Τρόπος χρήσης του εργαλείου Xcacls.vbs για την τροποποίηση δικαιωμάτων NTFS

Η υποστήριξη για τα Windows XP έχει διακοπεί

Η Microsoft διέκοψε την υποστήριξη για τα Windows XP στις 8 Απριλίου 2014. Αυτή η αλλαγή επηρέασε τις ενημερώσεις λογισμικού και τις επιλογές ασφαλείας σας. Μάθετε τι σημαίνει αυτό για εσάς και το πώς θα προστατευτείτε.

Η υποστήριξη για τα Windows Server 2003 έληξε στις 14 Ιουλίου 2015

Η υποστήριξη της Microsoft για τα Windows Server 2003 έληξε στις 14 Ιουλίου 2015. Αυτή η αλλαγή επηρέασε τις ενημερώσεις λογισμικού και τις επιλογές ασφαλείας σας. Μάθετε τι σημαίνει αυτό για εσάς και το πώς θα προστατευτείτε.

Περίληψη
Υπάρχει μια ενημερωμένη έκδοση το εργαλείου Xcacls.exe (Extended Change Access Control List) η οποία διατίθεται από τη Microsoft ως δέσμη ενεργειών της Microsoft Visual Basic (Xcacls.vbs). Αυτό το άρθρο περιγράφει βήμα προς βήμα τον τρόπο χρήσης της δέσμης ενεργειών Xcacls.vbs για την τροποποίηση και την προβολή των δικαιωμάτων του συστήματος αρχείων NTFS για αρχεία ή φακέλους. Μπορείτε να χρησιμοποιήσετε το Xcacls.vbs από τη γραμμή εντολών για να ορίσετε όλες τις επιλογές ασφαλείας του συστήματος αρχείων για τις οποίες υπάρχει δυνατότητα πρόσβασης στον Microsoft Windows Explorer. Το Xcacls.vbs εμφανίζει και τροποποιεί τις λίστες ελέγχου πρόσβασης (ACL) των αρχείων.

Σημείωση Το Xcacls.vbs είναι συμβατό μόνο με τα προγράμματα Microsoft Windows 2000, Microsoft Windows XP και Microsoft Windows Server 2003. Το Xcacls.vbs δεν υποστηρίζεται από τη Microsoft.

Επιστροφή στην αρχή

Για να εγκαταστήσετε και να χρησιμοποιήσετε το Xcacls.vbs, ακολουθήστε τα εξής βήματα:
 1. Αποκτήστε την πιο πρόσφατη έκδοση του Xcacls.vbs από την ακόλουθη τοποθεσία της Microsoft στο Web (στα αγγλικά):
 2. Κάντε διπλό κλικ στην επιλογή Xcacls_Installer.exe. Όταν σας ζητηθεί να ορίσετε μια θέση για την τοποθέτηση των εξαγόμενων αρχείων, καθορίστε ένα φάκελο ο οποίος να βρίσκεται στη ρύθμιση της διαδρομής αναζήτησης του υπολογιστή σας, όπως C:\Windows.
 3. Αλλάξτε τον προεπιλεγμένο μηχανισμό δέσμης ενεργειών από Wscript σε Cscript. (Η δέσμη ενεργειών Xcacls.vbs λειτουργεί καλύτερα στο Cscript.) Για να το κάνετε αυτό, πληκτρολογήστε τα ακόλουθα σε μια γραμμή εντολών και, στη συνέχεια, πιέστε το πλήκτρο ENTER:
  cscript.exe /h:cscript
  Σημείωση Η αλλαγή του προεπιλεγμένου μηχανισμού δέσμης ενεργειών σε Cscript επηρεάζει μόνο τον τρόπο εγγραφής των δεσμών ενεργειών στην οθόνη. Το Wscript γράφει κάθε γραμμή ξεχωριστά σε ένα παράθυρο διαλόγου OK. Το Cscript γράφει κάθε γραμμή στο παράθυρο εντολών. Εάν δεν θέλετε να αλλάξετε τον προεπιλεγμένο μηχανισμό δέσμης ενεργειών, πρέπει να εκτελέσετε τη δέσμη ενεργειών χρησιμοποιώντας την ακόλουθη εντολή
  cscript.exe xcacls.vbs
  ενώ αν αλλάξετε την προεπιλογή σε Cscript, μπορείτε να εκτελέσετε τη δέσμη ενεργειών με την ακόλουθη εντολή:
  xcacls.vbs
  .
 4. Για να δείτε τη σύνταξη της εντολής Xcacls.vbs, πληκτρολογήστε τα ακόλουθα σε μια γραμμή εντολών:
  xcacls.vbs /?
επιστροφή στην αρχή

