Cikk azonosítója: 825751 - Utolsó ellenőrzés: 2006. január 17. - Verziószám: 2.3

NTFS-engedélyek módosítása az Xcacls.vbs eszközzel

A cikkben érintett termékek listájának megtekintése.
RendszertippA jelen cikk az Ön által használttól eltérő operációs rendszerre vonatkozik. A cikk azon tartalmait, amelyek nem relevánsak Önnek, letiltjuk.

A lap tartalma

Az összes kibontása | Az összes összecsukása

Összefoglaló

Az Xcacls.exe eszköz frissített verziója letölthető Microsoft Visual Basic parancsfájlként (Xcacls.vbs) a Microsoft webhelyéről. Ez a részletes útmutató azt ismerteti, hogy miként használható az Xcacls.vbs parancsfájl az egyes fájlok és mappák NTFS fájlrendszerbeli engedélyeinek módosításához és megtekintéséhez. Az Xcacls.vbs eszközzel a parancssorban megadható a Windows Intéző programban elérhető összes fájlrendszer-biztonsági beállítás. Az eszköz a fájlok hozzáférés-szabályozási listáit (ACL) jeleníti meg és módosítja.

Megjegyzés: Az Xcacls.vbs eszköz csak a Microsoft Windows 2000, a Microsoft Windows XP és a Microsoft Windows Server 2003 rendszerben működik, és a Microsoft nem nyújt hozzá terméktámogatást.

A lap tetejére

Az Xcacls.vbs eszköz telepítése és használata

Az eszköz telepítéséhez és használatához az alábbi műveleteket kell végrehajtani.
  1. Töltse le az Xcacls.vbs fájl legújabb verzióját a Microsoft webhelyéről:
    http://download.microsoft.com/download/f/7/8/f786aaf3-a37b-45ab-b0a2-8c8c18bbf483/XCacls_Installer.exe (http://download.microsoft.com/download/f/7/8/f786aaf3-a37b-45ab-b0a2-8c8c18bbf483/XCacls_Installer.exe)
  2. Kattintson duplán az Xcacls_Installer.exe fájlra. A kicsomagolt fájlok tárolási helyeként adjon meg egy olyan mappát, amely a számítógép keresési útvonalán található (például C:\Windows).
  3. Az alapértelmezett Wscript parancsértelmező helyett adja meg a Cscript parancsértelmezőt. (Az Xcacls.vbs parancsfájl a Cscript parancsértelmezőben működik a leghatékonyabban.) Ehhez írja be a következő parancsot a parancssorba, majd nyomja meg az ENTER billentyűt:
    cscript.exe /h:cscript
    Megjegyzés: A Cscript parancsértelmező alapértelmezettként történő megadása csak arra van hatással, hogy a parancsfájlok hogyan írnak a képernyőre. A Wscript parancsértelmező minden egyes sort egy OK gombot tartalmazó párbeszédpanelre ír, míg a Cscript a parancssorablakban jeleníti meg a sorokat. Ha nem szeretne az alapértelmezett parancsértelmező helyett másikat megadni, akkor a parancsfájlt a következő paranccsal kell futtatnia:
    cscript.exe xcacls.vbs
    Amennyiben a Cscript parancsértelmezőt teszi alapértelmezetté, a parancsfájl az alábbi paranccsal futtatható:
    xcacls.vbs
  4. Az Xcacls.vbs eszköz parancssori szintaxisának megtekintéséhez írja be a következő parancsot a parancssorba:
    xcacls.vbs /?

Az Xcacls.vbs parancs szintaxisa

Az xcacls.vbs /? parancs hatására megjelenő parancskimenet ismerteti az Xcacls.vbs eszköz parancsszintaxisát.
Usage: XCACLS filename [/E] [/G user:perm;spec] [...] [/R user [...]] [/F] [/S] [/T] [/P user:perm;spec [...]] [/D user:perm;spec] [...] [/O user] [/I ENABLE/COPY/REMOVE] [/N [/L filename] [/Q] [/DEBUG]

   filename            [Required] If used alone, it displays ACLs. (Filename can be a filename, directory name or wildcard characters and can include the whole path. If path is missing, it is assumed to be under the current directory.) Notes: - Put filename in quotes if it has spaces or special characters such as &, $, #, etc. - If filename is a directory, all files and subdirectories under it will NOT be changed unless the /F or S is present.

   /F                  [Used with Directory or Wildcard] This will change all files under the inputted directory but will NOT traverse subdirectories unless /T is also present. If filename is a directory, and /F is not used, no files will be touched.

