Jak modyfikować uprawnienia systemu NTFS przy użyciu skryptu Xcacls.vbs

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 825751 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

Firma Microsoft udostępniła zaktualizowaną wersję narzędzia obsługującego rozszerzoną listę kontroli zmian (Xcacls.exe) w formie skryptu programu Microsoft Visual Basic (Xcacls.vbs). W tym artykule omówiono krok po kroku procedurę używania skryptu Xcacls.vbs do modyfikowania i przeglądania uprawnień systemu NTFS dotyczących plików lub folderów. Korzystając ze skryptu Xcacls.vbs w wierszu polecenia, można konfigurować wszystkie opcje zabezpieczeń systemu plików, dostępne w Eksploratorze Windows firmy Microsoft. Skrypt Xcacls.vbs wyświetla i modyfikuje listy kontroli dostępu (ACL) do plików.

Uwaga Skrypt Xcacls.vbs jest zgodny tylko z systemami Microsoft Windows 2000, Microsoft Windows XP i Microsoft Windows Server 2003. Firma Microsoft nie zapewnia pomocy technicznej związanej ze skryptem Xcacls.vbs.

Konfigurowanie i używanie skryptu Xcacls.vbs

Aby skonfigurować skrypt Xcacls.vbs i korzystać z niego, wykonaj następujące kroki:
  1. Pobierz najnowszą wersję skryptu Xcacls.vbs z następującej witryny firmy Microsoft z sieci Web:
    http://download.microsoft.com/download/f/7/8/f786aaf3-a37b-45ab-b0a2-8c8c18bbf483/XCacls_Installer.exe
  2. Kliknij dwukrotnie plik Xcacls_Installer.exe. Po wyświetleniu monitu o wskazanie lokalizacji, w której zostaną umieszczone wyodrębnione pliki, określ folder uwzględniony w ustawieniu ścieżki wyszukiwania, taki jak C:\Windows.
  3. Zmień domyślny aparat obsługi skryptów z Wscript na Cscript. (Skrypt Xcacls.vbs działa najlepiej w aparacie Cscript). Aby to zrobić, wpisz następujące polecenie w wierszu polecenia, a następnie naciśnij klawisz ENTER:
    cscript.exe /h:cscript
    Uwaga Zmiana domyślnego aparatu obsługi Cscript dotyczy tylko sposobu wyświetlania przez skrypty informacji na ekranie. Aparat Wscript wyświetla indywidualne wiersze w oknie dialogowym z przyciskiem OK. Aparat Cscript wyświetla każdy wiersz w oknie wiersza polecenia. Jeśli nie chce się zmieniać domyślnego aparatu obsługi skryptów, należy uruchomić skrypt przy użyciu następującego polecenia:
    cscript.exe xcacls.vbs
    Aby zmienić aparat domyślny na Cscript, należy uruchomić skrypt przy użyciu następującego polecenia:
    xcacls.vbs
  4. Aby wyświetlić składnię polecenia Xcacls.vbs, wpisz następujące polecenie w wierszu polecenia:
    xcacls.vbs /?

Składnia polecenia Xcacls.vbs

Następujące dane wyjściowe polecenia xcacls.vbs /? opisują składnię polecenia Xcacls.vbs:
Użycie: XCACLS nazwa_pliku	[/E] [/G użytkownik:uprawnienia;specyfikacje] [...] [/R użytkownik [...]] 
				[/F] [/S] [/T] 
				[/P użytkownik:uprawnienia;specyfikacje [...]] [/D użytkownik:uprawnienia;specyfikacje] [...] 
				[/O użytkownik] [/I ENABLE/COPY/REMOVE] [/N 
				[/L nazwa_pliku] [/Q] [/DEBUG]

   nazwa_pliku		[Wymagana] Jeżeli jest używana bez innych parametrów, umożliwia wyświetlenie list ACL. 
			(Nazwa_pliku może być nazwą pliku, nazwą katalogu lub symbolami wieloznacznymi i może zawierać całą ścieżkę. 
			Jeżeli ścieżka nie zostanie określona, przyjmowany jest bieżący katalog). 
			Uwagi: - Nazwa_pliku musi być wpisana w cudzysłowie, jeżeli zawiera spacje lub znaki specjalne, 
			takie jak &, $, #, itp. - Jeżeli nazwa_pliku jest nazwą katalogu, 
			wszystkie pliki i podkatalogi w tym katalogu zostaną zmienione TYLKO wówczas, gdy użyty jest przełącznik /F lub S.

   /F			[Używany w przypadku katalogu lub symbolu wieloznacznego] 
			Powoduje zmianę wszystkich plików w określonym katalogu, 
			jednak przejście przez podkatalogi następuje TYLKO wówczas, 
			gdy użyty jest również przełącznik /T. Jeżeli nazwa określa katalog, 
			a przełącznik /F nie jest użyty, żadne atrybuty plików nie zostaną zmienione.

