Изменение разрешений NTFS с помощью программы Xcacls.exe

Переводы статьи Переводы статьи
Код статьи: 318754 - Vizualiza?i produsele pentru care se aplic? acest articol.
Внимание
Сведения в этой статье относятся к системе Windows 2000. Поддержка Windows 2000 завершается 13 июля 2010 г.Центр решений после прекращения поддержки для Windows 2000 — отправная точка при планировании стратегии миграции с системы Windows 2000. Дополнительную информацию можно посмотреть в статье Правила по срокам поддержки продуктов Майкрософт.
Внимание
Сведения в этой статье относятся к системе Windows 2000. Поддержка Windows 2000 завершается 13 июля 2010 г.Центр решений после прекращения поддержки для Windows 2000 — отправная точка при планировании стратегии миграции с системы Windows 2000. Дополнительную информацию можно посмотреть в статье Правила по срокам поддержки продуктов Майкрософт.
Развернуть все | Свернуть все

В этой статье

Аннотация

В данной статье подробно рассмотрены вопросы использования средства Extended Change Access Control List (Xcacls.exe) для изменения и просмотра разрешений NTFS для файлов и папок.

С помощью Xcacls.exe можно установить все параметры безопасности для файловой системы, доступ к которым осуществляется из командной строки в проводнике (с этой целью Xcacls.exe отображает и изменяет списки управления доступом (ACL) файлов).

Рекомендуется использовать Xcacls.exe для автоматической установки Windows 2000 Professional или Windows 2000 Server. С ее помощью устанавливаются исходные права доступа для папок, в которых находятся файлы операционной системы. В процессе переноса программного обеспечения на серверы и рабочие станции Xcacls.exe обеспечивает одноступенчатую защиту от удаления пользователем файлов и папок.

Программа Xcacls.exe входит в состав пакета Windows 2000 Resource Kit. Программа Xcacls.exe также относится к средствам поддержки Windows Server 2003.

В центре загрузки Microsoft доступен следующий файл:

Свернуть это изображениеРазвернуть это изображение
Загрузка
Загрузить пакет XCacls_Installer.exe.

Синтаксис Xcacls.exe

xcacls имя_файла [/T] [/E] [/C] [/G пользователь:разрешение;особ_доступ] [/R пользователь] [/P пользователь:разрешение;особ_доступ [...]] [/D пользователь [...]] [/Y]
где имя_файла — имя файла или папки, к которой обычно применяется список или элемент управления доступом. Можно использовать любые стандартные подстановочные знаки.

/T Рекурсивно просмотреть текущую и все вложенные папки, назначая указанные права доступа всем файлам и папкам, которые удовлетворяют требованиям.

/E — редактировать список управления доступом (не заменяя его). Например, после выполнения команды XCACLS test.dat /G Administrator:F доступом к файлу Test.dat обладает только учетная запись администратора. Все примененные ранее элементы управления доступом отменяются.

/C — Xcacls.exe продолжает работу даже после получения сообщения «Отказано в доступе». Если параметр /C не указан, появление этого сообщения приводит к остановке программы.

/G — пользователь:разрешение;особ_доступ Предоставить пользователю доступ к определенному файлу или папке.
  • Переменная разрешение служит для назначения указанных прав доступа к файлам и определения особой маски доступа к файлам для папок. Переменная разрешение принимает следующие значения:
    • R — чтение
    • C — изменение (запись)
    • F — полный доступ
    • P — изменение разрешений (особый доступ)
    • O — смена владельца (особый доступ)
    • X — запуск (особый доступ)
    • E — чтение (особый доступ)
    • W — запись (особый доступ)
    • D — удаление (особый доступ)
  • Переменная особ_доступ (особый доступ) используется только с папками; принимает те же значения, что и переменная разрешение, а также следующее особое значение:
    • T — значение не определено — назначить элемент управления доступом для каталога без указания элемента, который используется для создаваемых в этой папке файлов. Должно быть указано хотя бы одно право доступа. Текст между точкой с запятой (;) и параметром Т не учитывается.

      Примечания.
      • Параметры доступа для файлов (для папок — особого доступа к файлам и папкам) идентичны. Подробное описание этих параметров см. в документации к системе Windows 2000.
      • Прочие параметры (также назначаются в проводнике) представляют собой подмножества всех возможных сочетаний основных прав доступа. По этой причине особые права доступа к папкам (например, LIST или READ) отсутствуют.
/R пользователь Отменить все права доступа для указанного пользователя.

/P пользователь:разрешение;особ_доступ — заменить права доступа для указанного пользователя. Переменные «разрешение» и «особ_доступ» определяются по правилам, описанным для параметра /G. См. раздел "Примеры Xcacls.exe".

/D пользователь — запретить пользователю доступ к файлу или папке.

