Jesteś obecnie w trybie offline. Czekamy na ponowne połączenie z Internetem.

Jak modyfikować uprawnienia systemu NTFS przy użyciu skryptu Xcacls.vbs

Zakończono świadczenie pomocy technicznej dla systemu Windows XP

Firma Microsoft zakończyła świadczenie pomocy technicznej dla systemu Windows XP 8 kwietnia 2014. Ta zmiana wpłynęła na Twoje aktualizacje oprogramowania i opcje zabezpieczeń. Dowiedz się, co to oznacza dla Ciebie i jak zapewnić sobie kontynuację ochrony.

Świadczenie pomocy technicznej dla systemu Windows Server 2003 zakończono 14 lipca 2015.

Firma Microsoft zakończyła świadczenie pomocy technicznej dla systemu Windows Server 2003 14 lipca 2015. Ta zmiana wpłynęła na Twoje aktualizacje oprogramowania i opcje zabezpieczeń. Dowiedz się, co to oznacza dla Ciebie i jak zapewnić sobie kontynuację ochrony.

Streszczenie
Firma Microsoft udostępniła zaktualizowaną wersję narzędzia obsługującego rozszerzoną listę kontroli zmian (Xcacls.exe) w formie skryptu programu Microsoft Visual Basic (Xcacls.vbs). W tym artykule omówiono krok po kroku procedurę używania skryptu Xcacls.vbs do modyfikowania i przeglądania uprawnień systemu NTFS dotyczących plików lub folderów. Korzystając ze skryptu Xcacls.vbs w wierszu polecenia, można konfigurować wszystkie opcje zabezpieczeń systemu plików, dostępne w Eksploratorze Windows firmy Microsoft. Skrypt Xcacls.vbs wyświetla i modyfikuje listy kontroli dostępu (ACL) do plików.

Uwaga Skrypt Xcacls.vbs jest zgodny tylko z systemami Microsoft Windows 2000, Microsoft Windows XP i Microsoft Windows Server 2003. Firma Microsoft nie zapewnia pomocy technicznej związanej ze skryptem Xcacls.vbs.

Powrót do początku

Aby skonfigurować skrypt Xcacls.vbs i korzystać z niego, wykonaj następujące kroki:
  1. Pobierz najnowszą wersję skryptu Xcacls.vbs z następującej witryny firmy Microsoft z sieci Web:
  2. Kliknij dwukrotnie plik Xcacls_Installer.exe. Po wyświetleniu monitu o wskazanie lokalizacji, w której zostaną umieszczone wyodrębnione pliki, określ folder uwzględniony w ustawieniu ścieżki wyszukiwania, taki jak C:\Windows.
  3. Zmień domyślny aparat obsługi skryptów z Wscript na Cscript. (Skrypt Xcacls.vbs działa najlepiej w aparacie Cscript). Aby to zrobić, wpisz następujące polecenie w wierszu polecenia, a następnie naciśnij klawisz ENTER:
    cscript.exe /h:cscript
    Uwaga Zmiana domyślnego aparatu obsługi Cscript dotyczy tylko sposobu wyświetlania przez skrypty informacji na ekranie. Aparat Wscript wyświetla indywidualne wiersze w oknie dialogowym z przyciskiem OK. Aparat Cscript wyświetla każdy wiersz w oknie wiersza polecenia. Jeśli nie chce się zmieniać domyślnego aparatu obsługi skryptów, należy uruchomić skrypt przy użyciu następującego polecenia:
    cscript.exe xcacls.vbs
    Aby zmienić aparat domyślny na Cscript, należy uruchomić skrypt przy użyciu następującego polecenia:
    xcacls.vbs
  4. Aby wyświetlić składnię polecenia Xcacls.vbs, wpisz następujące polecenie w wierszu polecenia:
    xcacls.vbs /?
Powrót do początku