   /S			[Używany w przypadku katalogu lub symbolu wieloznacznego] 
			Powoduje zmianę wszystkich podfolderów w określonym katalogu, 
			jednak przejście przez podkatalogi następuje TYLKO wówczas, 
			gdy użyty jest również przełącznik /T. Jeżeli nazwa określa plik, 
			a przełącznik /S nie jest użyty, żadne atrybuty podkatalogów nie zostaną zmienione.

   /T			[Używany tylko w przypadku katalogu] 
			Powoduje przejście przez wszystkie podkatalogi i wprowadzenie identycznych zmian. 
			Ten przełącznik powoduje przejście przez katalogi tylko wówczas, 
			gdy nazwa określa katalog lub zawiera symbole wieloznaczne.
   
   /E			Edytowanie zamiast zastępowania listy ACL.

   /G użytkownik:GUI	Udzielenie uprawnień zabezpieczeń podobnych do standardowych 
			(nie zaawansowanych) opcji graficznego interfejsu użytkownika (GUI) systemu Windows. 

  /G użytkownik:uprawnienia;specyfikacje	Udzielenie praw dostępu określonemu użytkownikowi. 
						(Przełącznik /G powoduje rozszerzenie zakresu praw użytkownika).

            Użytkownik: Jeżeli nazwa użytkownika zawiera spacje, powinna być wpisana w cudzysłowie. 
			Jeżeli nazwa użytkownika zawiera tekst #machine#, tekst ten zostanie zastąpiony rzeczywistą nazwą urządzenia,
			jeśli ten komputer nie jest kontrolerem domeny, lub rzeczywistą nazwą domeny,
			jeśli ten komputer jest kontrolerem domeny.

                     Nowa funkcja w wersji 3.0: Nazwa użytkownika może być ciągiem reprezentującym rzeczywisty identyfikator SID, 
						jednak MUSI być wpisana z prefiksem „SID#”. Przykład: SID#S-1-5-21-2127521184-160... 
						(powyższy ciąg SID skrócono). (Jeżeli w dowolnej nazwie użytkownika uwzględniono prefiks „SID#”, 
						wszystkie odpowiedniki na skalę globalną muszą być zgodne z identyfikatorem SID, a nie z nazwą, 
						dlatego jeżeli zmiany powinny być zastosowane w odniesieniu do wszystkich kont zgodnych z wzorcem 
						Domena\użytkownik, nie należy używać prefiksu „SID#” w jednej z nazw użytkowników).

            GUI: Określa standardowe prawa i może przyjmować następujące wartości: 
		   Uprawnienia... 
			F  Pełna kontrola 
			M  Modyfikacja 
			X  Odczyt i wykonywanie 
			L  Wyświetlanie zawartości folderu 
			R  Odczyt W  Zapis 
		   Uwaga: Jeżeli używany jest średnik (;), 
		   uwzględniana jest para parametrów uprawnienia;specyfikacje.

            Uprawnienia: Dotyczy tylko plików i może przyjmować następujące wartości: 
		  Uprawnienia... 
			F  Pełna kontrola 
			M  Modyfikacja 
			X  Odczyt i wykonywanie 
			R  Odczyt 
			W  Zapis 
		  Zaawansowane... 
			D  Przejęcie na własność 
			C  Zmiana uprawnień 
			B  Odczyt uprawnień 
			A  Usuwanie 
			9  Zapis atrybutów 
			8  Odczyt atrybutów 
			7  Usuwanie podfolderów i plików 
			6  Przechodzenie przez folder/Wykonywanie pliku 
			5  Zapis atrybutów rozszerzonych 
			4  Odczyt atrybutów rozszerzonych 
			3  Tworzenie folderów/Dołączanie danych 
			2  Tworzenie plików/Zapis danych 
			1  Wyświetlanie zawartości folderu/Odczyt danych Parametr 
		  Specyfikacje dotyczy tylko folderów i podfolderów i przyjmuje takie same wartości, 
		  jak parametr Uprawnienia.

   /R użytkownik           			Odwołanie praw dostępu określonego użytkownika. 
						(Powoduje usunięcie wszelkich list ACL zezwalania lub odmawiania, przypisanych do danego użytkownika).

   /P użytkownik:GUI         			Zastąpienie uprawnień zabezpieczeń podobnych do opcji standardowych.

   /P użytkownik:uprawnienia;specyfikacje	Zastąpienie praw dostępu określonego użytkownika. 
						Specyfikacje praw dostępu omówiono w punkcie dotyczącym opcji /G. 
						(Przełącznik /P działa tak jak przełącznik /G, jeżeli żadne prawa nie 
						zostały skonfigurowane dla danego użytkownika).

