Xcacls.exe gebruiken om NTFS-machtigingen te wijzigen

De ondersteuning voor Windows XP is beëindigd

De ondersteuning voor Office 2003 is door Microsoft beëindigd op 8 april. Deze wijziging heeft gevolgen voor software-updates en beveiligingsopties. Meer informatie over wat voor gevolgen dit voor u heeft en hoe u beveiligd blijft.

De ondersteuning voor Windows Server 2003 is op 14 juli 2015 beëindigd

De ondersteuning voor Windows Server 2003 is door Microsoft op 14 juli 2015 beëindigd. Deze wijziging heeft gevolgen voor software-updates en beveiligingsopties. Meer informatie over wat voor gevolgen dit voor u heeft en hoe u beveiligd blijft.

Samenvatting
Er is een bijgewerkte versie van het hulpprogramma Extended Change Access Control List (Xcacls.exe) beschikbaar als Microsoft Visual Basic-script (Xcacls.vbs). In dit stapsgewijze artikel wordt het gebruik van het script Xcacls.vbs beschreven om machtigingen in het NTFS-bestandssysteem voor bestanden of mappen te wijzigen en weer te geven. U kunt Xcacls.vbs gebruiken vanaf de opdrachtregel om alle beveiligingsopties van het bestandssysteem in te stellen die toegankelijk zijn in Microsoft Windows Verkenner. Met Xcacls.vbs kunt u de ACL's (toegangsbeheerlijsten) van bestanden weergeven en wijzigen.

Opmerking Xcacls.vbs is alleen compatibel met Microsoft Windows 2000, Microsoft Windows XP en Microsoft Windows Server 2003. Microsoft biedt geen ondersteuning voor Xcacls.vbs.

Terug naar begin

Ga als volgt te werk om Xcacls.vbs te installeren en te gebruiken:
 1. Haal de laatste versie van Xcacls.vbs op van de volgende Microsoft-website:
 2. Dubbelklik op Xcacls_Installer.exe. Wanneer u wordt gevraagd om een locatie voor de uitgepakte bestanden, geeft u een map op in het zoekpad van de computer, bijvoorbeeld C:\Windows.
 3. Wijzig de scriptverwerkingsengine van Wscript in Cscript. (Het script Xcacls.vbs werkt het beste in Cscript.) Hiertoe typt u de volgende opdracht bij de opdrachtprompt en drukt u op ENTER:
  cscript.exe /h:cscript
  Opmerking Als u de scriptverwerkingsengine instelt op Cscript, heeft dit alleen gevolgen voor de manier waarop scripts worden weergegeven op het scherm. In Wscript wordt elke regel afzonderlijk weergegeven in een dialoogvenster OK. In Cscript wordt elke regel weergegeven in het opdrachtvenster. Als u de scriptverwerkingsengine niet wilt wijzigen, voert u het script uit met de volgende opdracht:
  cscript.exe xcacls.vbs
  Als u Cscript instelt als scriptverwerkingsengine, kunt u het script uitvoeren met de volgende opdracht:
  xcacls.vbs
  .
 4. U kunt de syntaxis voor de opdracht Xcacls.vbs weergeven met de volgende opdracht bij de opdrachtprompt:
  xcacls.vbs /?
Terug naar begin

