windows.應用程式命令行修改NTFS許可權

Command: xcacls.exe

HOW TO: Use Xcacls.exe to modify NTFS permissions
http://download.csdn.net/source/1216890

允許訪問
xcacls "instellation" /G everyone:F administrator:f /y
xcacls "cammerMan" /G everyone:F administrator:f /y
xcacls "mxton" /G everyone:F administrator:f /y
xcacls "techDocuments" /G everyone:F administrator:f /y
xcacls "Wmi.test" /G everyone:F administrator:f /y
xcacls "企業級應用方案" /G everyone:F administrator:f /y

禁止訪問
xcacls "instellation" /e /d "linli" /y
xcacls "instellation" /e /d "administrator" /y
xcacls "instellation" /e /d "everyone" /y
xcacls "Wmi.test" /e /d "administrator" /y
xcacls "Wmi.test" /e /d "linli" /y
xcacls "instellation" /e /d "everyone" /y
xcacls "mxton" /e /d "system" /y
xcacls "mxton" /e /d "administrator" /y
xcacls "mxton" /e /d "linli" /y
xcacls "techDocuments" /e /d "system" /y
xcacls "techDocuments" /e /d "administrator" /y
xcacls "techDocuments" /e /d "linli" /y
xcacls "cammerMan" /e /d "system" /y
xcacls "cammerMan" /e /d "administrator" /y
xcacls "cammerMan" /e /d "linli" /y
xcacls "企業級應用方案" /e /d "system" /y
xcacls "企業級應用方案" /e /d "administrator" /y
xcacls "企業級應用方案" /e /d "linli" /y

使用 Xcacls.exe 修改 NTFS 許可權

Xcacls.exe 文法
xcacls 檔案名稱 [/T] [/E] [/C] [/G user:perm;spec] [/R 使用者] [/P user:perm;spec [...]] [/D 使用者 [...]] [/Y]
其中檔案名稱表示 ACL 或存取控制項目 (ACE) 通常應用於的檔案或檔案夾的名稱。所有標準萬用字元均可使用。

/T 遞迴檢查當前檔案夾及其所有子檔案夾，對匹配的檔案或檔案夾應用所選的存取權限。

/E 編輯 ACL 而不替換它。例如，如果您運行 XCACLS test.dat /G Administrator:F 命令，則只有管理員擁有對 Test.dat 檔案的存取權限。之前應用的所有 ACE 都會丟失。

/C 使 Xcacls.exe 在出現“拒絕訪問”錯誤訊息時繼續執行。如果未指定 /C，則 Xcacls.exe 在出現此錯誤時停止執行。

/G user:perm;spec 授予使用者對匹配檔案或檔案夾的存取權限。 ? perm（許可權）變數對檔案應用指定的存取權限，並代表檔案夾的特殊檔案存取權限掩碼。perm 變數接受下列值： ? R 讀取
? C 更改（寫入）
? F 完全控制
? P 更改許可權（特殊存取權限）
? O 取得所有權（特殊存取權限）
? X 執行（特殊存取權限）
? E 讀取（特殊存取權限）
? W 寫入（特殊存取權限）
? D 刪除（特殊存取權限）
 
? spec（特殊存取權限）變數僅應用於檔案夾，它除了接受與 perm 相同的值以外，還接受以下特殊值： ? T 未指定。為目錄本身設定 ACE，而不指定應用於在該目錄中建立的新檔案的 ACE。至少存在一個要遵循的存取權限。分號 (;) 和 T 之間的項將被忽略。注意： ? 檔案的存取權限選項（針對檔案夾、特殊檔案和檔案夾訪問）是完全相同的。有關這些選項的詳細說明，請參閱 Windows 2000 作業系統的文檔。
? 所有其他選項（它們也可以在 Windows 資源管理員中設定）都是基本存取權限的所有可能組合的子集。因此，不存在檔案夾存取權限（如 LIST 或 READ）的特殊選項。
 
 
/R 使用者為指定使用者調用所有存取權限。

/P user:perm;spec 替換使用者的存取權限。指定 perm 和 spec 的規則與 /G 選項相同。請參閱本文的“Xcacls.exe 樣本”部分。

