?Como usar Xcacls.exe para modificar as permissões NTFS

Traduções deste artigo Traduções deste artigo
ID do artigo: 318754 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Este artigo descreve detalhadamente como usar a ferramenta Xcacls.exe (Extended Change Access Control List) para modificar e exibir permissões NTFS para arquivos e pastas.

Você pode usar a Xcacls.exe para definir todas as opções de segurança do sistema de arquivos acessíveis no Windows Explorer a partir da linha de comando. A Xcacls.exe faz isso exibindo e modificando as listas de controle de acesso (ACLs) dos arquivos.

A Xcacls.exe é especialmente útil em instalações autônomas do Windows 2000 Professional ou do Windows 2000 Server. Ao usar essa ferramenta, você pode definir os direitos de acesso iniciais para pastas nas quais o sistema operacional reside. Quando você distribui o software para servidores ou estações de trabalho, a Xcacls.exe também oferece uma proteção de uma etapa contra a exclusão de pastas ou arquivos pelos usuários.

O utilitário Xcacls.exe está incluído no Windows 2000 Resource Kit.

Você pode baixá-lo no seguinte site da Microsoft (em inglês):
http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/xcacls-o.asp

Sintaxe da Xcacls.exe

xcacls nome do arquivo [/T] [/E] [/C] [/G usuário:perm;spec] [/R usuário] [/P usuário:perm;spec [...]] [/D usuário [...]] [/Y]
em que nome do arquivo indica o nome do arquivo ou da pasta em que a ACL ou a entrada de controle de acesso (ACE) é normalmente aplicada. Todos os caracteres curinga padrão podem ser usados.

/T passa recursivamente pela pasta atual e todas as suas subpastas, aplicando os direitos de acesso escolhidos aos arquivos ou pastas correspondentes.

/E edita a ACL em vez de substituí-la. Por exemplo, apenas o administrador terá acesso ao arquivo Test.dat se você executar o comando XCACLS test.dat /G Administrador:F. Todas as ACEs aplicadas anteriormente serão perdidas.

/C faz com que a Xcacls.exe continue caso ocorra uma mensagem de erro "acesso negado". Se /C não for especificado, a Xcacls.exe irá parar nesse erro.

/G usuário:perm;spec concede acesso do usuário ao arquivo ou pasta correspondente.
  • A variável perm (permissão) aplica o direito de acesso especificado aos arquivos e representa a máscara especial arquivo-acesso-direito das pastas. A variável perm aceita os seguintes valores:
    • R Ler
    • C Alterar (gravar)
    • F Controle total
    • P Alterar permissões (acesso especial)
    • O Apropriar-se (acesso especial)
    • X EXecutar (acesso especial)
    • E LEr (acesso especial)
    • W Gravar (acesso especial)
    • D Excluir (acesso especial)
  • A variável spec (acesso especial) é aplicada apenas às pastas e aceita os mesmos valores que perm, com a inclusão do seguinte valor especial:
    • T Não especificado. Define uma ACE para o próprio diretório sem especificar uma ACE aplicada aos novos arquivos criados nesse diretório. Pelo menos um direito de acesso deve vir em seguida. As entradas entre um ponto-e-vírgula (;) e o T são ignoradas. Observações
      • As opções de acesso para os arquivos (para pastas, arquivo especial e acesso à pasta) são idênticos. Para obter explicações detalhadas sobre essas opções, consulte a documentação do sistema operacional Windows 2000.
      • Todas as outras opções, que também podem ser definidas no Windows Explorer, são subconjuntos de todas as combinações possíveis dos direitos de acesso básicos. Por isso, não existem opções especiais para direitos de acesso de pasta, como LISTA ou LEITURA.
/R usuário revoga todos os direitos de acesso do usuário especificado.

/P usuário:perm;spec substitui os direitos de acesso do usuário. As regras para especificação de perm e spec são as mesmas que para a opção /G. Consulte a seção "Exemplos da Xcacls.exe" desse artigo.

/D usuário nega o acesso ao usuário para o arquivo ou diretório.

/Y desabilita a confirmação ao substituir os direitos de acesso ao usuário. Por padrão, a CACLS pede a confirmação. Por causa desse recurso, quando a CACLS é usada em uma rotina em lotes, a rotina pára de responder até que a resposta correta seja inserida. A opção /Y foi introduzida para evitar essa confirmação, de modo que a Xcacls.exe possa ser usada no modo em lotes.

