Úprava oprávnění v systému NTFS pomocí nástroje Xcacls.vbs

Překlady článku Překlady článku
ID článku: 825751 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Společnost Microsoft poskytuje aktualizovanou verzi nástroje Extended Change Access Control List (Xcacls.exe), která je k dispozici v podobě skriptu v jazyce Microsoft Visual Basic (Xcacls.vbs). Tento článek podrobně popisuje, jak používat nástroj Xcacls.vbs k úpravě a zobrazení oprávnění souborového systému NTFS u souborů nebo složek. Nástroj Xcacls.vbs lze z příkazového řádku použít k nastavení všech možností zabezpečení systému souborů, které jsou dostupné v Průzkumníku Windows. Nástroj Xcacls.vbs zobrazí a upraví seznamy řízení přístupu (ACL) souborů.

Poznámka: Nástroj Xcacls.vbs je kompatibilní pouze se systémy Microsoft Windows 2000, Microsoft Windows XP a Microsoft Windows Server 2003. Společnost Microsoft jej nepodporuje.

Nastavení a použití nástroje Xcacls.vbs

Chcete-li nastavit a používat nástroj Xcacls.vbs, postupujte takto:
  1. Získejte nejnovější verzi nástroje Xcacls.vbs z následujícího webu společnosti Microsoft:
    http://download.microsoft.com/download/f/7/8/f786aaf3-a37b-45ab-b0a2-8c8c18bbf483/XCacls_Installer.exe
  2. Poklepejte na soubor Xcacls_Installer.exe. Po zobrazení výzvy k zadání umístění pro extrahované soubory zadejte složku, která je nastavena jako vyhledávací cesta počítače, například C:\Windows.
  3. Změňte výchozí skriptovací stroj z nástroje Wscript na Cscript. (Skript Xcacls.vbs funguje nejlépe v nástroji Cscript.) Postupujte tak, že na příkazový řádek zadáte příkaz
    cscript.exe /h:cscript a stisknete klávesu ENTER.
    Poznámka: Změna výchozího skriptovacího stroje na nástroj Cscript ovlivní pouze výpis skriptů na obrazovce. Nástroj Wscript vypisuje každý řádek zvlášť v dialogovém okně OK. Nástroj Cscript vypisuje každý řádek v okně příkazového řádku. Nechcete-li změnit výchozí skriptovací stroj, musíte skript spustit příkazem
    cscript.exe xcacls.vbs
    . V případě změny výchozího stroje na nástroj Cscript se skript spouští příkazem
    xcacls.vbs
    .
  4. Chcete-li zjistit syntaxi příkazu Xcacls.vbs, zadejte na příkazovém řádku příkaz
    xcacls.vbs /?
    .

Syntaxe příkazu Xcacls.vbs

Syntaxi příkazu Xcacls.vbs ukazuje přeložený výstup příkazu xcacls.vbs /?:
Použití: XCACLS název_souboru [/E] [/G uživatel:perm;spec] [...] [/R uživatel [...]] [/F] [/S] [/T] [/P uživatel:perm;spec [...]] [/D uživatel:perm;spec] [...] [/O uživatel] [/I ENABLE/COPY/REMOVE] [/N [/L název_souboru] [/Q] [/DEBUG]

   název_souboru            [Vyžadováno] Pokud je použit samostatně, zobrazí seznamy ACL. (Název_souboru může být název souboru nebo adresáře nebo zástupné znaky a může zahrnovat celou cestu. Pokud cesta není zadána, předpokládá se, že jde o aktuální adresář.) Poznámky: – Pokud parametr název_souboru obsahuje mezery nebo speciální znaky jako & $, # apod., zadejte jej v uvozovkách. – Pokud je parametr název_souboru adresářem, veškeré obsažené soubory a podadresáře NEBUDOU změněny s výjimkou případu, kdy je použit parametr /F nebo S.

   /F                  [používáno spolu s adresářem nebo zástupným znakem] Změní všechny soubory v zadaném adresáři, ale pokud není současně zadán parametr /T, neprochází podadresáře. Pokud je parametr název_souboru adresářem a parametr /F není použit, nebudou změněny žádné soubory.