Następujące dane wyjściowe polecenia xcacls.vbs /? opisują składnię polecenia Xcacls.vbs:
Użycie: XCACLS nazwa_pliku	[/E] [/G użytkownik:uprawnienia;specyfikacje] [...] [/R użytkownik [...]] 				[/F] [/S] [/T] 				[/P użytkownik:uprawnienia;specyfikacje [...]] [/D użytkownik:uprawnienia;specyfikacje] [...] 				[/O użytkownik] [/I ENABLE/COPY/REMOVE] [/N 				[/L nazwa_pliku] [/Q] [/DEBUG]   nazwa_pliku		[Wymagana] Jeżeli jest używana bez innych parametrów, umożliwia wyświetlenie list ACL. 			(Nazwa_pliku może być nazwą pliku, nazwą katalogu lub symbolami wieloznacznymi i może zawierać całą ścieżkę. 			Jeżeli ścieżka nie zostanie określona, przyjmowany jest bieżący katalog). 			Uwagi: - Nazwa_pliku musi być wpisana w cudzysłowie, jeżeli zawiera spacje lub znaki specjalne, 			takie jak &, $, #, itp. - Jeżeli nazwa_pliku jest nazwą katalogu, 			wszystkie pliki i podkatalogi w tym katalogu zostaną zmienione TYLKO wówczas, gdy użyty jest przełącznik /F lub S.   /F			[Używany w przypadku katalogu lub symbolu wieloznacznego] 			Powoduje zmianę wszystkich plików w określonym katalogu, 			jednak przejście przez podkatalogi następuje TYLKO wówczas, 			gdy użyty jest również przełącznik /T. Jeżeli nazwa określa katalog, 			a przełącznik /F nie jest użyty, żadne atrybuty plików nie zostaną zmienione.   /S			[Używany w przypadku katalogu lub symbolu wieloznacznego] 			Powoduje zmianę wszystkich podfolderów w określonym katalogu, 			jednak przejście przez podkatalogi następuje TYLKO wówczas, 			gdy użyty jest również przełącznik /T. Jeżeli nazwa określa plik, 			a przełącznik /S nie jest użyty, żadne atrybuty podkatalogów nie zostaną zmienione.   /T			[Używany tylko w przypadku katalogu] 			Powoduje przejście przez wszystkie podkatalogi i wprowadzenie identycznych zmian. 			Ten przełącznik powoduje przejście przez katalogi tylko wówczas, 			gdy nazwa określa katalog lub zawiera symbole wieloznaczne.      /E			Edytowanie zamiast zastępowania listy ACL.   /G użytkownik:GUI	Udzielenie uprawnień zabezpieczeń podobnych do standardowych 			(nie zaawansowanych) opcji graficznego interfejsu użytkownika (GUI) systemu Windows.   /G użytkownik:uprawnienia;specyfikacje	Udzielenie praw dostępu określonemu użytkownikowi. 						(Przełącznik /G powoduje rozszerzenie zakresu praw użytkownika).            Użytkownik: Jeżeli nazwa użytkownika zawiera spacje, powinna być wpisana w cudzysłowie. 			Jeżeli nazwa użytkownika zawiera tekst #machine#, tekst ten zostanie zastąpiony rzeczywistą nazwą urządzenia,			jeśli ten komputer nie jest kontrolerem domeny, lub rzeczywistą nazwą domeny,			jeśli ten komputer jest kontrolerem domeny.                     Nowa funkcja w wersji 3.0: Nazwa użytkownika może być ciągiem reprezentującym rzeczywisty identyfikator SID, 						jednak MUSI być wpisana z prefiksem „SID#”. Przykład: SID#S-1-5-21-2127521184-160... 						(powyższy ciąg SID skrócono). (Jeżeli w dowolnej nazwie użytkownika uwzględniono prefiks „SID#”, 						wszystkie odpowiedniki na skalę globalną muszą być zgodne z identyfikatorem SID, a nie z nazwą, 						dlatego jeżeli zmiany powinny być zastosowane w odniesieniu do wszystkich kont zgodnych z wzorcem 						Domena\użytkownik, nie należy używać prefiksu „SID#” w jednej z nazw użytkowników).            GUI: Określa standardowe prawa i może przyjmować następujące wartości: 		   Uprawnienia... 			F  Pełna kontrola 			M  Modyfikacja 			X  Odczyt i wykonywanie 			L  Wyświetlanie zawartości folderu 			R  Odczyt W  Zapis 		   Uwaga: Jeżeli używany jest średnik (;), 		   uwzględniana jest para parametrów uprawnienia;specyfikacje.            Uprawnienia: Dotyczy tylko plików i może przyjmować następujące wartości: 		  Uprawnienia... 			F  Pełna kontrola 			M  Modyfikacja 			X  Odczyt i wykonywanie 			R  Odczyt 			W  Zapis 		  Zaawansowane... 			D  Przejęcie na własność 			C  Zmiana uprawnień 			B  Odczyt uprawnień 			A  Usuwanie 			9  Zapis atrybutów 			8  Odczyt atrybutów 			7  Usuwanie podfolderów i plików 			6  Przechodzenie przez folder/Wykonywanie pliku 			5  Zapis atrybutów rozszerzonych 			4  Odczyt atrybutów rozszerzonych 			3  Tworzenie folderów/Dołączanie danych 			2  Tworzenie plików/Zapis danych 			1  Wyświetlanie zawartości folderu/Odczyt danych Parametr 		  Specyfikacje dotyczy tylko folderów i podfolderów i przyjmuje takie same wartości, 		  jak parametr Uprawnienia.   /R użytkownik           			Odwołanie praw dostępu określonego użytkownika. 						(Powoduje usunięcie wszelkich list ACL zezwalania lub odmawiania, przypisanych do danego użytkownika).   /P użytkownik:GUI         			Zastąpienie uprawnień zabezpieczeń podobnych do opcji standardowych.   /P użytkownik:uprawnienia;specyfikacje	Zastąpienie praw dostępu określonego użytkownika. 						Specyfikacje praw dostępu omówiono w punkcie dotyczącym opcji /G. 						(Przełącznik /P działa tak jak przełącznik /G, jeżeli żadne prawa nie 						zostały skonfigurowane dla danego użytkownika).   /D użytkownik:GUI				Odmowa uprawnień zabezpieczeń podobnych do opcji standardowych.   /D użytkownik:uprawnienia;specyfikacje	Odmowa praw dostępu określonego użytkownika. 						Specyfikacje praw dostępu omówiono w punkcie dotyczącym opcji /G. 						(Przełącznik /D powoduje rozszerzenie zakresu praw użytkownika).   /O użytkownik				Zmiana własności określonego użytkownika lub grupy.   /I przełącznik				Flaga dziedziczenia.  Jeżeli flaga zostanie pominięta, 						domyślnie atrybuty dziedziczonych list ACL nie są zmieniane. 						Przełącznik przyjmuje następujące wartości: 						ENABLE - Włączenie flagi dziedziczenia, jeżeli nie została jeszcze włączona. 						COPY   - Wyłączenie flagi dziedziczenia i skopiowanie dziedziczonych 						list ACL do grupy aktywnych list ACL. 						REMOVE - Wyłączenie flagi dziedziczenia i pominięcie kopiowania dziedziczonych list ACL. 						Przeciwieństwo wartości ENABLE. Jeżeli przełącznik nie jest użyty, 						flaga /I jest ignorowana i atrybuty dziedziczonych list ACL nie są zmieniane.   /L nazwa_pliku				Nazwa pliku na potrzeby rejestrowania. Może zawierać nazwę ścieżki, 						jeżeli dany plik nie znajduje się w bieżącym katalogu. 						Plik zostanie uzupełniony lub utworzony, jeżeli nie istnieje. 						Należy określić plik tekstowy, jeżeli dany plik istnieje, aby zapobiec wystąpieniu błędu.                       				Jeżeli nazwa_pliku zostanie pominięta, używana będzie nazwa domyślna XCACLS.   /Q                  				Włączenie trybu cichego.  Domyślnie ten tryb jest wyłączony. 						Po włączeniu tego trybu żadne informacje nie będą wyświetlane na ekranie.   /DEBUG              				Włączenie trybu debugowania. Domyślnie ten tryb jest wyłączony. 						Po włączeniu tego trybu większa ilość informacji będzie wyświetlana i/lub rejestrowana. 						Przykładem mogą być informacje dotyczące rozpoczęcia i zakończenia procedury/funkcji 						oraz inne ważne informacje.   /SERVER nazwa_serwera  			Należy wprowadzić serwer zdalny używany do uruchamiania skryptu.   /USER nazwa_użytkownika      		Należy wprowadzić nazwę użytkownika w celu personifikacji połączeń zdalnych 						(wymagany jest przełącznik PASS).  						Ten przełącznik zostanie zignorowany w przypadku połączenia lokalnego.   /PASS hasło      				Należy wprowadzić hasło dla przełącznika USER (wymagany jest przełącznik USER).Symbole wieloznaczne mogą być używane do określenia kilku plików w poleceniu, na przykład: 					*       Dowolny ciąg składający się z zera znaków lub większej liczby znaków 					?       Dowolny pojedynczy znakW poleceniu można określić kilku użytkowników. Można łączyć prawa dostępu.