   /S                  [Used with Directory or Wildcard] This will change all subfolders under the inputted directory but will NOT traverse subdirectories unless /T is also present. If filename is a directory, and /S is not used, no subdirectories will be touched.

   /T                  [Used only with a Directory] Traverses each subdirectory and makes the same changes. This switch will traverse directories only if the filename is a directory or is using wildcard characters. /E                  Edit ACL instead of replacing it.

   /G user:GUI         Grant security permissions similar to Windows GUI standard (non-advanced) choices. /G user:Perm;Spec   Grant specified user access rights. (/G adds to existing rights for user)

                       User: If User has spaces in it, enclose it in quotes. If User contains #machine#, it will replace #machine# with the actual machine name if it is a non-domain controller, and replace it with the actual domain name if it is a domain controller.

                             New to 3.0: User can be a string representing the actual SID, but MUST be lead by SID# Example: SID#S-1-5-21-2127521184-160... (SID string shown has been shortened) (If any user has SID# then globally all matches must match the SID (not name) so if your intention is to apply changes to all accounts that match Domain\User then do not specify SID# as one of the users.)

                       GUI: Is for standard rights and can be: Permissions... F  Full control M  Modify X  read and eXecute L  List folder contents R  Read W  Write Note: If a ; is present, this will be considered a Perm;Spec parameter pair.

                       Perm: Is for "Files Only" and can be: Permissions... F  Full control M  Modify X  read and eXecute R  Read W  Write Advanced... D  Take Ownership C  Change Permissions B  Read Permissions A  Delete 9  Write Attributes 8  Read Attributes 7  Delete Subfolders and Files 6  Traverse Folder / Execute File 5  Write Extended Attributes 4  Read Extended Attributes 3  Create Folders / Append Data 2  Create Files / Write Data 1  List Folder / Read Data Spec is for "Folder and Subfolders only" and has the same choices as Perm.

   /R user             Revoke specified user's access rights. (Will remove any Allowed or Denied ACL's for user.)

   /P user:GUI         Replace security permissions similar to standard choices.

   /P user:perm;spec   Replace specified user's access rights. For access right specification see /G option. (/P behaves like /G if there are no rights set for user.)

   /D user:GUI         Deny security permissions similar to standard choices.
   /D user:perm;spec   Deny specified user access rights. For access right specification see /G option. (/D adds to existing rights for user.)

   /O user             Change the Ownership to this user or group.

   /I switch           Inheritance flag.  If omitted, the default is to not touch Inherited ACL's. Switch can be: ENABLE - This will turn on the Inheritance flag if it is not on already. COPY   - This will turn off the Inheritance flag and copy the Inherited ACL's into Effective ACL's. REMOVE - This will turn off the Inheritance flag and will not copy the Inherited ACL's.  This is the opposite of ENABLE. If switch is not present, /I will be ignored and Inherited ACL's will remain untouched.

   /L filename         Filename for Logging. This can include a path name if the file is not under the current directory. File will be appended to, or created if it does not exit. Must be Text file if it exists or error will occur.

                       If filename is omitted, the default name of XCACLS will be used.

   /Q                  Turn on Quiet mode.  By default, it is off. If it is turned on, there will be no display to the screen.


   /DEBUG              Turn on Debug mode. By default, it is off. If it is turned on, there will be more information displayed and/or logged. Information will show Sub/Function Enter and Exit as well as other important information.

   /SERVER servername  Enter a remote server to run script against.

   /USER username      Enter Username to impersonate for Remote Connections (requires PASS switch).  Will be ignored if it is for a Local Connection.

   /PASS password      Enter Password to go with USER switch (requires USER switch).


Wildcard characters can be used to specify more than one file in a command, such as: *       Any string of zero or more characters ?       Any single character

You can specify more than one user in a command. You can combine access rights.


Engedélyek megtekintése az Xcacls.vbs eszközzel


Az Xcacls.vbs eszköz fájlok és mappák engedélyeinek megtekintéséhez is használható. A C:\test mappa esetén például a következő parancsot beírva, majd az ENTER billentyűt megnyomva tekinthetők meg a mappa engedélyei:
xcacls.vbs c:\test
Az alábbi példa általános eredményt szemléltet.
C:\>XCACLS.VBS c:\test Microsoft (R) Windows Script Host Version 5.6 verzió Copyright (C) Microsoft Corporation 1996-2001. Minden jog fenntartva.

