Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Làm thế nào để sử dụng Xcacls.vbs để sửa đổi các quyền truy cập NTFS

Hỗ trợ cho Windows XP đã kết thúc

Microsoft đã kết thúc hỗ trợ dành cho Windows XP vào ngày 8 tháng 4 năm 2014. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

Hỗ trợ cho Windows Server 2003 đã kết thúc vào ngày 14 tháng 7 năm 2015

Microsoft đã kết thúc hỗ trợ cho Windows Server 2003 vào ngày 14 tháng 7 năm 2015. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:825751
TÓM TẮT
Đó là một phiên bản công cụ mở rộng thay đổi Access Control List (Xcacls.exe) mà có sẵn như là một kịch bản Microsoft Visual Basic (Xcacls.vbs) từ Microsoft. Bài viết từng bước này mô tả cách sử dụng đoạn mã Xcacls.vbs để sửa đổi và xem NTFS tập tin hệ thống cấp phép cho tập tin hoặc thư mục. Bạn có thể sử dụng Xcacls.vbs từ dòng lệnh để thiết lập tất cả các tập tin hệ thống tùy chọn bảo mật có thể truy cập trong Microsoft Windows Explorer. Xcacls.vbs, hiển thị và sửa đổi access control lists (ACLs) tập tin.

Chú ý Xcacls.VBS chỉ là tương thích với Microsoft Windows 2000, với Microsoft Windows XP, và với Microsoft Windows Server 2003. Xcacls.VBS không được hỗ trợ bởi Microsoft.

Quay lại đầu trang

Để thiết lập và sử dụng Xcacls.vbs, hãy làm theo các bước sau:
  1. Lấy Phiên bản mới nhất của Xcacls.vbs từ Web site sau Microsoft:
  2. Bấm đúp Xcacls_Installer.exe. Khi bạn được nhắc nhập vị trí để đặt các file trích xuất, chỉ định một thư mục trong máy tính của bạn tìm kiếm đường dẫn cài đặt, chẳng hạn như C:\Windows.
  3. Thay đổi công cụ kịch bản mặc định từ Wscript để Cscript. (Các tập lệnh Xcacls.vbs làm tốt nhất Cscript.) Để thực hiện việc này, gõ sau tại dấu nhắc lệnh, và sau đó nhấn ENTER:
    cscript.exe /h:cscript
    Chú ý Thay đổi mặc định công cụ kịch bản để Cscript chỉ ảnh hưởng đến cách script ghi vào màn hình. WScript viết mỗi dòng riêng lẻ đến một Ok hộp thoại. Cscript viết mỗi dòng vào cửa sổ lệnh. Nếu bạn không muốn thay đổi mặc định kịch bản công cụ, bạn phải chạy script bằng cách sử dụng lệnh sau đây
    cscript.exe xcacls.vbs
    trong khi đó nếu bạn thay đổi mặc định để Cscript, bạn có thể chạy script với lệnh sau đây:
    xcacls.VBS
    .
  4. Để xem cú pháp lệnh Xcacls.vbs, loại sau tại dấu nhắc lệnh:
    xcacls.VBS /?
Quay lại đầu trang