   /D użytkownik:GUI				Odmowa uprawnień zabezpieczeń podobnych do opcji standardowych.
   /D użytkownik:uprawnienia;specyfikacje	Odmowa praw dostępu określonego użytkownika. 
						Specyfikacje praw dostępu omówiono w punkcie dotyczącym opcji /G. 
						(Przełącznik /D powoduje rozszerzenie zakresu praw użytkownika).

   /O użytkownik				Zmiana własności określonego użytkownika lub grupy.

   /I przełącznik				Flaga dziedziczenia.  Jeżeli flaga zostanie pominięta, 
						domyślnie atrybuty dziedziczonych list ACL nie są zmieniane. 
						Przełącznik przyjmuje następujące wartości: 
						ENABLE - Włączenie flagi dziedziczenia, jeżeli nie została jeszcze włączona. 
						COPY   - Wyłączenie flagi dziedziczenia i skopiowanie dziedziczonych 
						list ACL do grupy aktywnych list ACL. 
						REMOVE - Wyłączenie flagi dziedziczenia i pominięcie kopiowania dziedziczonych list ACL. 
						Przeciwieństwo wartości ENABLE. Jeżeli przełącznik nie jest użyty, 
						flaga /I jest ignorowana i atrybuty dziedziczonych list ACL nie są zmieniane.

   /L nazwa_pliku				Nazwa pliku na potrzeby rejestrowania. Może zawierać nazwę ścieżki, 
						jeżeli dany plik nie znajduje się w bieżącym katalogu. 
						Plik zostanie uzupełniony lub utworzony, jeżeli nie istnieje. 
						Należy określić plik tekstowy, jeżeli dany plik istnieje, aby zapobiec wystąpieniu błędu.

                       				Jeżeli nazwa_pliku zostanie pominięta, używana będzie nazwa domyślna XCACLS.

   /Q                  				Włączenie trybu cichego.  Domyślnie ten tryb jest wyłączony. 
						Po włączeniu tego trybu żadne informacje nie będą wyświetlane na ekranie.


   /DEBUG              				Włączenie trybu debugowania. Domyślnie ten tryb jest wyłączony. 
						Po włączeniu tego trybu większa ilość informacji będzie wyświetlana i/lub rejestrowana. 
						Przykładem mogą być informacje dotyczące rozpoczęcia i zakończenia procedury/funkcji 
						oraz inne ważne informacje.

   /SERVER nazwa_serwera  			Należy wprowadzić serwer zdalny używany do uruchamiania skryptu.

   /USER nazwa_użytkownika      		Należy wprowadzić nazwę użytkownika w celu personifikacji połączeń zdalnych 
						(wymagany jest przełącznik PASS).  
						Ten przełącznik zostanie zignorowany w przypadku połączenia lokalnego.

   /PASS hasło      				Należy wprowadzić hasło dla przełącznika USER (wymagany jest przełącznik USER).


Symbole wieloznaczne mogą być używane do określenia kilku plików w poleceniu, na przykład: 
					*       Dowolny ciąg składający się z zera znaków lub większej liczby znaków 
					?       Dowolny pojedynczy znak

W poleceniu można określić kilku użytkowników. Można łączyć prawa dostępu.


Używanie skryptu Xcacls.vbs do przeglądania uprawnień


Korzystając ze skryptu Xcacls.exe, można również przeglądać uprawnienia dotyczące plików lub folderów. Na przykład w przypadku folderu o nazwie C:\Test należy wpisać następujące polecenie w wierszu polecenia, aby wyświetlić uprawnienia dotyczące tego folderu, a następnie nacisnąć klawisz ENTER:
xcacls.vbs c:\test
Typowe dane wyjściowe są następujące:
C:\>XCACLS.VBS c:\test 
Microsoft (R) Windows Script Host Version 5.6 
Copyright (C) Microsoft Corporation 1996-2001. All rights reserved.

Starting XCACLS.VBS (Version: 3.4) Script at 6/11/2003 10:55:21 AM

Startup directory: 
"C:\test"

Arguments Used: Filename = 
"c:\test"



************************************************************************** 
Directory: C:\test

Permissions: 
Type     Username                Permissions           Inheritance

Allowed  BUILTIN\Administrators  Full Control          This Folder, Subfolde 
Allowed  NT AUTHORITY\SYSTEM     Full Control          This Folder, Subfolde 
Allowed  Domain1\User1           Full Control          This Folder Only 
Allowed  \CREATOR OWNER          Special (Unknown)     Subfolders and Files 
Allowed  BUILTIN\Users           Read and Execute      This Folder, Subfolde 
Allowed  BUILTIN\Users           Create Folders / Appe This Folder and Subfo 
Allowed  BUILTIN\Users           Create Files / Write  This Folder and Subfo

No Auditing set

Owner: Domain1\User1


Uwaga Dane wyjściowe polecenia xcacls.vbs c:\test w tym przykładzie są zgodne z tekstem wyświetlanym w graficznym interfejsie użytkownika (GUI). Niektóre wyrazy nie są wyświetlane w całości w oknie wiersza polecenia.

