HOW TO: Używanie narzędzia Xcacls.exe do modyfikowania uprawnień systemu NTFS

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 318754 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

W tym artykule omówiono „krok po kroku” procedurę używania narzędzia obsługującego rozszerzoną listę kontroli zmian (Xcacls.exe) do modyfikowania i przeglądania uprawnień dotyczących plików lub folderów w systemie NTFS.

Korzystając z narzędzia Xcacls.exe, można konfigurować wszystkie opcje zabezpieczeń systemu plików, dostępne w Eksploratorze Windows, z wiersza polecenia. Narzędzie Xcacls.exe wykonuje to zadanie, wyświetlając i modyfikując listy kontroli dostępu (ACL) do plików.

Narzędzie Xcacls.exe jest użyteczne zwłaszcza w przypadku instalacji nienadzorowanych systemu Windows 2000 Professional lub systemu Windows 2000 Server. Korzystając z tego narzędzia, można skonfigurować początkowe prawa dostępu do folderów, w których znajduje się system operacyjny. Podczas dystrybucji oprogramowania na serwerach lub stacjach roboczych narzędzie Xcacls.exe oferuje również ochronę przed usunięciem folderów lub plików przez użytkowników, którą można szybko skonfigurować.

Narzędzie Xcacls.exe jest uwzględnione w zestawie Windows 2000 Resource Kit. Następujący plik jest udostępniony do pobrania w witrynie Microsoft — Centrum pobierania:

Zwiń ten obrazekRozwiń ten obrazek
Pobierz
Pobierz plik XCacls_Installer.exe.

Składnia narzędzia Xcacls.exe

xcacls nazwa pliku [/T] [/E] [/C] [/G użytkownik:upraw;spec] [/R użytkownik] [/P użytkownik:upraw;spec [...]] [/D użytkownik [...]] [/Y]
gdzie nazwa pliku jest nazwą pliku lub folderu, w odniesieniu do którego lista ACL lub wpis kontroli dostępu (ACE) jest zazwyczaj stosowany. Można korzystać ze wszystkich standardowych symboli wieloznacznych.

/T Cykliczne przeglądanie bieżącego folderu i wszystkich podfolderów w celu zastosowania wybranych praw dostępu w odniesieniu do zgodnych plików lub folderów.

/E Edytowanie zamiast zastępowania listy ACL. Na przykład tylko administrator będzie uprawniony do uzyskania dostępu do pliku Test.dat po wykonaniu następującego polecenia: XCACLS test.dat /G Administrator:F . Wszystkie wpisy ACE stosowane wcześniej zostaną utracone.

/C Kontynuowanie działania narzędzia Xcacls.exe w przypadku wyświetlenia komunikatu o błędzie „odmowa dostępu”. Jeżeli przełącznik /C nie jest określony, działanie narzędzia Xcacls.exe jest przerywane w przypadku wystąpienia tego błędu.

/G użytkownik:upraw;spec Udzielenie użytkownikowi prawa dostępu do zgodnego pliku lub folderu.
  • Zmienna upraw (uprawnienie) dotyczy określonego prawa dostępu do plików i reprezentuje specjalną maskę prawa dostępu do plików, stosowaną w odniesieniu do folderów. Zmienna perm przyjmuje następujące wartości:
    • R Odczyt
    • C Zmiana (zapis)
    • F Pełna kontrola
    • P Zmiana uprawnień (dostęp specjalny)
    • O Przejmowanie na własność (dostęp specjalny)
    • X Wykonywanie (dostęp specjalny)
    • E Odczyt (dostęp specjalny)
    • W Zapis (Dostęp specjalny)
    • D Usuń (Dostęp specjalny)
  • Zmienna spec (dostęp specjalny) dotyczy wyłącznie folderów i przyjmuje takie wartości, jak zmienna perm, a oprócz tego specjalną dodatkową wartość:
    • T Nieokreślona. Konfigurowanie wpisu ACE dla katalogu bez określania wpisu stosowanego w odniesieniu do nowych plików tworzonych w danym katalogu. Po tej wartości należy określić co najmniej jedno prawo dostępu. Wpisy pomiędzy średnikiem (;) i wartością T są ignorowane. Uwagi:
      • Opcje dostępu do plików (w przypadku folderów dostęp specjalny do plików i folderów) są identyczne. Poszczególne opcje szczegółowo omówiono w dokumentacji systemu operacyjnego Windows 2000.
      • Wszystkie pozostałe opcje, które mogą być również konfigurowane w Eksploratorze Windows, są podzbiorami wszystkich możliwych kombinacji podstawowych praw dostępu. Nie istnieją więc specjalne prawa dostępu dotyczące folderów, takie jak LIST (wyświetlanie) lub READ (odczyt).
/R użytkownik Odwołanie wszystkich praw dostępu dla określonego użytkownika.

/P użytkownik:upraw;spec Zastąpienie praw dostępu dla użytkownika. Reguły określania wartości upraw i spec są takie same, jak w przypadku opcji /G. Odpowiednie informacje są dostępne w sekcji „Przykłady zastosowania narzędzia Xcacls.exe” w tym artykule.

/D użytkownik Odmowa prawa dostępu użytkownika do pliku lub katalogu.