Powrót do początku


Korzystając ze skryptu Xcacls.exe, można również przeglądać uprawnienia dotyczące plików lub folderów.Na przykład w przypadku folderu o nazwie C:\Test należy wpisać następujące polecenie w wierszu polecenia, aby wyświetlić uprawnienia dotyczące tego folderu, a następnie nacisnąć klawisz ENTER:
xcacls.vbs c:\test
Typowe dane wyjściowe są następujące:
C:\>XCACLS.VBS c:\test Microsoft (R) Windows Script Host Version 5.6 Copyright (C) Microsoft Corporation 1996-2001. All rights reserved.Starting XCACLS.VBS (Version: 3.4) Script at 6/11/2003 10:55:21 AMStartup directory: "C:\test"Arguments Used: Filename = "c:\test"************************************************************************** Directory: C:\testPermissions: Type     Username                Permissions           InheritanceAllowed  BUILTIN\Administrators  Full Control          This Folder, Subfolde Allowed  NT AUTHORITY\SYSTEM     Full Control          This Folder, Subfolde Allowed  Domain1\User1           Full Control          This Folder Only Allowed  \CREATOR OWNER          Special (Unknown)     Subfolders and Files Allowed  BUILTIN\Users           Read and Execute      This Folder, Subfolde Allowed  BUILTIN\Users           Create Folders / Appe This Folder and Subfo Allowed  BUILTIN\Users           Create Files / Write  This Folder and SubfoNo Auditing setOwner: Domain1\User1


Uwaga Dane wyjściowe polecenia xcacls.vbs c:\test w tym przykładzie są zgodne z tekstem wyświetlanym w graficznym interfejsie użytkownika (GUI). Niektóre wyrazy nie są wyświetlane w całości w oknie wiersza polecenia.

