在Windows Server 系統中根據使用者對檔案夾設定存取權限設定的方法

情境：在系統中有兩個使用者，1）Administrator，2）userA

現在需要設定硬碟中的檔案夾的存取權限，userA只能訪問指定的檔案夾。需要怎麼辦？

使用windows 原生命令：Xcacls 即可。

---------------------------------------------------------------------------------------------------------------------------------------------------

Xcacls.exe 文法
xcacls 檔案名稱 [/T] [/E] [/C] [/G user:perm;spec] [/R 使用者] [/P user:perm;spec [...]] [/D 使用者 [...]] [/Y]
其中檔案名稱表示 ACL 或存取控制項目 (ACE) 通常應用於的檔案或檔案夾的名稱。所有標準萬用字元均可使用。

/T 遞迴檢查當前檔案夾及其所有子檔案夾，對匹配的檔案或檔案夾應用所選的存取權限。

/E 編輯 ACL 而不替換它。例如，如果您運行 XCACLS test.dat /G Administrator:F 命令，則只有管理員擁有對 Test.dat 檔案的存取權限。之前應用的所有 ACE 都會丟失。

/C 使 Xcacls.exe 在出現“拒絕訪問”錯誤訊息時繼續執行。如果未指定 /C，則 Xcacls.exe 在出現此錯誤時停止執行。

/G user:perm;spec 授予使用者對匹配檔案或檔案夾的存取權限。
perm（許可權）變數對檔案應用指定的存取權限，並代表檔案夾的特殊檔案存取權限掩碼。perm 變數接受下列值：
R 讀取
C 更改（寫入）
F 完全控制
P 更改許可權（特殊存取權限）
O 取得所有權（特殊存取權限）
X 執行（特殊存取權限）
E 讀取（特殊存取權限）
W 寫入（特殊存取權限）
D 刪除（特殊存取權限）
spec（特殊存取權限）變數僅應用於檔案夾，它除了接受與 perm 相同的值以外，還接受以下特殊值：
T 未指定。為目錄本身設定 ACE，而不指定應用於在該目錄中建立的新檔案的 ACE。至少存在一個要遵循的存取權限。分號 (;) 和 T 之間的項將被忽略。注意：
檔案的存取權限選項（針對檔案夾、特殊檔案和檔案夾訪問）是完全相同的。有關這些選項的詳細說明，請參閱 Windows 2000 作業系統的文檔。
所有其他選項（它們也可以在 Windows 資源管理員中設定）都是基本存取權限的所有可能組合的子集。因此，不存在檔案夾存取權限（如 LIST 或 READ）的特殊選項。
/R 使用者為指定使用者調用所有存取權限。

/P user:perm;spec 替換使用者的存取權限。指定 perm 和 spec 的規則與 /G 選項相同。請參閱本文的“Xcacls.exe 樣本”部分。

/D 使用者拒絕使用者訪問檔案或目錄。

/Y 禁止在替換使用者存取權限時出現確認提示。預設情況下，CACLS 要求確認。由於存在此功能，在批處理常式中使用 CACLS 時，常式將停止回應並等待輸入正確答案。引入 /Y 選項後可消除此確認，從而可以在批處理模式下使用 Xcacls.exe。

使用 Xcacls.exe 查看許可權
Xcacls.exe 還可用於查看檔案或檔案夾的許可權。例如，在命令提示字元處鍵入 xcacls C:\winnt，然後按 Enter。下面是典型結果：
c:\WINNT BUILTIN\Users:R
BUILTIN\Users:(OI)(CI)(IO)(special access:)
GENERIC_READ
GENERIC_EXECUTE

BUILTIN\Power Users:C
BUILTIN\Power Users:(OI)(CI)(IO)C
BUILTIN\Administrators:F
BUILTIN\Administrators:(OI)(CI)(IO)F
NT AUTHORITY\SYSTEM:F
NT AUTHORITY\SYSTEM:(OI)(CI)(IO)F
BUILTIN\Administrators:F
CREATOR OWNER:(OI)(CI)(IO)F

這些 ACL 標誌具有下列含義：
IO：僅繼承 — 此標誌表示此 ACE 不應用於當前對象。
CI：容器繼承 — 此標誌表示從屬容器將繼承此 ACE。
OI：對象繼承 — 此標誌表示從屬檔案將繼承該 ACE。
NP：不傳播 — 此標誌表示從屬對象不繼續傳播繼承的 ACE。
每行末尾的字母表示許可權。例如：
F：完全控制
C：更改
W：寫入
Xcacls.exe 樣本
樣本 1
在命令提示字元下鍵入 XCACLS *.* /G administrator:RW /Y，然後按 Enter 以替換當前檔案夾中所有檔案和檔案夾的 ACL，而不掃描子檔案夾且不進行確認。
樣本 2
在本樣本中，添加到檔案夾的 ACE 還將繼承在此檔案夾中建立的新檔案的 ACE。該命令授予 TestUser 對此檔案夾中的所有建立檔案的讀取、寫入、運行和刪除許可權，但只授予對檔案夾本身的讀寫權限。在命令提示字元下鍵入 XCACLS *.* /G TestUser:RWED;RW /E，然後按 Enter。
樣本 3
下面的樣本將授予對檔案夾的讀寫權限，而不為新檔案建立繼承項。因此，在本樣本中，此檔案夾中的建立檔案不會收到 TestUser 的 ACE。對於現有檔案，將建立具有讀取許可權的 ACE。在命令提示字元下鍵入 XCACLS *.* /G TestUser:R;RW /E，然後按 Enter。

NTFS 許可權原則
下面是分配 NTFS 許可權的原則：
使用 NTFS 許可權控制對檔案和檔案夾的訪問。
將許可權分配給組而不是單獨使用者。
NTFS 檔案許可權優先於 NTFS 檔案夾許可權。
管理員以及檔案或檔案夾的所有者控制可為該對象設定的許可權。
在變更檔夾許可權時，應瞭解伺服器上安裝的程式。程式會建立自己的檔案夾並開啟“允許從父系來的繼承許可權傳播到這個對象”設定。如果更改了父資料夾中的許可權，則這些更改可能會導致程式中出現問題。

警告：請記住，許多檔案和檔案夾通過繼承接收許可權。因此，在您認為只是更改了一個檔案夾時，您可能更改了其他更多內容。

---------------------------------------------------------------------------------------------------------------------------------

http://support.microsoft.com/kb/318754/zh-cn

http://msdn.microsoft.com/zh-cn/magazine/cc982153.aspx