COMO: Utilizar Xcacls.exe para modificar permissões NTFS

Este artigo poderá conter hiperligações para conteúdo em inglês (ainda não traduzido). As opções mencionadas neste artigo poderão estar em inglês, consoante a versão do sistema operativo ou dos componentes instalados.

Este artigo passo a passo descreve como utilizar a ferramenta Extended Change Access Control List (Xcacls.exe) para modificar e visualizar permissões NTFS de ficheiros ou pastas.

Pode utilizar o Xcacls.exe para definir, a partir da linha de comandos, todas as opções de segurança do sistema de ficheiros acessíveis através do Explorador do Windows. O Xcacls.exe faz isto apresentando e modificando as listas de controlo de acesso (ACLs, access control lists) de ficheiros.

O Xcacls.exe é especialmente útil em instalações automáticas do Windows 2000 Professional ou Windows 2000 Server. Ao utilizar esta ferramenta, pode definir os direitos de acesso iniciais para as pastas em que o sistema operativo reside. Quando o utilizador distribui software a servidores ou estações de trabalho, o Xcacls.exe também oferece uma protecção simples contra a eliminação de pastas ou ficheiros por utilizadores.

O utilitário Xcacls.exe está incluído no Windows 2000 Resource Kit. O ficheiro que se segue está disponível para transferência a partir do centro de transferências da Microsoft:

Transferir o pacote XCacls_Installer.exe agora. (http://www.microsoft.com/downloads/details.aspx?FamilyID=0ad33a24-0616-473c-b103-c35bc2820bda&DisplayLang=en)

Sintaxe do Xcacls.exe

em que nome do ficheiro indica o nome do ficheiro ou pasta a que a ACL ou a entrada de controlo de acesso (ACE, access control entry) é geralmente aplicada. Todos os caracteres universais padrão podem ser utilizados.

/T percorre a pasta actual e todas as respectivas subpastas de forma recursiva, aplicando os direitos de acesso escolhidos aos ficheiros ou pastas correspondentes.

/E edita a ACL em vez de a substituir. Por exemplo, apenas o administrador terá acesso ao ficheiro Teste.dat se executar o comando XCACLS teste.dat /G Administrador:F. Todas as ACEs aplicadas anteriormente são perdidas.

/C leva o Xcacls.exe a continuar se ocorrer uma mensagem de erro de acesso negado. Se /C não for especificado, o Xcacls.exe pára neste erro.

/G utilizador:perm;espec concede, a um utilizador, acesso ao ficheiro ou à pasta correspondente.

• A variável perm (permissão) aplica o direito de acesso especificado aos ficheiros e representa a máscara de direito de acesso ao ficheiro especial para pastas. A variável perm aceita os seguintes valores:
  • R Ler
  • C Alterar (escrever)
  • F Controlo total
  • P Alterar permissões (acesso especial)
  • O Tomar posse (acesso especial)
  • X Executar (acesso especial)
  • E Ler (acesso especial)
  • W Escrever (acesso especial)
  • D Eliminar (acesso especial)
• A variável espec (acesso especial) aplica-se apenas a pastas e aceita os mesmos valores que perm, e também o valor especial que se segue:
  • T Não especificado. Define uma ACE para o próprio directório sem especificar uma ACE aplicada a novos ficheiros criados nesse directório. Tem de ser seguido de, pelo menos, um direito de acesso. Entradas entre um ponto e vírgula (;) e T são ignoradas. Notas
    • As opções de acesso para ficheiros (para pastas, acesso especial para ficheiros e pastas) são idênticas. Para obter explicações detalhadas sobre estas opções, consulte a documentação do sistema operativo Windows 2000.
    • Todas as outras opções, que também podem ser definidas no Explorador do Windows, são subconjuntos de todas as combinações possíveis dos direitos de acesso básicos. Devido a isto, não existem opções especiais para direitos de acesso a pastas, como "listar" ou "ler".