   /S                  [používáno spolu s adresářem nebo zástupným znakem] Změní všechny podsložky v zadaném adresáři, ale pokud není současně zadán parametr /T, neprochází podadresáře. Pokud je parametr název_souboru adresářem a parametr /S není použit, nebudou změněny žádné podadresáře.

   /T                  [používáno pouze spolu s adresářem] Projde všechny podadresáře a provede příslušné změny. Tento přepínač prochází adresáře, pouze je-li parametr název_souboru adresář nebo jsou-li použity zástupné znaky. /E                  Upraví seznam ACL namísto jeho nahrazení.

   /G uživatel:GUI         Udělí oprávnění zabezpečení podobné standardním (neupřesněným) možnostem grafického rozhraní systému Windows. /G uživatel:Perm;Spec   Udělí zadaná uživatelská přístupová práva. (Parametr /G přidává práva ke stávajícím právům uživatele.)

                       Uživatel: Pokud parametr Uživatel obsahuje mezery, uzavřete jej do uvozovek. Pokud parametr Uživatel obsahuje název počítače #machine#, bude tento název nahrazen názvem aktuálního počítače, avšak pouze v případě, že se nejedná o řadič domény. Jde-li o řadič domény, bude nahrazen názvem aktuální domény.

                             Novinky ve verzi 3.0: Parametr Uživatel může být řetězcem reprezentujícím aktuální číslo SID, ale musí začínat řetězcem SID#. Například: SID#S-1-5-21-2127521184-160... (Uvedený řetězec SID byl zkrácen. Pokud některý uživatel obsahuje řetězec SID#, pak se všechny shody musí globálně shodovat s číslem SID (nikoliv se jménem). To znamená, že pokud chcete změny uplatnit na všechny účty, které se shodují se specifikací Doména\Uživatel, nezadávejte číslo SID# jako jednoho z uživatelů.)

                       GUI: Používá se pro standardní práva a může nabývat těchto hodnot: Oprávnění... F  Úplné řízení M  Upravit X  Číst a spouštět L  Zobrazovat obsah složky R  Číst W  Zapisovat Poznámka: Pokud je použit středník, bude parametr považován za párový parametr Perm;Spec.

                       Perm: Je určen pouze pro soubory a může nabývat těchto hodnot: Oprávnění... F  Úplné řízení M Upravit X Číst a spouštět R  Číst W  Zapisovat Upřesnění... D  Přebírat vlastnictví C  Měnit oprávnění B  Číst oprávnění A  Odstraňovat 9  Zapisovat atributy 8  Číst atributy 7  Odstraňovat podsložky a soubory 6  Procházet složkou/Spouštět soubor 5  Zapisovat rozšířené atributy 4  Číst rozšířené atributy  3  Vytvářet složky/Připojovat data 2  Vytvářet soubory/Zapisovat data 1  Zobrazovat obsah složky/Číst data Parametr Spec je určen pouze pro složky a podsložky a může nabývat stejných hodnot jako parametr Perm.

   /R uživatel             Odvolá zadaná uživatelská přístupová práva. (Odebere uživateli všechny seznamy ACL Povoleno nebo Odepřeno.)

   /P uživatel:GUI         Nahradí oprávnění podobná standardním možnostem.

   /R uživatel:perm;spec   Nahradí zadaná uživatelská přístupová práva. Specifikaci přístupových práv najdete v možnostech parametru /G. (Nejsou-li pro uživatele zadána práva, parametr /P se chová jako parametr /G.)

   /D uživatel:GUI         Odepře oprávnění zabezpečení podobná standardním možnostem.
   /D uživatel:perm;spec   Odepře zadaná uživatelská přístupová práva. Specifikaci přístupových práv najdete v možnostech parametru /G. (Parametr /D přidává práva ke stávajícím právům uživatele.)

   /O uživatel             Změní vlastnictví na tohoto uživatele nebo skupinu.