Dane wyjściowe zawierają również wersję skryptu, katalog startowy i użyte argumenty.

Można również użyć symboli wieloznacznych w celu wyświetlenia zgodnych plików w danym katalogu. Na przykład, jeżeli zostanie wpisane następujące polecenie, zostaną wyświetlone wszystkie pliki z rozszerzeniem nazwy „.log”, znajdujące się w folderze C:\Test:
xcacls.vbs c:\test\*.log
Powrót do początku


Następujące polecenia Xcacls.vbs są przykładami zastosowań skryptu Xcacls.vbs.

xcacls.vbs c:\test\ /g domena\użytkownik_testowy1:f /f /t /e
To polecenie umożliwia edycję istniejących uprawnień. Użytkownikowi domena\użytkownik_testowy1 jest udzielane uprawnienie Pełna kontrola w odniesieniu do wszystkich plików znajdujących się w folderze C:\Test, a podczas przechodzenia przez podfoldery folderu C:\Test modyfikowane są wszystkie odnalezione pliki. To polecenie nie powoduje zmiany atrybutów katalogów.
xcacls.vbs c:\test\ /g domena\użytkownik_testowy1:f /s /l "c:\xcacls.log"
To polecenie powoduje zastąpienie istniejących uprawnień. Użytkownik domena\użytkownik_testowy1 uzyskuje uprawnienie Pełna kontrola w odniesieniu do wszystkich podfolderów folderu C:\Test, a informacje są rejestrowane w dzienniku C:\Xcacls.log. To polecenie nie powoduje zmiany atrybutów plików i nie powoduje przejścia przez katalogi.
xcacls.vbs c:\test\readme.txt /o "urządzeniea\grupa1"
To polecenie powoduje zmianę właściciela (UrządzenieA\Grupa1) pliku Readme.txt.
xcacls.vbs c:\test\badcode.exe /r "urządzeniea\grupa1" /r "domena\użytkownik_testowy1"
To polecenie powoduje cofnięcie uprawnień grupy UrządzenieA\Grupa1 i użytkownika Domena\Użytkownik_testowy1, dotyczących pliku C:\Test\Badcode.exe.
xcacls.vbs c:\test\podkatalog1 /i enable /q
To polecenie powoduje włączenie dziedziczenia dla folderu C:\Test\Podkatalog1. Ukrywane są wszelkie informacje przeznaczone do wyświetlenia na ekranie.
xcacls.vbs \\serwera\udziałz\strona_testowa.htm /p "domena\grupa2":14
To polecenie umożliwia zdalne ustanowienie połączenia z udziałem \\SerwerA\UdziałZ przy użyciu Instrumentacji zarządzania Windows (WMI). Następnie pobierana jest ścieżka lokalna dla danego udziału, w której zmieniane są uprawnienia dotyczące pliku Strona_testowa.htm. Zachowywane są istniejące uprawnienia grupy Domena\Grupa2, jednak dodawane są uprawnienia 1 (odczyt danych) i 4 (odczyt atrybutów rozszerzonych). To polecenie powoduje odrzucenie pozostałych uprawnień dotyczących pliku, ponieważ przełącznik /e nie został użyty.
xcacls.vbs d:\domyślna.htm /g "domena\grupa2":f /server serwera /user serwera\admin /pass hasło /e
To polecenie używa instrumentacji WMI do zdalnego połączenia się przy użyciu konta SerwerA\Admin z SerweremA, a następnie grupie Domena\Grupa2 udzielane są pełne uprawnienia w odniesieniu do pliku Domyślna.htm. Istniejące uprawnienia grupy Domena\Grupa2 są tracone, a pozostałe uprawnienia dotyczące danego pliku są zachowywane.
Powrót do początku
Materiały referencyjne
Aby uzyskać dodatkowe informacje dotyczące sposobu korzystania z programu Xcacls.exe, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
318754 JAK: Używanie narzędzia Xcacls.exe do modyfikowania uprawnień systemu NTFS
Właściwości

Identyfikator artykułu: 825751 — ostatni przegląd: 01/12/2006 16:31:00 — zmiana: 2.3

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows XP Professional, Microsoft Windows XP Home Edition, Microsoft Windows 2000 Datacenter Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Server, Microsoft Windows 2000 Professional Edition

  • kbhowtomaster KB825751
Opinia