Het volgende resultaat van de opdracht xcacls.vbs /? beschrijft de syntaxis van de opdracht Xcacls.vbs:
Gebruik:XCACLS bestandsnaam [/E] [/G gebruiker:machtiging;spec] [...] [/R gebruiker [...]]        [/F] [/S] [/T]        [/P gebruiker:machtiging;spec [...]] [/D gebruiker:machtiging;spec] [...]        [/O gebruiker] [/I ENABLE/COPY/REMOVE] [/N        [/L bestandsnaam] [/Q] [/DEBUG]  bestandsnaam      [Vereist] Als u dit argument alleen gebruikt, worden ACL's weergegeven.            (Bestandsnaam kan een bestandsnaam, mapnaam of            een reeks jokertekens zijn en kan het volledige            pad bevatten. Als het pad ontbreekt, wordt aangenomen dat het bestand            zich in de huidige map bevindt.)            Opmerkingen:            - Zet bestandsnaam tussen aanhalingstekens als deze spaties of            speciale tekens bevat, zoals &, $, #, enzovoort.            - Als bestandsnaam een map is, worden alle bestanden en            submappen NIET gewijzigd            tenzij de schakeloptie /F of /S wordt gebruikt.  /F         [In combinatie met map of jokerteken] Hiermee worden alle            bestanden onder de opgegeven map gewijzigd, maar            submappen worden NIET doorgebladerd tenzij /T wordt gebruikt.            Als bestandsnaam een map is en /F niet wordt gebruikt, worden            geen bestanden gewijzigd.  /S         [In combinatie met map of jokerteken] Hiermee worden alle            submappen onder de opgegeven map gewijzigd, maar            submappen worden NIET doorgebladerd tenzij /T wordt gebruikt.            Als bestandsnaam een map is en /S niet wordt gebruikt, worden            geen submappen gewijzigd.  /T         [Alleen in combinatie met een map] Alle submappen worden doorgebladerd            en dezelfde wijzigingen worden aangebracht.            Met deze schakeloptie worden mappen alleen doorgebladerd als de            bestandsnaam een map is of als gebruik wordt gemaakt van jokertekens.  /E         ACL bewerken in plaats van vervangen.  /G gebruiker:GUI     Beveiligingsmachtigingen toewijzen vergelijkbaar met            standaardopties (niet-geavanceerd) van Windows GUI.  /G gebruiker:machtiging;Spec  De opgegeven gebruiker toegangsrechten verlenen.            (/G voegt extra rechten toe voor de gebruiker)            Gebruiker: Als Gebruiker spaties bevat, zet u het argument tussen aanhalingstekens.               Als Gebruiker #machine# bevat, wordt               #machine# vervangen door de daadwerkelijke naam van de machine als het een               niet-domeincontroller betreft. Als het een domeincontroller betreft,               wordt #machine# vervangen door de daadwerkelijke domeinnaam.               Nieuw in 3.0: Gebruiker kan een tekenreeks zijn die staat voor               de daadwerkelijke SID, maar deze MOET worden voorafgegaan door SID#               Voorbeeld: SID#S-1-5-21-2127521184-160...                   (de SID-tekenreeks in dit voorbeeld is ingekort)                   (Als een gebruiker SID# heeft, moeten overal alle                    zoekresultaten overeenkomen met de SID (niet de naam)                    Als u van plan bent om wijzigingen toe te passen op                    alle accounts die overeenkomen met Domein\Gebruiker,                    geeft u niet SID# op als een van de                    gebruikers.)            GUI: Is voor standaardrechten en kan het volgende zijn:               Machtigingen...                  F Volledig beheer                  M Wijzigen                  X Lezen en uitvoeren                  L Lijst met mapinhoud                  R  Lezen                  W Schrijven               Opmerking: Als er een ; (puntkomma) is, wordt deze beschouwd als een paar               van de parameters Machtiging;Spec.            Machtiging: Is voor 'Alleen bestanden' en kan het volgende zijn:               Machtigingen...                  F Volledig beheer                  M Wijzigen                  X Lezen en uitvoeren                  R  Lezen                  W Schrijven               Geavanceerd...                  D Eigenaar worden                  C Machtigingen wijzigen                  B Machtigingen lezen                  A Verwijderen                  9 Kenmerken schrijven                  8 Kenmerken lezen                  7 Submappen en bestanden verwijderen                  6 Door map bladeren/bestand uitvoeren                  5 Uitgebreide kenmerken schrijven                  4 Uitgebreide kenmerken lezen                  3 Mappen maken/Gegevens toevoegen                  2 Bestanden maken/Gegevens schrijven                  1 Map weergeven/Gegevens lezen            Spec is voor 'Alleen map en submappen'            en heeft dezelfde opties als Machtiging  /R gebruiker       De toegangsrechten van de opgegeven gebruiker intrekken.            (Hiermee worden alle ACL's, zowel toegestaan als geweigerd, verwijderd voor de gebruiker.)  /P gebruiker:GUI     Beveiligingsmachtigingen vervangen vergelijkbaar met standaardopties.  /P gebruiker:machtiging;spec       De toegangsrechten van de opgegeven gebruiker vervangen.            Zie de optie /G voor de specificatie van toegangsrechten.            (/P heeft hetzelfde effect als /G als er geen rechten zijn ingesteld voor de gebruiker.)  /D gebruiker:GUI     Beveiligingsmachtigingen weigeren vergelijkbaar met standaardopties.  /D gebruiker:machtiging;Spec  De opgegeven gebruiker toegangsrechten weigeren.            Zie de optie /G voor de specificatie van toegangsrechten.            (/D voegt extra rechten toe voor de gebruiker.)  /O gebruiker       Eigendom overdragen aan deze gebruiker of groep.  /I schakeloptie      Overnamemarkering. Als dit wordt weggelaten, worden overgenomen ACL's standaard niet            gewijzigd. Schakeloptie kan het volgende zijn:             ENABLE - Hiermee wordt de overnamemarkering ingeschakeld als dit                  nog niet het geval was.             COPY - Hiermee wordt de overnamemarkering uitgeschakeld en worden                  de overgenomen ACL's                  gekopieerd naar effectieve ACL's.             REMOVE - Hiermee wordt de overnamemarkering uitgeschakeld en worden                  de overgenomen ACL's niet                  gekopieerd. Dit is het tegenovergestelde van ENABLE.             Als er geen schakeloptie wordt gebruikt, wordt /I genegeerd en             worden overgenomen ACL niet gewijzigd.  /L bestandsnaam     Bestandsnaam voor logboekregistratie. Dit argument kan een padnaam bevatten            als het bestand zich niet in de huidige map bevindt.            Er worden gegevens toegevoegd aan het bestand of het bestand wordt gemaakt als het niet            bestaat. Als het wel bestaat, moet het een tekstbestand zijn. Zo niet, dan treedt een fout op.            Als bestandsnaam wordt weggelaten, wordt de standaardnaam XCACLS            gebruikt.  /Q         Stille modus inschakelen. Deze modus is standaard uitgeschakeld.            Als deze modus wordt ingeschakeld, wordt er niets op het scherm weergegeven.  /DEBUG       De foutopsporingsmodus inschakelen. Deze modus is standaard uitgeschakeld.            Als deze modus wordt ingeschakeld, wordt meer informatie            weergegeven en/of vastgelegd in het logboek. Informatie omvat            Sub/Function Enter en Exit naast andere belangrijke            informatie.  /SERVER servernaam Een externe server opgeven waarvoor het script moet worden uitgevoerd.  /USER gebruikersnaam   Een gebruikersnaam opgeven die moeten worden nagebootst voor externe verbindingen              (hiervoor is de schakeloptie PASS vereist). Deze schakeloptie wordt genegeerd voor een lokale verbinding.  /PASS wachtwoord  Een wachtwoord opgeven voor de schakeloptie USER              (hiervoor is de schakeloptie USER vereist).U kunt jokertekens gebruiken om meerdere bestanden op te geven in een opdracht, zoals:                *    Een willekeurige tekenreeks van nul of meer tekens                ?    Eén willekeurig tekenU kunt meerdere gebruikers opgeven in een opdracht.U kunt toegangsrechten combineren.