Starting XCACLS.VBS (Version: 3.4) Script at 6/11/2003 10:55:21 AM

Startup directory: "C:\test"

Arguments Used: Filename = "c:\test"



************************************************************************** Directory: C:\test

Permissions: Type     Username                Permissions           Inheritance

Allowed  BUILTIN\Administrators  Full Control          This Folder, Subfolde Allowed  NT AUTHORITY\SYSTEM     Full Control          This Folder, Subfolde Allowed  Domain1\User1           Full Control          This Folder Only Allowed  \CREATOR OWNER          Special (Unknown)     Subfolders and Files Allowed  BUILTIN\Users           Read and Execute      This Folder, Subfolde Allowed  BUILTIN\Users           Create Folders / Appe This Folder and Subfo Allowed  BUILTIN\Users           Create Files / Write  This Folder and Subfo

No Auditing set

Owner: Domain1\User1


Megjegyzés: Az xcacls.vbs c:\test parancs kimenete ebben a példában a grafikus felhasználói felületen megjelenő szöveggel azonos. A parancsablakban egyes szavak csak részlegesen jelennek meg.

A kimenet tartalmazza a parancsfájl verziószámát, az indítási könyvtárat, valamint a parancshoz megadott argumentumokat.

A könyvtárban található, a feltételeknek eleget tevő fájlok megjelenítéséhez helyettesítő karakterek is megadhatók: a következő parancsot beírva például a C:\test mappában lévő összes, .log kiterjesztésű fájlt megjeleníti a program:
xcacls.vbs c:\test\*.log

Példák


Az Xcacls.vbs eszköz alábbi parancspéldái az alkalmazás használatához nyújtanak segítséget.

xcacls.vbs c:\test\ /g domain\testuser1:f /f /t /e
Ezzel a paranccsal módosíthatók a már létező engedélyek. A parancs teljes ellenőrzést engedélyez a Domain\TestUser1 felhasználónak a C:\test mappában lévő összes fájlra nézve, bejárja a C:\test mappa almappáit, majd módosítja a talált fájlokat. A parancs nincs hatással a könyvtárakra.
xcacls.vbs c:\test\ /g domain\testuser1:f /s /l "c:\xcacls.log"
Ez a parancs felülírja a létező engedélyeket. A parancs teljes ellenőrzést engedélyez a Domain\TestUser1 felhasználónak a C:\test mappában lévő összes almappára nézve, és a C:\Xcacls.log nevű naplófájlba írja az eredményt. A parancs nincs hatással a fájlokra, és nem járja be a könyvtárakat.
xcacls.vbs c:\test\readme.txt /o "machinea\group1"
Ez a parancs a MachineA\Group1 csoportot teszi a Readme.txt fájl tulajdonosává.
xcacls.vbs c:\test\badcode.exe /r "machinea\group1" /r "domain\testuser1"
Ezzel a paranccsal visszavonhatók a MachineA\Group1 csoport és a Domain\TestUser1 felhasználó C:\Test\Badcode.exe fájlra vonatkozó engedélyei.
xcacls.vbs c:\test\subdir1 /i enable /q
Ezzel a paranccsal engedélyezhető az öröklés a C:\Test\Subdir1 mappára nézve. A parancs nem jelenít meg semmit a képernyőn.
xcacls.vbs \\servera\sharez\testpage.htm /p "domain\group2":14
Ezzel a paranccsal távoli kapcsolat hozható létre a \\ServerA\ShareZ megosztással a Windows Management Instrumentation (WMI) szolgáltatást alkalmazva. A parancs ezt követően beolvassa a megosztás helyi elérési útját, majd ezen az útvonalon módosítja a Testpage.htm weblap engedélyeit. Érintetlenül hagyja a Domain\Group2 csoport engedélyeit, de hozzáadja az 1-es (adatolvasási) és a 4-es (kiterjesztett attribútumokra vonatkozó) olvasási engedélyt. A parancs törli a fájl egyéb engedélyeit, mivel nem lett megadva az /e kapcsoló.
xcacls.vbs d:\default.htm /g "domain\group2":f /server servera /user servera\admin /pass jelszó /e
Ez a parancs távoli kapcsolatot létesít a WMI szolgáltatáson keresztül ServerA\Admin felhasználóként a ServerA kiszolgálóval, majd teljes körű engedélyeket biztosít a Domain\Group2 csoportnak a Default.htm fájlhoz. A Domain\Group2 csoport meglévő engedélyei elvesznek, a fájl egyéb engedélyei azonban változatlanul megmaradnak.
A lap tetejére

Hivatkozások

Az Xcacls.exe eszköz használatáról további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
318754  (http://support.microsoft.com/kb/318754/ ) NTFS-engedélyek módosítása az Xcacls.exe eszközzel (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
A lap tetejére
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
A lap tetejére
Kulcsszavak: 
kbhowtomaster KB825751
A lap tetejére
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.