/R utilizador revoga todos os direitos de acesso ao utilizador especificado.

/P utilizador:perm;espec substitui os direitos de acesso do utilizador. As regras para especificar perm e espec são as mesmas que para a opção /G. Consulte a secção "Exemplos de Xcacls.exe" deste artigo.

/D utilizador nega o acesso do utilizador ao ficheiro ou directório.

/Y desactiva a confirmação ao substituir os direitos de acesso do utilizador. Por predefinição, o CACLS pede confirmação. Devido a esta funcionalidade, quando o CACLS é utilizado numa rotina batch, esta deixa de responder até a resposta correcta ser introduzida. A opção /Y foi introduzida para evitar esta confirmação, de modo a que o Xcacls.exe possa ser utilizado em modo batch.

Utilizar Xcacls.vbs para visualizar permissões

Também pode utilizar o Xcacls.exe para visualizar permissões de um ficheiro ou pasta. Por exemplo, escreva xcacls C:\winnt na linha de comandos e prima ENTER. O que se segue é um resultado comum: Os sinalizadores da ACL têm os seguintes significados:

• IO: Apenas herdar - este sinalizador indica que esta ACE não se aplica ao objecto actual.
• CI: Herança de contentor - este sinalizador indica que contentores subordinados irão herdar esta ACE.
• OI: Herança de objecto - este sinalizador indica que ficheiros subordinados irão herdar esta ACE.
• NP: Não-propagação - este sinalizador indica que o objecto subordinado não irá propagar a ACE herdada.

A letra no final de cada linha indica permissão. Por exemplo:

• F: Controlo total
• C: Alterar
• W: Escrever

Exemplos de Xcacls.exe

Exemplo 1

Escreva XCACLS *.* /G administrador:RW /Y na linha de comandos e prima ENTER para substituir a ACL de todos os ficheiros e de todas as pastas da pasta actual sem analisar as subpastas e sem confirmação.

Exemplo 2

Neste exemplo, as ACEs que são adicionadas à pasta também herdam ACE para novos ficheiros que sejam criados nesta pasta. O comando dá ao UtilizadorTeste direitos de leitura, escrita, execução e eliminação sobre todos os novos ficheiros criados nesta pasta, mas apenas permissões de leitura e escrita sobre a própria pasta. Escreva XCACLS *.* /G UtilizadorTeste:RWED;RW /E na linha de comandos e prima ENTER.

Exemplo 3

O exemplo que se segue concede permissões de leitura e de escrita sobre uma pasta sem criar uma entrada a herdar por ficheiros novos. Assim, neste exemplo, novos ficheiros que sejam criados nesta pasta não receberão uma ACE de UtilizadorTeste. Para ficheiros existentes, é criada uma ACE com permissões de leitura. Escreva XCACLS *.* /G UtilizadorTeste:R;RW /E na linha de comandos e prima ENTER.

Directrizes relativas às permissões NTFS

Seguem-se directrizes para atribuir permissões NTFS:

• Utilize permissões NTFS para controlar o acesso a ficheiros e pastas.
• Atribua permissões a grupos em vez de atribuir a utilizadores individuais.
• As permissões NTFS de ficheiros têm prioridade sobre permissões NTFS de pastas.
• Os administradores e o proprietário de um ficheiro ou pasta controlam as permissões que podem ser definidas para esse objecto.
• Quando altera permissões de pastas, tenha em atenção os programas que estão instalados nos servidores. Os programas criam as suas próprias pastas, que têm a definição Deixar que as permissões herdáveis se propaguem para este objecto activada. Se as permissões forem alteradas na pasta principal, estas alterações poderão criar problemas no programa.
  
  AVISO: não se esqueça que muitos ficheiros e pastas recebem as respectivas permissões por herança. Assim, quando pensa estar a alterar apenas uma pasta pode estar a alterar muitas mais.

Para obter mais informações, clique nos números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):