HOW TO: Utilizzare Xcacls.exe per modificare le autorizzazioni NTFS

Traduzione articoli Traduzione articoli
Identificativo articolo: 318754 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

In questo articolo viene descritto in dettaglio come utilizzare lo strumento Extended Change Access Control List (Xcacls.exe) per modificare e visualizzare le autorizzazioni NTFS per file o cartelle.

╚ possibile utilizzare Xcacls.exe per impostare tutte le opzioni di protezione del file system alle quali Ŕ possibile accedere in Gestione risorse dalla riga di comando. Xcacls.exe consente di eseguire questa operazione tramite la visualizzazione e la modifica degli elenchi di controllo di accesso (ACL, Access Control List) dei file.

Xcacls.exe Ŕ particolarmente utile nelle installazioni automatiche di Windows 2000 Professional o di Windows 2000 Server. Utilizzando questo strumento, Ŕ possibile impostare i diritti iniziali di accesso per le cartelle in cui si trova il sistema operativo. Quando si distribuisce software a server o workstation, Xcacls.exe offre inoltre, in un solo passaggio, protezione dall'eliminazione di cartelle o file da parte degli utenti.

L'utilitÓ Xcacls.exe Ŕ inclusa nel Resource Kit di Windows 2000.

╚ possibile scaricare l'utilitÓ Xcacls.exe dal seguente sito Web Microsoft (informazioni in lingua inglese):
http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/xcacls-o.asp

Sintassi di Xcacls.exe

xcacls nome file [/T] [/E] [/C] [/G utente:aut;spec] [/R user] [/P utente:aut;spec [...]] [/D utente [...]] [/Y]
dove nome file indica il nome del file o della cartella a cui viene in genere applicato l'elenco ACL o la voce di controllo di accesso (ACE, Access Control Entry). ╚ possibile utilizzare tutti i caratteri jolly standard.

/T consente di esaminare in modalitÓ ricorsiva la cartella corrente e tutte le relative sottocartelle, applicando i diritti di accesso scelti ai file o alle cartelle corrispondenti.

/E consente di modificare l'elenco ACL invece di sostituirlo. Solo l'amministratore, ad esempio, avrÓ accesso al file Test.dat se si esegue il comando XCACLS test.dat /G Administrator:F. Tutte le voci ACE applicate in precedenza andranno perse.

/C consente di continuare l'esecuzione di Xcacls.exe se viene visualizzato un messaggio di errore di "accesso negato". Se /C non viene specificato, Xcacls.exe si arresta quando si verifica questo errore.

/G utente:aut;spec consente di concedere a un utente l'accesso al file o alla cartella corrispondente.
  • La variabile aut (autorizzazione) consente di applicare il diritto di accesso specificato ai file e rappresenta la speciale maschera di diritto di accesso ai file per le cartelle. La variabile aut accetta i valori seguenti:
    • R Lettura
    • C Modifica (scrittura)
    • F Controllo completo
    • P Cambia autorizzazioni (accesso speciale)
    • O Diventa proprietario (accesso speciale)
    • X Esecuzione (accesso speciale)
    • E Lettura (accesso speciale)
    • W Scrittura (accesso speciale)
    • D Eliminazione (accesso speciale)
  • La variabile spec (accesso speciale) viene applicata solo alle cartelle e accetta gli stessi valori di aut, con l'aggiunta del seguente valore speciale:
    • T Non specificato. Consente di impostare una voce ACE per la directory stessa senza specificare una voce ACE applicata ai nuovi file creati in tale directory. Deve seguire almeno un diritto di accesso. Le voci comprese tra un punto e virgola (;) e T vengono ignorate. Note
      • Le opzioni di accesso per i file (per le cartelle, l'accesso speciale per file e cartelle) sono identiche. Per una descrizione dettagliata di queste opzioni, vedere la documentazione del sistema operativo Windows 2000.
      • Tutte le altre opzioni, che possono essere impostate anche in Gestione risorse, sono sottoinsiemi di tutte le possibili combinazioni dei diritti di accesso di base. Pertanto, non esistono opzioni speciali per i diritti di accesso alle cartelle, ad esempio LIST o READ.
/R utente consente di revocare tutti i diritti di accesso per l'utente specificato.

/P utente:aut;spec consente di sostituire i diritti di accesso per l'utente. Le regole per specificare aut e spec sono le stesse dell'opzione /G. Vedere la sezione "Esempi di Xcacls.exe" di questo articolo.

/D utente consente di negare all'utente l'accesso al file o alla directory.

/Y consente di disattivare la conferma quando si sostituiscono i diritti di accesso utente. Per impostazione predefinita, viene chiesta la conferma. A causa di questa funzionalitÓ, quando si utilizza CACLS in una routine batch, la routine smette di rispondere fino all'immissione della risposta corretta. L'opzione /Y Ŕ stata introdotta per evitare questa conferma, in modo che sia possibile utilizzare Xcacls.exe in modalitÓ batch.