Usar a Xcacls.exe para exibir permissões

Também é possível usar a Xcacls.exe para exibir permissões para um arquivo ou pasta. Por exemplo, digite xcacls C:\winnt no prompt de comando e pressione ENTER. O seguinte é um resultado comum:
c:\WINNT BUILTIN\Usuários:R
           BUILTIN\Usuários:(OI)(CI)(IO)(acesso especial:)
                                     GENERIC_READ
                                     GENERIC_EXECUTE

           BUILTIN\Usuários avançados:C
           BUILTIN\Usuários avançados:(OI)(CI)(IO)C
           BUILTIN\Administradores:F
           BUILTIN\Administradores:(OI)(CI)(IO)F
           NT AUTHORITY\SYSTEM:F
           NT AUTHORITY\SYSTEM:(OI)(CI)(IO)F
           BUILTIN\Administradores:F
           CREATOR OWNER:(OI)(CI)(IO)F
				
Os sinalizadores de ACL têm os seguintes significados:
  • IO: Somente herança - Esse sinalizador indica que essa ACE não se aplica ao objeto atual.
  • CI: Herança de contêiner - Esse sinalizador indica que contêiners subordinados herdarão essa ACE.
  • OI: Herança de objeto - Esse sinalizador indica que os arquivos subordinados herdarão a ACE.
  • NP: Não propagar - Esse sinalizdor indica que o objeto subordinado não irá mais propagar a ACE herdada.
A letra no final de cada linha indica a permissão. Por exemplo:
  • F: Controle total
  • C: Alterar
  • W: Gravar

Exemplos da Xcacls.exe

Exemplo 1

Digite XCACLS *.* /G administrador:RW /Y no prompt de comando e pressione ENTER para substituir a ACL de todos os arquivos e pastas na pasta atual sem verificar as subpastas e sem confirmação.

Exemplo 2

As ACEs adicionadas à pasta nesse exemplo também herdam a ACE para novos arquivos criados nessa pasta. O comando fornece ao UsuárioTeste os direitos de leitura, gravação, execução e exclusão em todos os novos arquivos criados nessa pasta, mas apenas as permissões de leitura e gravação na própria pasta. Digite XCACLS *.* /G UsuárioTeste:RWED;RW /E no prompt de comando e pressione ENTER.

Exemplo 3

O seguinte exemplo atribui as permissões de leitura e gravação em uma pasta sem criar uma entrada herdada para novos arquivos. Por isso, nesse exemplo, novos arquivos criados nessa pasta não recebem uma ACE para o UsuárioTeste. Para arquivos existentes, uma ACE com permissões de leitura é criada. Digite XCACLS *.* /G UsuárioTeste:R;RW /E no prompt de comando e pressione ENTER.

Diretrizes de permissões NTFS

Estas são diretrizes para atribuição de permissões NTFS:
  • Use as permissões NTFS para controlar o acesso aos arquivos e pastas.
  • Atribua permissões a grupos, em vez de usuários individuais.
  • As permissões de arquivo NTFS têm prioridade sobre permissões de pasta NTFS.
  • Os administradores e o proprietário de um arquivo ou de uma pasta controlam quais permissões podem ser definidas para esse objeto.
  • Ao alterar permissões de pasta, esteja ciente dos programas instalados nos servidores. Os programas criam suas próprias pastas que possuem a configuração Permitir que permissões herdadas do pai se propaguem para este objeto ativada. Se as permissões forem alteradas na pasta pai, essas alterações poderão criar problemas no programa.

    AVISO: Lembre-se de que muitos arquivos e pastas recebem suas permissões por herança. Por isso, quando você pensa que está alterando apenas uma pasta, pode estar alterando muitas.

Referências

Para obter informações adicionais, clique nos números abaixo para ler os artigos na Base de Dados de Conhecimento da Microsoft:
245015 Como: Imprimir pasta e permissões de arquivo permissões de arquivo uma pasta.
135268 Como usar CACLS.EXE em um arquivo em lotes

Propriedades

ID do artigo: 318754 - Última revisão: terça-feira, 23 de maio de 2006 - Revisão: 4.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Palavras-chave: 
kbenv kbhowto kbhowtomaster KB318754

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com