Sau đầu ra của các xcacls.VBS /? lệnh mô tả Xcacls.vbs lệnh cú pháp:
Usage:XCACLS filename [/E] [/G user:perm;spec] [...] [/R user [...]]                [/F] [/S] [/T]                [/P user:perm;spec [...]] [/D user:perm;spec] [...]                [/O user] [/I ENABLE/COPY/REMOVE] [/N                [/L filename] [/Q] [/DEBUG]   filename            [Required] If used alone, it displays ACLs.                       (Filename can be a filename, directory name or                       wildcard characters and can include the whole                       path. If path is missing, it is assumed to be                       under the current directory.)                       Notes:                       - Put filename in quotes if it has spaces or                       special characters such as &, $, #, etc.                       - If filename is a directory, all files and                       subdirectories under it will NOT be changed                       unless the /F or S is present.   /F                  [Used with Directory or Wildcard] This will change all                       files under the inputted directory but will NOT                       traverse subdirectories unless /T is also present.                       If filename is a directory, and /F is not used, no                       files will be touched.   /S                  [Used with Directory or Wildcard] This will change all                       subfolders under the inputted directory but will NOT                       traverse subdirectories unless /T is also present.                       If filename is a directory, and /S is not used, no                       subdirectories will be touched.   /T                  [Used only with a Directory] Traverses each                       subdirectory and makes the same changes.                       This switch will traverse directories only if the                       filename is a directory or is using wildcard characters.   /E                  Edit ACL instead of replacing it.   /G user:GUI         Grant security permissions similar to Windows GUI                       standard (non-advanced) choices.   /G user:Perm;Spec   Grant specified user access rights.                       (/G adds to existing rights for user)                       User: If User has spaces in it, enclose it in quotes.                             If User contains #machine#, it will replace                             #machine# with the actual machine name if it is a                             non-domain controller, and replace it with the                             actual domain name if it is a domain controller.                             New to 3.0: User can be a string representing                             the actual SID, but MUST be lead by SID#                             Example: SID#S-1-5-21-2127521184-160...                                      (SID string shown has been shortened)                                      (If any user has SID# then globally all                                       matches must match the SID (not name)                                       so if your intention is to apply changes                                       to all accounts that match Domain\User                                       then do not specify SID# as one of the                                       users.)                       GUI: Is for standard rights and can be:                             Permissions...                                    F  Full control                                    M  Modify                                    X  read and eXecute                                    L  List folder contents                                    R  Read                                    W  Write                             Note: If a ; is present, this will be considered                             a Perm;Spec parameter pair.                       Perm: Is for "Files Only" and can be:                             Permissions...                                    F  Full control                                    M  Modify                                    X  read and eXecute                                    R  Read                                    W  Write                             Advanced...                                    D  Take Ownership                                    C  Change Permissions                                    B  Read Permissions                                    A  Delete                                    9  Write Attributes                                    8  Read Attributes                                    7  Delete Subfolders and Files                                    6  Traverse Folder / Execute File                                    5  Write Extended Attributes                                    4  Read Extended Attributes                                    3  Create Folders / Append Data                                    2  Create Files / Write Data                                    1  List Folder / Read Data                       Spec is for "Folder and Subfolders only" and has the                       same choices as Perm.   /R user             Revoke specified user's access rights.                       (Will remove any Allowed or Denied ACL's for user.)   /P user:GUI         Replace security permissions similar to standard choices.   /P user:perm;spec   Replace specified user's access rights.                       For access right specification see /G option.                       (/P behaves like /G if there are no rights set for user.)   /D user:GUI         Deny security permissions similar to standard choices.   /D user:perm;spec   Deny specified user access rights.                       For access right specification see /G option.                       (/D adds to existing rights for user.)   /O user             Change the Ownership to this user or group.   /I switch           Inheritance flag.  If omitted, the default is to not touch                       Inherited ACL's. Switch can be:                          ENABLE - This will turn on the Inheritance flag if                                   it is not on already.                          COPY   - This will turn off the Inheritance flag and                                   copy the Inherited ACL's                                   into Effective ACL's.                          REMOVE - This will turn off the Inheritance flag and                                   will not copy the Inherited                                   ACL's.  This is the opposite of ENABLE.                          If switch is not present, /I will be ignored and                          Inherited ACL's will remain untouched.   /L filename         Filename for Logging. This can include a path name                       if the file is not under the current directory.                       File will be appended to, or created if it does not                       exit. Must be Text file if it exists or error will occur.                       If filename is omitted, the default name of XCACLS will                       be used.   /Q                  Turn on Quiet mode.  By default, it is off.                       If it is turned on, there will be no display to the screen.   /DEBUG              Turn on Debug mode. By default, it is off.                       If it is turned on, there will be more information                       displayed and/or logged. Information will show                       Sub/Function Enter and Exit as well as other important                       information.   /SERVER servername  Enter a remote server to run script against.   /USER username      Enter Username to impersonate for Remote Connections                            (requires PASS switch).  Will be ignored if it is for a Local Connection.   /PASS password      Enter Password to go with USER switch                            (requires USER switch).Wildcard characters can be used to specify more than one file in a command, such as:                                *       Any string of zero or more characters                                ?       Any single characterYou can specify more than one user in a command.You can combine access rights.


Quay lại đầu trang


Bạn cũng có thể sử dụng Xcacls.vbs để xem cấp phép cho tệp và cặp.Ví dụ, nếu bạn có một thư mục có tên C:\Test, gõ sau tại dấu nhắc lệnh để xem các cho phép thư mục và sau đó nhấn ENTER:
xcacls.VBS c:\test
Ví dụ sau là một kết quả điển hình:
C:\>XCACLS.VBS c:\testMicrosoft (R) Windows Script Host Version 5.6Copyright (C) Microsoft Corporation 1996-2001. All rights reserved.Starting XCACLS.VBS (Version: 3.4) Script at 6/11/2003 10:55:21 AMStartup directory:"C:\test"Arguments Used:        Filename = "c:\test"**************************************************************************Directory: C:\testPermissions:Type     Username                Permissions           InheritanceAllowed  BUILTIN\Administrators  Full Control          This Folder, SubfoldeAllowed  NT AUTHORITY\SYSTEM     Full Control          This Folder, SubfoldeAllowed  Domain1\User1           Full Control          This Folder OnlyAllowed  \CREATOR OWNER          Special (Unknown)     Subfolders and FilesAllowed  BUILTIN\Users           Read and Execute      This Folder, SubfoldeAllowed  BUILTIN\Users           Create Folders / Appe This Folder and SubfoAllowed  BUILTIN\Users           Create Files / Write  This Folder and SubfoNo Auditing setOwner: Domain1\User1