Το ακόλουθο αποτέλεσμα της εντολής xcacls.vbs /? περιγράφει τη σύνταξη της εντολής Xcacls.vbs:
Χρήση: XCACLS filename [/E] [/G user:perm;spec] [...] [/R user [...]]         [/F] [/S] [/T]         [/P user:perm;spec [...]] [/D user:perm;spec] [...]         [/O user] [/I ENABLE/COPY/REMOVE] [/N         [/L filename] [/Q] [/DEBUG] filename       [Απαιτείται] Εάν χρησιμοποιηθεί μόνο του, εμφανίζει ACL.            (Το όνομα αρχείου είναι δυνατό να είναι ένα όνομα αρχείου,            όνομα καταλόγου ή χαρακτήρες μπαλαντέρ και μπορεί να περιλαμβάνει            ολόκληρη τη διαδρομή. Στην περίπτωση που λείπει η διαδρομή,            υποτίθεται ότι βρίσκεται στον τρέχοντα κατάλογο.)            Σημειώσεις:            - Τοποθετήστε το όνομα αρχείου σε εισαγωγικά εάν έχει διαστήματα            ή ειδικούς χαρακτήρες, όπως &, $, #, κλπ.            - Εάν το όνομα αρχείου είναι κατάλογος, όλα τα αρχεία και οι            υποκατάλογοι που βρίσκονται κάτω από αυτόν ΔΕΝ θα αλλάξουν,            εκτός αν υπάρχει το στοιχείο /F ή S.  /F         [Χρησιμοποιείται με κατάλογο ή χαρακτήρα μπαλαντέρ] Ο διακόπτης            αυτός θα αλλάξει όλα τα αρχεία που βρίσκονται κάτω από έναν            εισηγμένο κατάλογο αλλά ΔΕΝ θα διεισδύσει στους υποκαταλόγους,            εκτός αν υπάρχει επίσης ο διακόπτης /T. Εάν το όνομα αρχείου            είναι κατάλογος και ο διακόπτης /F δεν χρησιμοποιείται,            δεν θα αγγιχτεί κανένα αρχείο.  /S         [Χρησιμοποιείται με κατάλογο ή χαρακτήρα μπαλαντέρ] Ο διακόπτης            αυτός θα αλλάξει όλους τους υποφακέλους που βρίσκονται κάτω            από έναν εισηγμένο κατάλογο αλλά ΔΕΝ θα διεισδύσει στους υποκαταλόγους,            εκτός αν υπάρχει επίσης ο διακόπτης /T. Εάν το όνομα αρχείου είναι            κατάλογος και ο διακόπτης /S δεν χρησιμοποιείται, δεν θα αγγιχτεί            κανένας υποκατάλογος.  /T         [Χρησιμοποιείται μόνο με κατάλογο] Διεισδύει σε κάθε υποκατάλογο και            πραγματοποιεί τις ίδιες αλλαγές. Αυτός ο διακόπτης θα διεισδύσει            στους καταλόγους μόνο όταν το όνομα αρχείου είναι κατάλογος ή            χρησιμοποιεί χαρακτήρες μπαλαντέρ.  /E         Επεξεργάζεται ένα ACL αντί να το αντικαταστήσει.  /G user:GUI     Εκχωρεί δικαιώματα ασφαλείας παρόμοια με τις επιλογές του προτύπου            GUI των Windows (όχι για προχωρημένους).  /G user:Perm;Spec  Εκχωρεί δικαιώματα πρόσβασης σε συγκεκριμένο χρήστη.            (Ο διακόπτης /G προσθέτει υπάρχοντα δικαιώματα για το χρήστη)            Χρήστης: (User:) Στην περίπτωση που η επιλογή User περιλαμβάνει            διαστήματα, περικλείστε την σε εισαγωγικά. Στην περίπτωση που η            επιλογή User περιέχει το στοιχείο #machine#, θα αντικαταστήσει            το #machine# με το πραγματικό όνομα του μηχανισμού εάν δεν πρόκειται            για ελεγκτή εκτός τομέα και θα το αντικαταστήσει με το όνομα του            πραγματικού ελεγκτή τομέα εάν είναι ελεγκτής τομέα.            Νέο στο 3.0: Ο χρήστης μπορεί να είναι μια συμβολοσειρά που αντιπροσωπεύει            το πραγματικό SID, αλλά πριν από αυτήν ΠΡΕΠΕΙ να προηγείται το στοιχείο            SID# Παράδειγμα: SID#S-1-5-21-2127521184-160...               (η συμβολοσειρά SID που εμφανίζεται έχει συντομευτεί)               (Εάν οποιοσδήποτε χρήστης έχει το στοιχείο SID#, τότε όλα τα                στοιχεία που ταιριάζουν πρέπει επίσης να ταιριάζουν με το SID                (όχι το όνομα) έτσι ώστε αν σκοπεύετε να εφαρμόσετε αλλαγές σε                όλους τους λογαριασμούς που ταιριάζουν με τον Τομέα\Χρήστη να                μην καθορίζετε το στοιχείο SID# ως έναν από τους χρήστες.)            GUI: Αφορά τυπικά δικαιώματα και μπορεί να είναι:               Δικαιώματα...                  F Πλήρης έλεγχος (Full control)                  M Τροποποίηση (Modify)                  X Ανάγνωση και εκτέλεση (read and eXecute)                  L Περιεχόμενα λίστας φακέλων (List folder contents)                  R Ανάγνωση (Read)                  W Εγγραφή (Write)               Σημείωση: Εάν υπάρχει το στοιχείο a ;, θα θεωρηθεί               ως ζεύγος παραμέτρων Perm;Spec.            Perm: Αφορά "Μόνο αρχεία" και μπορεί να είναι:               Δικαιώματα...                  F Πλήρης έλεγχος (Full control)                  M Τροποποίηση (Modify)                  X Ανάγνωση και εκτέλεση (read and eXecute)                  R Ανάγνωση (Read)                  W Εγγραφή (Write)               Για προχωρημένους... (Advanced...)                  D Ανάληψη κατοχής (Take Ownership)                  C Αλλαγή δικαιωμάτων (Change Permissions)                  B Ανάγνωση δικαιωμάτων (Read Permissions)                  A Διαγραφή (Delete)                  9 Ιδιότητες εγγραφής (Write Attributes)                  8 Ιδιότητες ανάγνωσης (Read Attributes)                  7 Διαγραφή υποφακέλων και αρχείων (Delete Subfolders and Files)                  6 Αλλαγή φακέλου/εκτέλεση αρχείου (Traverse Folder/Execute File)                  5 Πρόσθετες ιδιότητες εγγραφής (Write Extended Attributes)                  4 Πρόσθετες ιδιότητες ανάγνωσης (Read Extended Attributes)                  3 Δημιουργία φακέλων/προσάρτηση δεδομένων (Create Folders/Append Data)                 2 Δημιουργία αρχείων/εγγραφή δεδομένων (Create Files/Write Data)                  1 Το δικαίωμα Λίστα φακέλου/ ανάγνωση δεδομένων             Spec (List Folder/Read Data Spec) αφορά το στοιχείο "Μόνο φάκελος και υποφάκελοι"             (Folder and Subfolders only) και έχει τις ίδιες επιλογές με το Perm.  /R user        Κάνει ανάκληση των δικαιωμάτων πρόσβασης του καθορισμένου χρήστη.             (Θα καταργήσει όλα τα ACL που επιτρέπονται ή απαγορεύονται για το χρήστη.)  /P user:GUI      Αντικαθιστά τα δικαιώματα ασφαλείας που είναι παρόμοια με τις τυπικές επιλογές.  /P user:perm;spec   Κάνει ανάκληση των δικαιωμάτων πρόσβασης του καθορισμένου χρήστη.             Για την προδιαγραφή δικαιωμάτων πρόσβασης ανατρέξτε στην επιλογή /G.             (Ο διακόπτης /P συμπεριφέρεται όπως και ο /G όταν δεν έχουν οριστεί             δικαιώματα για το χρήστη.)  /D user:GUI      Δικαιώματα ασφαλείας άρνησης παρόμοια με τις τυπικές επιλογές.  /D user:perm;spec   Αρνείται δικαιώματα πρόσβασης σε συγκεκριμένο χρήστη.             Για την προδιαγραφή δικαιωμάτων πρόσβασης ανατρέξτε στην επιλογή /G.             (Ο διακόπτης /D προσθέτει στα υπάρχοντα δικαιώματα για το χρήστη)  /O user        Αλλαγή ιδιοκτησίας για αυτόν το χρήστη ή την ομάδα.  /I switch       Σημαία μεταβίβασης. Εάν παραληφθεί, η προεπιλογή είναι να μείνουν             ανέπαφα τα ACL που μεταβιβάζονται. Ο διακόπτης μπορεί να είναι:               ENABLE (ΕΝΕΡΓΟΠΟΙΗΣΗ)- Η μορφή αυτή θα ενεργοποιήσει τη σημαία                          μεταβίβασης, εάν δεν είναι ήδη ενεργοποιημένη.               COPY (ΑΝΤΙΓΡΑΦΗ)   - Η μορφή αυτή θα απενεργοποιήσει τη σημαία μεταβίβασης                          και θα αντιγράψει τα "Μεταβιβασμένα ACL"                          στα "Ουσιαστικά ACL".               REMOVE (ΚΑΤΑΡΓΗΣΗ)  - Η μορφή αυτή θα απενεργοποιήσει τη σημαία μεταβίβασης                          και δεν θα αντιγράψει τα "Μεταβιβασμένα ACL".                          Η επιλογή αυτή είναι αντίθετη της επιλογής                          ENABLE (ΕΝΕΡΓΟΠΟΙΗΣΗ).             Στην περίπτωση που δεν υπάρχει ο διακόπτης, το στοιχείο /I θα παραβλεφθεί και             τα "Μεταβιβασμένα ACL" θα παραμείνουν ανέπαφα.  /L filename      Όνομα αρχείου για καταγραφή. Σε αυτό μπορεί να συμπεριλαμβάνεται ένα όνομα             διαδρομής όταν το αρχείο δεν βρίσκεται στον τρέχοντα κατάλογο.             Το αρχείο θα προσαρτηθεί ή θα δημιουργηθεί στην περίπτωση που δεν υπάρχει.             Εάν υπάρχει, πρέπει να είναι αρχείο κειμένου, διαφορετικά, θα εμφανιστεί σφάλμα.             Εάν παραληφθεί το όνομα αρχείου, θα χρησιμοποιηθεί το προεπιλεγμένο όνομα XCACLS.  /Q          Ενεργοποίηση της λειτουργίας χωρίς μηνύματα. Από προεπιλογή, ο διακόπτης             αυτός είναι απενεργοποιημένος. Εάν είναι ενεργοποιηθεί, δεν θα εμφανιστούν             ενδείξεις στην οθόνη.  /DEBUG        Ενεργοποίηση της λειτουργίας εντοπισμού σφαλμάτων. Από προεπιλογή,             ο διακόπτης αυτός είναι απενεργοποιημένος. Εάν ενεργοποιηθεί,             θα εμφανίζονται ή/και θα καταγράφονται περισσότερες πληροφορίες.             Οι πληροφορίες θα εμφανίζουν τις ενδείξεις Sub/Function Enter και Exit             καθώς και άλλες σημαντικές πληροφορίες.  /SERVER servername  Εισαγωγή απομακρυσμένου διακομιστή για την εκτέλεση δέσμης ενεργειών.  /USER username    Εισαγωγή ονόματος χρήστη για την αναπαράσταση "Απομακρυσμένων συνδέσεων"             (Remote Connections) (απαιτεί το διακόπτη PASS). Θα παραβλεφθεί όταν             προορίζεται για "Τοπική σύνδεση" (Local Connection).  /PASS password    Εισαγωγή κωδικού πρόσβασης για να συνδυαστεί με το διακόπτη USER             (απαιτείται ο διακόπτης USER).Υπάρχει δυνατότητα χρήσης χαρακτήρων μπαλαντέρ για τον καθορισμό περισσότερων από ένα αρχείων σε μια εντολή, όπως:              *    Οποιαδήποτε συμβολοσειρά του μηδενός ή περισσότεροι χαρακτήρες             ?    Οποιοσδήποτε μεμονωμένος χαρακτήραςΜπορείτε να καθορίσετε περισσότερους από έναν χρήστες σε μια εντολή. Μπορείτε να συνδυάσετε δικαιώματα πρόσβασης.