Terug naar begin


U kunt Xcacls.vbs ook gebruiken om machtigingen voor bestanden of mappen weer te geven.Als u bijvoorbeeld een map met de naam C:\Test hebt, typt u het volgende bij een opdrachtprompt en drukt u op Enter om de machtigingen voor de map weer te geven:
xcacls.vbs c:\test
Dit is een mogelijk resultaat van deze opdracht:
C:\>XCACLS.VBS c:\testMicrosoft (R) Windows Script Host Version 5.6Copyright (c) Microsoft Corporation 1996-2001. All rights reserved.Starting XCACLS.VBS (Version: 3.4) Script at 6/11/2003 10:55:21 AMStartup directory:"C:\test"Arguments Used:    c:\test**************************************************************************Directory: C:\testPermissions:Type   Username        Permissions      InheritanceAllowed BUILTIN\Administrators Full Control     This Folder, SubfoldeAllowed NT AUTHORITY\SYSTEM   Full Control     This Folder, SubfoldeAllowed Domain1\User1      Full Control     This Folder OnlyAllowed \CREATOR OWNER     Special (Unknown)   Subfolders and FilesAllowed BUILTIN\Users      Read and Execute   This Folder, SubfoldeAllowed BUILTIN\Users      Create Folders / Appe This Folder and SubfoAllowed BUILTIN\Users      Create Files / Write This Folder and SubfoNo Auditing setOwner: Domain1\User1


Opmerking Het resultaat van de opdracht xcacls.vbs c:\test in dit voorbeeld komt overeen met de tekst die wordt weergegeven in de GUI (Graphical User Interface). Enkele woorden worden afgebroken in het opdrachtvenster.