   /I přepínač           Příznak dědičnosti.  Je-li příznak vynechán, výchozím nastavením je neměnit zděděné seznamy ACL. Přepínač může nabývat těchto hodnot: ENABLE – Zapne příznak dědičnosti, pokud již není zapnutý. COPY   – Vypne příznak dědičnosti a zkopíruje zděděné seznamy ACL do efektivních seznamů ACL. REMOVE – Vypne příznak dědičnosti a nezkopíruje zděděné seznamy ACL. Jedná se o opak přepínače ENABLE. Pokud přepínač není zadán, bude parametr /I ignorován a zděděné seznamy ACL zůstanou beze změny.

   /L název_souboru         Název souboru pro protokolování. Pokud soubor není v aktuálním adresáři, může tento název obsahovat cestu. Soubor bude připojen nebo vytvořen (pokud dosud neexistuje). Pokud soubor již existuje, musí se jednat o textový soubor. Jinak dojde k chybě.

                       Je-li název souboru vynechán, jako výchozí název bude použit XCACLS.

   /Q                  Zapne tichý režim.  Ve výchozím nastavení je tato možnost vypnuta. Je-li zapnuta, na obrazovce se nic nezobrazí.


   /DEBUG                  Zapne režim ladění. Ve výchozím nastavení je tato možnost vypnuta. Je-li zapnuta, zobrazí se nebo bude protokolováno větší množství informací. Zobrazí se zahájení a ukončení procedury Sub a funkce Function stejně jako další důležité informace.

   /SERVER název_serveru  Zde zadejte vzdálený server, vůči kterému bude skript spuštěn.

   /USER jméno_uživatele      Zde zadejte jméno uživatele, které chcete použít pro vzdálené připojení (vyžaduje parametr PASS).  Pokud je parametr zadán pro místní připojení, bude ignorován.

   /PASS heslo      Zde zadejte heslo pro parametr USER (vyžaduje parametr USER).


Pro zadání více než jednoho souboru lze v tomto příkazu použít zástupné znaky, například: *       Jakýkoliv řetězec obsahující 0 nebo více znaků ?       Jakýkoliv jednotlivý znak

V příkazu lze zadat více než jednoho uživatele. Přístupová práva lze kombinovat.


Použití nástroje Xcacls.vbs k zobrazení oprávnění


Nástroj Xcacls.vbs lze použít také pro zobrazení oprávnění k souborům nebo složkám. Oprávnění například ke složce C:\Test zobrazíte zadání následujícího příkazu do příkazového řádku a stisknutím klávesy ENTER:
xcacls.vbs c:\test
V obvyklém případě je výsledek následující:
C:\> XCACLS.VBS c:\test Microsoft (R) Windows Script Host Version 5.6 Copyright (C) Microsoft Corporation 1996-2001. All rights reserved. (Všechna práva vyhrazena.)

Starting XCACLS.VBS (Version: 3.4) Script at 6/11/2003 10:55:21 AM (Spuštění skriptu XCACLS.VBS (verze: 3.4) 11. 6. 2003 10:55:21)

Startup directory: (Spuštěno v adresáři:) "C:\test"

Arguments Used: (Použité argumenty:) Filename = "c:\test"



************************************************************************** Directory: C:\test (Adresář C:\test)

Permissions: (Oprávnění:) Type (Typ)    Username (Uživatelské jméno)               Permissions (Oprávnění)          Inheritance (Dědičnost)

Allowed (Povoleno)  BUILTIN\Administrators  Full Control (Úplné řízení)          This Folder, Subfolde (Tato složka, podsložky, ...) Allowed (Povoleno)  NT AUTHORITY\SYSTEM     Full Control (Úplné řízení)          This Folder, Subfolde (Tato složka, podsložky, ...) Allowed (Povoleno)  Domain1\User1           Full Control (Úplné řízení)          This Folder Only (Pouze tato složka) Allowed (Povoleno)  \CREATOR OWNER          Special (Unknown) (Speciální (Neznámá))    Subfolders and Files (Podsložky a soubory) Allowed (Povoleno)  BUILTIN\Users           Read and Execute (Číst a spouště)     This Folder, Subfolde (Tato složka, podsložky, ...) Allowed (Povoleno)  BUILTIN\Users           Create Folders / Appe (Vytvářet složky / Připojovat data) This Folder and Subfo (Tato složka a podsložky) Allowed (Povoleno)  BUILTIN\Users           Create Files / Write (Vytvářet soubory / Zapisovat data) This Folder and Subfo (Tato složka a podsložky)

No Auditing set (Auditování nebylo nastaveno.)