/Y — Отменить вывод запроса на подтверждение изменения прав доступа. Программа CACLS выводит такой запрос по умолчанию. По этой причине, если команда CACLS используется в составе пакетного файла, его выполнение прерывается до получения ответа на запрос. Параметр /Y используется для подавления вывода окна запроса в случае использования Xcacls.exe в пакетном режиме.

Использование программы Xcacls.exe для просмотра разрешений

Программу Xcacls.exe также можно использовать для просмотра разрешений для файлов и папок. Например, введите в командной строке xcacls C:\winnt и нажмите клавишу ВВОД. Обычно программа возвращает следующий результат.
c:\WINNT BUILTIN\Users:R
           BUILTIN\Users:(OI)(CI)(IO)(special access:)
                                     GENERIC_READ
                                     GENERIC_EXECUTE

           BUILTIN\Power Users:C
           BUILTIN\Power Users:(OI)(CI)(IO)C
           BUILTIN\Administrators:F
           BUILTIN\Administrators:(OI)(CI)(IO)F
           NT AUTHORITY\SYSTEM:F
           NT AUTHORITY\SYSTEM:(OI)(CI)(IO)F
           BUILTIN\Administrators:F
           CREATOR OWNER:(OI)(CI)(IO)F
				
Флаги списка управления доступом имеют следующее значение.
  • IO: Inherit Only (только наследование) — данный элемент управления доступом не применяется к текущему объекту.
  • CI: Container Inherit (наследование контейнерами) — данный элемент управления доступом наследуется контейнерами более низкого уровня.
  • OI: Object Inherit (наследование объектами) — данный элемент управления доступом наследуется файлами более низкого уровня.
  • NP: Non-Propagate (не распространять) — объект более низкого уровня не передает дальше унаследованный элемент управления доступом.
Буква в конце каждой строки означает разрешение. Например:
  • F — полный доступ
  • C — изменение
  • W — запись

Примеры использования Xcacls.exe

Пример 1

Чтобы заменить список ACL для всех файлов и папок в текущей папке без просмотра вложенных папок и вывода запроса на подтверждение, введите в командной строке XCACLS *.* /G administrator:RW /Y и нажмите клавишу ВВОД.

Пример 2

Добавленные в данном примере элементы управления доступом также наследуют элементы управления доступом новых файлов, которые создаются в данной папке. После ввода данной команды пользователь TestUser получает право читать, изменять, запускать и удалять все файлы, которые создаются в данной папке, но имеет разрешение только на чтение и запись для самой папки. Введите в командной строке XCACLS *.* /G TestUser:RWED;RW /E и нажмите клавишу ВВОД.

Пример 3

В данном примере устанавливаются разрешения на чтение и запись в папку без создания наследуемого элемента для новых файлов. По этой причине для пользователя TestUser создаваемым в данной папке файлам не назначается элемент управления доступом. Для существующих файлов создается элемент управления доступом с разрешениями на чтение. Введите в командной строке XCACLS *.* /G TestUser:R;RW /E и нажмите клавишу ВВОД.

Инструкции по назначению разрешений NTFS

Назначая разрешения NTFS, принимайте во внимание следующее.
  • Разрешения NTFS служат для управления доступом к файлам и папкам.
  • Целесообразно устанавливать разрешения для групп, а не отдельных пользователей.
  • Разрешения для файлов имеют преимущество перед разрешениями для папок.
  • Назначением разрешений управляют администраторы и владелец объекта.
  • Изменяя разрешения для папок, помните о программах, которые установлены на сервере. Программы создают собственные папки, для которых устанавливается параметр Переносить наследуемые от родительского объекта разрешения на этот объект. Изменение разрешений в родительской папке может вызвать неполадки в работе программ.

    Предупреждение. Многие файлы и папки получают разрешения через механизм наследования. Следовательно, изменение разрешений для одной папки может повлиять на другие объекты.

Дополнительная информация

Дополнительные сведения см. в следующих статьях базы знаний Майкрософт.
245015 Печать разрешений для папок и файлов из одной папки
135268 Как использовать программу CACLS.EXE в пакетном файле (эта ссылка может указывать на содержимое полностью или частично на английском языке)
Примечание. Это ЭКСПРЕСС-ПУБЛИКАЦИЯ, подготовленная непосредственно службой технической поддержки Майкрософт . Сведения, содержащиеся в данном документе, предоставлены в качестве отклика на возникшие проблемы. Из-за срочности в материалах могут быть опечатки, и в любое время и без уведомления в них могут быть внесены изменения. Чтобы получить дополнительные сведения, см. Условия использования.

Свойства

Код статьи: 318754 - Последний отзыв: 26 февраля 2014 г. - Revision: 1.0
Информация в данной статье относится к следующим продуктам.
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Ключевые слова: 
kbenv kbhowtomaster KB318754

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com