Chú ý Đầu ra của các xcacls.VBS c:\test lệnh trong ví dụ này phù hợp với văn bản được hiển thị trong giao diện người dùng đồ họa (GUI). Một số từ là không đầy đủ trong cửa sổ lệnh.

Đầu ra cũng cung cấp cho các phiên bản của các kịch bản, thư mục khởi động, và các đối số đã được sử dụng.

Bạn cũng có thể sử dụng ký tự đại diện để hiển thị kết hợp tập tin theo thư mục. Ví dụ, nếu bạn gõ sau đây, tất cả các tệp với phần mở rộng của "log" mà là ở C:\Test thư mục được hiển thị:
xcacls.VBS c:\test\*.log
Quay lại đầu trang


Xcacls.vbs lệnh sau đây cung cấp một số ví dụ về cách sử dụng Xcacls.vbs.

xcacls.VBS c:\test\ /g domain\testuser1:f/f /t e
Lệnh này sửa hiện có quyền. Nó cho phép Domain\TestUser1 toàn quyền kiểm soát trên tất cả các tập tin dưới C:\Test, nó đi qua thư mục con dưới C:\Test, và sau đó nó thay đổi bất kỳ tệp nào được tìm thấy. Lệnh này không liên lạc thư mục.
xcacls.VBS c:\test\ /g domain\testuser1:f/s/l "c:\xcacls.log"
Lệnh này sẽ thay thế cấp phép hiện có. Nó cho phép Domain\TestUser1 toàn quyền kiểm soát trên tất cả các thư mục con dưới C:\Test, và nó đăng vào C:\Xcacls.log. Lệnh này không chạm vào tập tin, và nó không phải đi qua thư mục.
xcacls.VBS c:\test\readme.txt /o "machinea\group1"
Lệnh này sẽ thay đổi chủ sở hữu của Readme.txt là nhóm MachineA\Group1.
xcacls.VBS c:\test\badcode.exe /r "machinea\group1" /r "domain\testuser1"
Lệnh này revokes sự cho phép đến C:\Test\Badcode.exe cho MachineA\Group1 và Domain\TestUser1.
xcacls.VBS c:\test\subdir1/i cho phép /q
Lệnh này quay về thừa kế vào thư mục C:\Test\Subdir1. Nó ngăn chặn bất kỳ đầu ra màn hình.
xcacls.VBS \\servera\sharez\testpage.htm /p "domain\group2": 14
Lệnh này từ xa kết nối với \\ServerA\ShareZ bằng cách sử dụng phương tiện quản lý Windows (WMI). Nó sau đó lấy được đường dẫn địa phương cho rằng chia sẻ, và theo con đường đó, nó thay đổi quyền truy cập vào Testpage.htm. Nó lá các cấp phép hiện có của Domain\Group2 còn nguyên vẹn, nhưng nó sẽ thêm quyền 1 (đọc dữ liệu) và 4 (đọc thuộc tính mở rộng). Lệnh giọt khác quyền truy cập vào các tập tin vì các e chuyển đổi không sử dụng.
xcacls.VBS d:\default.htm /g "domain\group2": f /server servera /user servera\admin /pass mật khẩu e
Lệnh này sử dụng WMI để kết nối từ xa như ServerA\Admin để ServerA và sau đó trao quyền truy cập đầy đủ vào Default.htm cho Domain\Group2. Hiện có quyền cho Domain\Group2 bị mất và các cấp phép trên các tập tin vẫn còn.
Quay lại đầu trang
THAM KHẢO
Để biết thêm chi tiết về cách sử dụng Xcacls.exe, nhấp vào số bài viết sau đây để xem bài viết trong cơ sở kiến thức Microsoft:
318754Làm thế nào để sử dụng Xcacls.exe để sửa đổi các quyền truy cập NTFS

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 825751 - Xem lại Lần cuối: 08/29/2011 09:32:00 - Bản sửa đổi: 2.0

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows XP Professional, Microsoft Windows XP Home Edition, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Server, Microsoft Windows 2000 Professional Edition

  • kbhowtomaster kbmt KB825751 KbMtvi
Phản hồi