Owner: Domain1\User1 (Vlastník: Domain1\User1)


Poznámka: Výstup příkazu xcacls.vbs c:\test v tomto příkladu odpovídá textu zobrazenému v grafickém uživatelském rozhraní. Některá slova v okně příkazu jsou neúplná.

Výstup obsahuje také verzi skriptu, spouštěcí adresář a použité argumenty.

Pro zobrazení určitých souborů v adresáři lze použít také zástupné znaky. Například po zadání příkazu
xcacls.vbs c:\test\*.log
budou zobrazeny všechny soubory s příponou LOG umístěné ve složce C:\Test.

Příklady


Následující příkazy poskytují několik příkladů použití skriptu Xcacls.vbs.

xcacls.vbs c:\test\ /g domena\uzivatel_test1:f /f /t /e
Příkaz upraví stávající oprávnění. Uživateli domena\uzivatel_test1 udělí úplné řízení pro všechny soubory ve složce C:\Test, projde podsložky v této složce a poté změní všechny nalezené soubory. Příkaz nemění adresáře.
xcacls.vbs c:\test\ /g domena\uzivatel_test1:f /s /l "c:\xcacls.log"
Tento příkaz nahradí stávající oprávnění. Uživateli domena\uzivatel_test1 udělí úplné řízení pro všechny podsložky ve složce C:\Test a provede protokolování do souboru C:\Xcacls.log. Příkaz nemění soubory a neprochází adresáře.
xcacls.vbs c:\test\readme.txt /o "pocitac_a\skupina1"
Tento příkaz změní vlastníka souboru Readme.txt na skupinu pocitac_a\skupina1.
xcacls.vbs c:\test\badcode.exe /r "pocitac\skupina1" /r "domena\uzivatel_test1"
Příkaz zruší oprávnění k souboru C:\Test\Badcode.exe pro skupinu pocitac_a\skupina1 a pro uživatele domena\uzivatel_test1.
xcacls.vbs c:\test\testovaci_adresar_1 /i enable /q
Příkaz zapne dědičnost pro složku c:\test\testovaci_adresar_1. Potlačí jakýkoliv výstup na obrazovku.
xcacls.vbs \\server_a\sdilena_polozka_z\testovaci_stranka.htm /p "domena\skupina2":14
Příkaz se vzdáleně připojí k položce \\server_a\sdilena_polozka_z pomocí služby WMI (Windows Management Instrumentation). Poté získá lokální cestu pro tuto sdílenou položku a v této cestě změní oprávnění k souboru testovaci_stranka.htm. Ponechá stávající oprávnění skupiny domena/skupina2, ale přidá oprávnění 1 (číst data) a 4 (číst rozšířené atributy). Příkaz zruší ostatní oprávnění k souboru, protože nebyl použit parametr /e.
xcacls.vbs d:\vychozi_stranka.htm /g "domena\skupina2":f /server server_a /uzivatel server_a\spravce /pass heslo /e
Tento příkaz použije služby WMI pro vzdálené připojení uživatele server_a\spravce k serveru server_a a pak skupině domena\skupina2 udělí úplná oprávnění k souboru vychozi_stranka.htm. Stávající oprávnění pro skupinu domena\skupina2 jsou zrušena, ostatní oprávnění k souboru zůstanou v platnosti.

Odkazy

Další informace o použití nástroje Xcacls.exe najdete v následujícím článku znalostní báze Microsoft Knowledge Base:
318754 Úprava oprávnění v systému souborů NTFS pomocí nástroje Xcacls.exe (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

Vlastnosti

ID článku: 825751 - Poslední aktualizace: 12. září 2006 - Revize: 2.3
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
Klíčová slova: 
kbhowtomaster KB825751

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com