επιστροφή στην αρχή


Μπορείτε επίσης να χρησιμοποιήσετε το Xcacls.vbs για την προβολή δικαιωμάτων για αρχεία ή φακέλους. Για παράδειγμα, εάν έχετε ένα φάκελο που ονομάζεται C:\Test, πληκτρολογήστε τα ακόλουθα σε μια γραμμή εντολών, για να προβάλετε τα δικαιώματα φακέλου και, στη συνέχεια, πιέστε το πλήκτρο ENTER:
xcacls.vbs c:\test
Το ακόλουθο παράδειγμα είναι ένα τυπικό αποτέλεσμα:
C:\>XCACLS.VBS c:\testMicrosoft (R) Windows Script Host Version 5.6Copyright (C) Microsoft Corporation 1996-2001. All rights reserved.Starting XCACLS.VBS (Version: 3.4) Script at 6/11/2003 10:55:21 AMStartup directory:"C:\test"Arguments Used:    Filename = "c:\test"**************************************************************************Directory: C:\testPermissions:Type   Username        Permissions      InheritanceAllowed BUILTIN\Administrators Full Control     This Folder, SubfoldeAllowed NT AUTHORITY\SYSTEM   Full Control     This Folder, SubfoldeAllowed Domain1\User1      Full Control     This Folder OnlyAllowed \CREATOR OWNER     Special (Unknown)   Subfolders and FilesAllowed BUILTIN\Users      Read and Execute   This Folder, SubfoldeAllowed BUILTIN\Users      Create Folders / Appe This Folder and SubfoAllowed BUILTIN\Users      Create Files / Write This Folder and SubfoNo Auditing setOwner: Domain1\User1


Σημείωση Το αποτέλεσμα της εντολής xcacls.vbs c:\test σε αυτό το παράδειγμα ταιριάζει με το κείμενο που εμφανίζεται στο περιβάλλον εργασίας χρήστη με γραφικά (GUI). Ορισμένες λέξεις είναι ελλιπείς στο παράθυρο εντολών.

Το αποτέλεσμα παρέχει επίσης την έκδοση της δέσμης ενεργειών, τον κατάλογο εκκίνησης και τα ορίσματα που χρησιμοποιούνται.

Μπορείτε επίσης να χρησιμοποιήσετε χαρακτήρες μπαλαντέρ για να εμφανίσετε στον κατάλογο αρχεία που ταιριάζουν. Για παράδειγμα, εάν πληκτρολογήσετε τα ακόλουθα, θα εμφανιστούν όλα τα αρχεία με την επέκταση ".log" τα οποία βρίσκονται στο φάκελο C:\Test:
xcacls.vbs c:\test\*.log
επιστροφή στην αρχή


Οι ακόλουθες εντολές Xcacls.vbs παρέχουν ορισμένα παραδείγματα της χρήσης του Xcacls.vbs.