Utilizzo di Xcacls.exe per visualizzare le autorizzazioni

╚ inoltre possibile utilizzare Xcacls.exe per visualizzare le autorizzazioni per un file o una cartella. Digitare, ad esempio, xcacls C:\winnt al prompt dei comandi, quindi premere INVIO. Un risultato tipico Ŕ il seguente:
c:\WINNT BUILTIN\Users:R
           BUILTIN\Users:(OI)(CI)(IO)(special access:)
                                     GENERIC_READ
                                     GENERIC_EXECUTE

           BUILTIN\Power Users:C
           BUILTIN\Power Users:(OI)(CI)(IO)C
           BUILTIN\Administrators:F
           BUILTIN\Administrators:(OI)(CI)(IO)F
           NT AUTHORITY\SYSTEM:F
           NT AUTHORITY\SYSTEM:(OI)(CI)(IO)F
           BUILTIN\Administrators:F
           CREATOR OWNER:(OI)(CI)(IO)F
				
I flag ACL hanno il seguente significato:
  • IO: Solo ereditÓ. Questo flag indica che questa voce ACE non si applica all'oggetto corrente.
  • CI: EreditÓ contatore. Questo flag indica che i contatori subordinati erediteranno questa voce ACE.
  • OI: EreditÓ oggetto. Questo flag indica che i file subordinati erediteranno la voce ACE.
  • NP: Senza propagazione. Questo flag indica che l'oggetto subordinato non propagherÓ ulteriormente la voce ACE ereditata.
La lettera alla fine di ogni riga indica l'autorizzazione. Ad esempio:
  • F: Controllo completo
  • C: Modifica
  • W: Scrittura

Esempi di Xcacls.exe

Esempio 1

Digitare XCACLS *.* /G administrator:RW /Y al prompt dei comandi, quindi premere INVIO per sostituire l'elenco ACL di tutti i file e le cartelle nella cartella corrente senza analizzare le sottocartelle e senza conferma.

Esempio 2

Le voci ACE aggiunte alla cartella in questo esempio ereditano anche la voce ACE per i nuovi file creati in questa cartella. Il comando concede a TestUser i diritti di lettura, scrittura, esecuzione ed eliminazione per tutti i nuovi file creati in questa cartella, ma solo le autorizzazioni di lettura e scrittura per la cartella stessa. Digitare XCACLS *.* /G TestUser:RWED;RW /E al prompt dei comandi, quindi premere INVIO.

Esempio 3

Nell'esempio seguente vengono concesse le autorizzazioni di lettura e scrittura per una cartella senza creare una voce ereditaria per i nuovi file. Pertanto, in questo esempio i nuovi file creati in questa cartella non ricevono alcuna voce ACE per TestUser. Per i file esistenti, viene creata una voce ACE con autorizzazioni di lettura. Digitare XCACLS *.* /G TestUser:R;RW /E al prompt dei comandi, quindi premere INVIO.

Linee guida relative alle autorizzazioni NTFS

Di seguito sono riportate le linee guida per assegnare le autorizzazioni NTFS:
  • Utilizzare le autorizzazioni NTFS per controllare l'accesso a file e cartelle.
  • Assegnare le autorizzazioni a gruppi anzichÚ a singoli utenti.
  • Le autorizzazioni NTFS per i file hanno la prioritÓ sulle autorizzazioni NTFS per le cartelle.
  • Gli amministratori e il proprietario di un file o una cartella controllano quali autorizzazioni Ŕ possibile impostare per tale oggetto.
  • Quando si modificano le autorizzazioni per le cartelle, considerare i programmi installati nei server. I programmi creano le proprie cartelle con l'impostazione Consenti di propagare a questo oggetto le autorizzazioni ereditabili dal padre attivata. Se le autorizzazioni vengono modificate nella cartella padre, tali modifiche potrebbero provocare problemi nel programma.

    AVVISO: si tenga presente che molti file e cartelle ricevono le autorizzazioni tramite l'ereditÓ. Pertanto, quando si crede di modificare una sola cartella, Ŕ possibile che se ne stiano modificando molte di pi¨.

Riferimenti

Per ulteriori informazioni, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportati di seguito:
245015 Utilizzo di Xcacls.exe per stampare autorizzazioni per cartelle e file
135268 Utilizzo di CACLS.EXE in un file batch

ProprietÓ

Identificativo articolo: 318754 - Ultima modifica: giovedý 2 febbraio 2006 - Revisione: 3.0
Le informazioni in questo articolo si applicano a
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Chiavi:á
kbenv kbhowto kbhowtomaster KB318754
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com