qu'une ACE à appliquer aux fichiers créés dans ce répertoire ne soit spécifiée. Cette valeur doit être suivie au minimum d'un droit d'accès. Les entrées comprises entre un point-virgule (;) et T sont ignorées. Remarques
      • Les options d'accès pour les fichiers (pour les dossiers, accès spécial aux fichiers et aux dossiers) sont identiques. Pour obtenir une description détaillée de ces options, consultez la documentation du système d'exploitation Windows 2000.
      • Toutes les autres options, qui peuvent être aussi définies dans l'Explorateur Windows, sont des sous-ensembles de toutes les combinaisons possibles des droits d'accès de base. Pour cette raison, il n'existe aucune option spéciale pour définir les droits d'accès aux dossiers, telle que LIST ou READ.
/R user révoque tous les droits d'accès de l'utilisateur spécifié.

/P user:perm;spec remplace les droits d'accès de l'utilisateur. Les règles relatives aux variables autorisation et accès_spécial sont les mêmes que pour l'option /G. Consultez la section "Exemple Xcacls.exe" de cet article.

/D user refuse l'accès utilisateur au fichier ou au dossier.

/Y désactive l'invite de confirmation lors du remplacement des droits d'accès de l'utilisateur. Par défaut, CACLS demande confirmation. À cause de cela, si vous utilisez CACLS dans une routine de commandes, celle-ci s'arrête jusqu'à ce que la réponse soit entrée. L'option /Y a été introduite pour éviter cette interruption et vous permettre d'utiliser Xcacls.exe en mode de traitement par lots (mode Batch).

Utiliser Xcacls.exe pour afficher les autorisations

Vous pouvez également utiliser Xcacls.exe pour afficher les autorisations pour un fichier ou un dossier. Par exemple, tapez xcacls C:\winnt à l'invite de commandes, puis appuyez sur ENTRÉE. Voici ce que vous pouvez obtenir :
c:\WINNT BUILTIN\Users:R
           BUILTIN\Users:(OI)(CI)(IO)(special access:)
                                     GENERIC_READ
                                     GENERIC_EXECUTE

           BUILTIN\Power Users:C
           BUILTIN\Power Users:(OI)(CI)(IO)C
           BUILTIN\Administrators:F
           BUILTIN\Administrators:(OI)(CI)(IO)F
           NT AUTHORITY\SYSTEM:F
           NT AUTHORITY\SYSTEM:(OI)(CI)(IO)F
           BUILTIN\Administrators:F
           CREATOR OWNER:(OI)(CI)(IO)F
				
Les indicateurs ACL ont les significations suivantes :
  • IO : Héritage uniquement (Inherit Only) - Cet indicateur indique que cette ACE ne s'applique pas à l'objet en cours.
  • CI : Héritage de conteneur (Container Inherit) - Cet indicateur indique que les conteneurs secondaires hériteront cette ACE.
  • OI : Héritage d'objet (Object Inherit) - Cet indicateur indique que les fichiers secondaires hériteront l'ACE.
  • NP : Pas de propagation (Non-Propagate) - Cet indicateur indique que l'objet secondaire ne propagera pas l'ACE héritée plus loin.
La lettre à la fin de chaque ligne indique l'autorisation. Par exemple :
  • F : Contrôle total
  • C : Modification
  • W : Écriture

Exemples Xcacls.exe

Exemple 1

Tapez XCACLS *.* /G administrator:RW /Y à l'invite de commandes, puis appuyez sur ENTRÉE pour remplacer l'ACL de tous les fichiers et dossiers dans le dossier en cours sans analyser les sous-dossiers ni demander confirmation.

Exemple 2

Les ACE qui sont ajoutées au dossier dans cet exemple héritent aussi de l'ACE pour les fichiers créés dans ce dossier. La commande attribue à l'utilisateur TestUser des droits en lecture, écriture, exécution et suppression pour tous les fichiers créés dans ce dossier, mais uniquement des droits en lecture et en écriture pour le dossier. Tapez XCACLS *.* /G TestUser:RWED;RW /E à l'invite de commandes, puis appuyez sur ENTRÉE.

Exemple 3

L'exemple suivant attribue des autorisations en lecture et en écriture pour un dossier sans créer d'entrée d'héritage pour les nouveaux fichiers. Par conséquent, dans cet exemple, les fichiers créés dans ce dossier ne reçoivent aucune ACE pour TestUser. Pour les fichiers existants, une ACE avec des autorisations en lecture est créée. Tapez XCACLS *.* /G TestUser:R;RW /E à l'invite de commandes, puis appuyez sur ENTRÉE.

Guide des autorisations NTFS

Les directives relatives à l'attribution des autorisations NTFS sont les suivantes :
  • Utilisez les autorisations NTFS pour contrôler l'accès à des fichiers et à des dossiers.
  • Affectez les autorisations à des groupes plutôt qu'à des utilisateurs individuels.
  • Les autorisations de fichiers NTFS ont priorité sur les autorisations de dossiers NTFS.
  • Les administrateurs et le propriétaire d'un fichier ou d'un dossier contrôlent les autorisations qui peuvent être définies pour cet objet.
  • Lorsque vous modifiez les autorisations pour un dossier, prenez en compte les programmes installés sur les serveurs. Les programmes créent leurs propres dossiers si le paramètre Permettre aux autorisations pouvant être héritées du parent d'être propagées à cet objet est activé. Si des autorisations sont modifiées dans le dossier parent, ces modifications peuvent créer des problèmes dans le programme.

    AVERTISSEMENT : rappelez-vous que de nombreux fichiers et dossiers reçoivent leurs autorisations par héritage. Par conséquent, lorsque vous modifiez un fichier, vous pouvez en fait en modifier plusieurs.

Références

Pour plus d'informations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft.
245015 Comment faire : Imprimer les autorisations de dossiers et de fichiers à partir d'un dossier
135268 Comment faire pour utiliser CACLS.EXE dans un fichier de commandes

Propriétés

Numéro d'article: 318754 - Dernière mise à jour: vendredi 11 janvier 2008 - Version: 4.2
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professionnel
Mots-clés : 
kbhowtomaster kbenv KB318754
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com