xcacls.vbs c:\test\ /g domain\testuser1:f /f /t /e
Αυτή η εντολή επεξεργάζεται τα υπάρχοντα δικαιώματα. Παρέχει στον Τομέα\Δοκιμαστικό_χρήστη1 πλήρη έλεγχο σε όλα τα αρχεία που βρίσκονται στο φάκελο C:\Test, διεισδύει στους υποφακέλους του φακέλου C:\Test και, στη συνέχεια, αλλάζει όλα τα αρχεία που εντοπίζει. Αυτή η εντολή αφήνει ανέπαφους τους καταλόγους.
xcacls.vbs c:\test\ /g domain\testuser1:f /s /l "c:\xcacls.log"
Αυτή η εντολή αντικαθιστά υπάρχοντα δικαιώματα. Παραχωρεί στον Τομέα\Δοκιμαστικό_χρήστη1 πλήρη έλεγχο σε όλους τους υποφακέλους που βρίσκονται στο φάκελο C:\Test και καταγράφεται στο C:\Xcacls.log. Αυτή η εντολή αφήνει ανέπαφα τα αρχεία και δεν διεισδύει σε καταλόγους.
xcacls.vbs c:\test\readme.txt /o "machinea\group1"
Αυτή η εντολή αλλάζει τον κάτοχο του Readme.txt με την ομάδα MachineA\Group1.
xcacls.vbs c:\test\badcode.exe /r "machinea\group1" /r "domain\testuser1"
Αυτή η εντολή κάνει ανάκληση των δικαιωμάτων στο C:\Test\Badcode.exe για τον MachineA\Group1 και για τον Domain\TestUser1.
xcacls.vbs c:\test\subdir1 /i enable /q
Αυτή η εντολή ενεργοποιεί τη μεταβίβαση στο φάκελο C:\Test\Subdir1. Αποκρύπτει οποιοδήποτε αποτέλεσμα της οθόνης.
xcacls.vbs \\servera\sharez\testpage.htm /p "domain\group2":14
Αυτή η εντολή εκτελεί απομακρυσμένη σύνδεση στο φάκελο \\ServerA\ShareZ χρησιμοποιώντας τη δυνατότητα Windows Management Instrumentation (WMI). Στη συνέχεια, αποκτά την τοπική διαδρομή για αυτό το κοινόχρηστο στοιχείο και, σε αυτήν τη διαδρομή, αλλάζει τα δικαιώματα στο Testpage.htm. Αφήνει ανέπαφα τα υπάρχοντα δικαιώματα του Domain\Group2, αλλά προσθέτει δικαιώματα 1 (δεδομένα ανάγνωσης) και 4 (πρόσθετες ιδιότητες ανάγνωσης). Η εντολή αποθέτει άλλα δικαιώματα στο αρχείο επειδή δεν χρησιμοποιήθηκε ο διακόπτης /e.
xcacls.vbs d:\default.htm /g "domain\group2":f /server servera /user servera\admin /pass κωδικός_πρόσβασης /e
Αυτή η εντολή χρησιμοποιεί το WMI για να πραγματοποιήσει απομακρυσμένη σύνδεση ως ServerA\Admin στον ServerA και, στη συνέχεια, παραχωρεί πλήρη δικαιώματα για το Default.htm στον Domain\Group2. Τα υπάρχοντα δικαιώματα για τον Domain\Group2 χάνονται και τα άλλα δικαιώματα που υπάρχουν στο αρχείο παραμένουν.
επιστροφή στην αρχή
Αναφορές
Για πρόσθετες πληροφορίες σχετικά με τη χρήση του Xcacls.exe, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
318754 Τρόπος χρήσης του εργαλείου Xcacls.exe για την τροποποίηση δικαιωμάτων NTFS
Eigenschaften

Artikelnummer: 825751 – Letzte Überarbeitung: 01/23/2006 12:35:00 – Revision: 2.3

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows XP Professional, Microsoft Windows XP Home Edition, Microsoft Windows 2000 Datacenter Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Server, Microsoft Windows 2000 Professional Edition

 • kbhowtomaster KB825751
Feedback