Het resultaat bevat ook de versie van het script, de opstartmap en de gebruikte argumenten.

U kunt ook jokertekens gebruiken om bepaalde bestanden in de map weer te geven. Als u bijvoorbeeld het volgende typt, worden alle bestanden met de extensie .LOG in de map C:\Test weergegeven:
xcacls.vbs c:\test\*.log
Terug naar begin


De volgende opdrachten voor Xcacls.vbs geven een voorbeeld van het gebruik van Xcacls.vbs.

xcacls.vbs c:\test\ /g domein\testgebruiker1:f /f /t /e
Met deze opdracht bewerkt u bestaande machtigingen. U geeft Domein\Testgebruiker1 volledig beheer over alle bestanden in de map C:\Test, u bladert door de submappen van C:\Test en wijzigt eventuele gevonden bestanden. Met deze opdracht worden geen mappen gewijzigd.
xcacls.vbs c:\test\ /g domein\testgebruiker1:f /s /l "c:\xcacls.log"
Met deze opdracht vervangt u bestaande machtigingen. De opdracht verleent Domein\Testgebruiker1 volledig beheer voor alle submappen van C:\Test en registreert informatie in het logboek C:\Xcacls.log. Met deze opdracht worden geen bestanden gewijzigd en worden geen mappen doorgebladerd.
xcacls.BS c:\test\leesmij.txt /o "machinea\groep1"
Met deze opdracht wijzigt u de eigenaar van Leesmij.txt in de groep MachineA\Groep1.
xcacls.BS c:\test\slechtecode.exe /r "machinea\groep1" /r "domein\testgebruiker1"
Met deze opdracht trekt u de machtigingen op C:\Test\Slechtecode.exe in voor MachineA\Groep1 en voor Domein\Testgebruiker1.
xcacls.BS c:\test\subdir1 /i enable /q
Met deze opdracht schakelt u overname in voor de map C:\Test\Subdir1. Er wordt niets weergegeven op het scherm.
xcacls.BS \\servera\sharez\testpagina.htm /p "domein\groep2":14
Met deze opdracht maakt u extern verbinding met \\ServerA\ShareZ via Windows Management Instrumentation (WMI). Vervolgens wordt het lokale pad van die share opgehaald en worden onder dat pad de machtigingen op Testpage.htm gewijzigd. De bestaande machtigingen van Domein\Groep2 blijven ongewijzigd, maar machtigingen 1 (Gegevens lezen) en 4 (Uitgebreide kenmerken lezen) worden toegevoegd. Met deze opdracht worden andere machtigingen voor het bestand genegeerd omdat de schakeloptie /e niet is gebruikt.
xcacls.BS d:\standaard.htm /g "domein\groep2":f /server servera /user servera\admin /pass wachtwoord /e
Met deze opdracht wordt WMI gebruikt om als ServerA\Admin extern verbinding te maken met ServerA en worden volledige machtigingen voor Standaard.htm verleend aan Domein\Groep2. Bestaande machtigingen voor Domein\Groep2 gaan verloren en andere machtigingen voor het bestand blijven bestaan.
Terug naar begin
Referenties
Klik voor meer informatie over het gebruik van Xcacls.exe op het volgende artikelnummer in de Microsoft Knowledge Base:
318754Xcacls.exe gebruiken om NTFS-machtigingen te wijzigen
Eigenschappen

Artikel-id: 825751 - Laatst bijgewerkt: 02/02/2007 19:50:00 - Revisie: 2.4

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows XP Professional, Microsoft Windows XP Home Edition, Microsoft Windows 2000 Datacenter Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows® 2000 Server, Microsoft Windows 2000 Professional Edition

 • kbhowtomaster KB825751
Feedback