Dane wyjściowe zawierają również wersję skryptu, katalog startowy i użyte argumenty.

Można również użyć symboli wieloznacznych w celu wyświetlenia zgodnych plików w danym katalogu. Na przykład, jeżeli zostanie wpisane następujące polecenie, zostaną wyświetlone wszystkie pliki z rozszerzeniem nazwy „.log”, znajdujące się w folderze C:\Test:
xcacls.vbs c:\test\*.log

Przykłady


Następujące polecenia Xcacls.vbs są przykładami zastosowań skryptu Xcacls.vbs.

xcacls.vbs c:\test\ /g domena\użytkownik_testowy1:f /f /t /e
To polecenie umożliwia edycję istniejących uprawnień. Użytkownikowi domena\użytkownik_testowy1 jest udzielane uprawnienie Pełna kontrola w odniesieniu do wszystkich plików znajdujących się w folderze C:\Test, a podczas przechodzenia przez podfoldery folderu C:\Test modyfikowane są wszystkie odnalezione pliki. To polecenie nie powoduje zmiany atrybutów katalogów.
xcacls.vbs c:\test\ /g domena\użytkownik_testowy1:f /s /l "c:\xcacls.log"
To polecenie powoduje zastąpienie istniejących uprawnień. Użytkownik domena\użytkownik_testowy1 uzyskuje uprawnienie Pełna kontrola w odniesieniu do wszystkich podfolderów folderu C:\Test, a informacje są rejestrowane w dzienniku C:\Xcacls.log. To polecenie nie powoduje zmiany atrybutów plików i nie powoduje przejścia przez katalogi.
xcacls.vbs c:\test\readme.txt /o "urządzeniea\grupa1"
To polecenie powoduje zmianę właściciela (UrządzenieA\Grupa1) pliku Readme.txt.
xcacls.vbs c:\test\badcode.exe /r "urządzeniea\grupa1" /r "domena\użytkownik_testowy1"
To polecenie powoduje cofnięcie uprawnień grupy UrządzenieA\Grupa1 i użytkownika Domena\Użytkownik_testowy1, dotyczących pliku C:\Test\Badcode.exe.
xcacls.vbs c:\test\podkatalog1 /i enable /q
To polecenie powoduje włączenie dziedziczenia dla folderu C:\Test\Podkatalog1. Ukrywane są wszelkie informacje przeznaczone do wyświetlenia na ekranie.
xcacls.vbs \\serwera\udziałz\strona_testowa.htm /p "domena\grupa2":14
To polecenie umożliwia zdalne ustanowienie połączenia z udziałem \\SerwerA\UdziałZ przy użyciu Instrumentacji zarządzania Windows (WMI). Następnie pobierana jest ścieżka lokalna dla danego udziału, w której zmieniane są uprawnienia dotyczące pliku Strona_testowa.htm. Zachowywane są istniejące uprawnienia grupy Domena\Grupa2, jednak dodawane są uprawnienia 1 (odczyt danych) i 4 (odczyt atrybutów rozszerzonych). To polecenie powoduje odrzucenie pozostałych uprawnień dotyczących pliku, ponieważ przełącznik /e nie został użyty.
xcacls.vbs d:\domyślna.htm /g "domena\grupa2":f /server serwera /user serwera\admin /pass hasło /e
To polecenie używa instrumentacji WMI do zdalnego połączenia się przy użyciu konta SerwerA\Admin z SerweremA, a następnie grupie Domena\Grupa2 udzielane są pełne uprawnienia w odniesieniu do pliku Domyślna.htm. Istniejące uprawnienia grupy Domena\Grupa2 są tracone, a pozostałe uprawnienia dotyczące danego pliku są zachowywane.

Materiały referencyjne

Aby uzyskać dodatkowe informacje dotyczące sposobu korzystania z programu Xcacls.exe, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
318754 JAK: Używanie narzędzia Xcacls.exe do modyfikowania uprawnień systemu NTFS

Właściwości

Numer ID artykułu: 825751 - Ostatnia weryfikacja: 12 stycznia 2006 - Weryfikacja: 2.3
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
Słowa kluczowe: 
kbhowtomaster KB825751

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com