/Y Wyłączenie obsługi potwierdzeń podczas zastępowania praw dostępu użytkownika. Domyślnie narzędzie CACLS monituje o potwierdzenie. Jeżeli ta funkcja jest włączona, procedura wykorzystująca narzędzie CACLS przestaje odpowiadać podczas pracy w trybie wsadowym aż do chwili, kiedy zostanie wprowadzona odpowiednia odpowiedź. Opcja /Y została wprowadzona w celu uniknięcia konieczności potwierdzania i umożliwia wykorzystanie narzędzia Xcacls.exe w trybie wsadowym.

Używanie narzędzia Xcacls.exe do przeglądania uprawnień

Korzystając z narzędzia Xcacls.exe, można również przeglądać uprawnienia dotyczące pliku lub folderu. Na przykład można wpisać xcacls C:\winnt w wierszu polecenia, a następnie nacisnąć klawisz ENTER. Poniżej podano typowe wyniki wykonania tego polecenia:
c:\WINNT BUILTIN\Users:R
           BUILTIN\Users:(OI)(CI)(IO)(special access:)
                                     GENERIC_READ
                                     GENERIC_EXECUTE

           BUILTIN\Power Users:C
           BUILTIN\Power Users:(OI)(CI)(IO)C
           BUILTIN\Administrators:F
           BUILTIN\Administrators:(OI)(CI)(IO)F
           NT AUTHORITY\SYSTEM:F
           NT AUTHORITY\SYSTEM:(OI)(CI)(IO)F
           BUILTIN\Administrators:F
           CREATOR OWNER:(OI)(CI)(IO)F
				
Znaczenie flag ACL jest następujące:
  • IO: Tylko dziedziczenie — Ta flaga oznacza, że dany wpis ACE nie dotyczy bieżącego obiektu.
  • CI: Dziedziczenie na poziomie kontenera — Ta flaga oznacza, że podrzędne kontenery będą dziedziczyć ten wpis ACE.
  • OI: Dziedziczenie na poziomie obiektu — Ta flaga oznacza, że podrzędne pliki będą dziedziczyć ten wpis ACE.
  • NP: Bez propagowania – Ta flaga oznacza, że podrzędne obiekty nie będą propagować dziedziczonego wpisu ACE.
Litera na końcu każdego wiersza oznacza uprawnienie. Na przykład:
  • F: Pełna kontrola
  • C: Zmiana
  • W: Zapis

Przykłady zastosowania narzędzia Xcacls.exe

Przykład 1

Wpisz XCACLS *.* /G administrator:RW /Y w wierszu polecenia, a następnie naciśnij klawisz ENTER, aby zastąpić listę wszystkich plików i folderów w bieżącym folderze bez skanowania podfolderów i bez potwierdzania.

Przykład 2

Wpisy ACE dodawane do folderu w tym przykładzie dziedziczą również wpisy ACE dla nowych plików tworzonych w tym folderze. Polecenie powoduje udzielenie użytkownikowi UżytkownikTestowy prawa do odczytu, zapisu, uruchamiania i usuwania wszystkich nowych plików tworzonych w tym folderze, jednak w odniesieniu do folderu użytkownik uzyskuje tylko prawo do odczytu i zapisu. Wpisz XCACLS *.* /G UżytkownikTestowy:RWED;RW /E w wierszu polecenia, a następnie naciśnij klawisz ENTER.

Przykład 3

W następującym przykładzie uprawnienia do odczytu i zapisu w odniesieniu do folderu są udzielane bez tworzenia dla nowych plików wpisu związanego z dziedziczeniem. W tym przykładzie dla nowych plików tworzonych w tym folderze nie tworzone wpisy ACE związane z użytkownikiem UżytkownikTestowy. W przypadku istniejących plików jest tworzony wpis ACE z uprawnieniami do odczytu. Wpisz XCACLS *.* /G UżytkownikTestowy:R;RW /E w wierszu polecenia, a następnie naciśnij klawisz ENTER.

Zasady dotyczące uprawnień NTFS

Następujące zasady dotyczą przypisywania uprawnień w systemie NTFS:
  • Uprawnień NTFS należy używać do kontrolowania dostępu do plików i folderów.
  • Uprawnienia należy przypisywać raczej do grup niż do użytkowników indywidualnych.
  • Do uprawnień dotyczących plików w systemie NTFS jest przypisywany wyższy priorytet niż do uprawnień dotyczących folderów w systemie NTFS.
  • Administratorzy i właściciel pliku lub folderu kontrolują zestaw uprawnień, które mogą być konfigurowane dla danego obiektu.
  • W przypadku zmiany uprawnień dotyczących folderów należy uwzględnić programy instalowane na serwerach. Programy tworzą własne foldery, dla których jest włączone ustawienie Zezwalaj na propagowanie uprawnień dziedzicznych obiektu nadrzędnego do tego obiektu. Zmiany uprawnień w folderze nadrzędnym mogą być przyczyną problemów dotyczących funkcjonowania programu tego typu.

    OSTRZEŻENIE: Należy pamiętać o tym, że wiele plików i folderów dziedziczy uprawnienia. Zmiana ustawień dla pojedynczego folderu może więc być przyczyną zmiany ustawień dla wielu plików i folderów.

Materiały referencyjne

Aby uzyskać więcej informacji, kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
245015 Jak wydrukować uprawnienia dotyczące folderów i plików z poziomu jednego folderu
135268 Jak korzystać z programu CACLS.EXE w pliku wsadowym

Właściwości

Numer ID artykułu: 318754 - Ostatnia weryfikacja: 24 lipca 2006 - Weryfikacja: 4.0
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Słowa kluczowe: 
kbenv kbhowtomaster KB318754

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com