/D 使用者拒絕使用者訪問檔案或目錄。

/Y 禁止在替換使用者存取權限時出現確認提示。預設情況下，CACLS 要求確認。由於存在此功能，在批處理常式中使用 CACLS 時，常式將停止回應並等待輸入正確答案。引入 /Y 選項後可消除此確認，從而可以在批處理模式下使用 Xcacls.exe。

 

使用 Xcacls.exe 查看許可權
Xcacls.exe 還可用於查看檔案或檔案夾的許可權。例如，在命令提示字元處鍵入 xcacls C:/winnt，然後按 Enter。下面是典型結果：
c:/WINNT BUILTIN/Users:R
BUILTIN/Users:(OI)(CI)(IO)(special access:)
GENERIC_READ
GENERIC_EXECUTE

BUILTIN/Power Users:C
BUILTIN/Power Users:(OI)(CI)(IO)C
BUILTIN/Administrators:F
BUILTIN/Administrators:(OI)(CI)(IO)F
NT AUTHORITY/SYSTEM:F
NT AUTHORITY/SYSTEM:(OI)(CI)(IO)F
BUILTIN/Administrators:F
CREATOR OWNER:(OI)(CI)(IO)F
    
這些 ACL 標誌具有下列含義： ? IO：僅繼承 — 此標誌表示此 ACE 不應用於當前對象。
? CI：容器繼承 — 此標誌表示從屬容器將繼承此 ACE。
? OI：對象繼承 — 此標誌表示從屬檔案將繼承該 ACE。
? NP：不傳播 — 此標誌表示從屬對象不繼續傳播繼承的 ACE。
每行末尾的字母表示許可權。例如： ? F：完全控制
? C：更改
? W：寫入

 Xcacls.exe 樣本
樣本 1
在命令提示字元下鍵入 XCACLS *.* /G administrator:RW /Y，然後按 Enter 以替換當前檔案夾中所有檔案和檔案夾的 ACL，而不掃描子檔案夾且不進行確認。
樣本 2
在本樣本中，添加到檔案夾的 ACE 還將繼承在此檔案夾中建立的新檔案的 ACE。該命令授予 TestUser 對此檔案夾中的所有建立檔案的讀取、寫入、運行和刪除許可權，但只授予對檔案夾本身的讀寫權限。在命令提示字元下鍵入 XCACLS *.* /G TestUser:RWED;RW /E，然後按 Enter。
樣本 3
下面的樣本將授予對檔案夾的讀寫權限，而不為新檔案建立繼承項。因此，在本樣本中，此檔案夾中的建立檔案不會收到 TestUser 的 ACE。對於現有檔案，將建立具有讀取許可權的 ACE。在命令提示字元下鍵入 XCACLS *.* /G TestUser:R;RW /E，然後按 Enter。

執行個體一：查看檔案或檔案夾的許可權

在“開始→運行”對話方塊或切換到命令提示字元模式下，注意請事先將“c:/program files/resource kit”添加到“系統屬性→進階→環境變數→系統變數”中，或者通過cd
命令將其設定為當前路徑，否則會提示找不到檔案，然後鍵入如下命令：
xcacls h:/temp
此時，可以查看到所有使用者組或使用者對h:/temp檔案夾的存取控制許可權，io表示此ace不應用於當前對象，ci表示從屬視窗將繼承此ace，oi表示從屬檔案將繼承該
ace，np表示從屬對象不繼續傳播繼承的ace，而每行末尾的字母表示不同層級的許可權，例如f表示完全控制，c表示更改，w表示寫入。

執行個體二：替換檔案夾中的acl而不確認

xcacls h:/temp /g administrator:rw/y

以上命令將替換h:/temp檔案夾中所有檔案和檔案夾的acl，而不掃描子檔案夾，也不會要求使用者確認。

執行個體三：賦予某使用者對檔案夾的控制許可權

xcacls h:/temp /g wzj9999:rwed;rw /e

以上命令將賦予使用者wzj9999對h:/temp檔案夾中所有建立檔案的讀取、寫入、運行和刪除許可權，但需要說明的是，這條命令只是賦予了使用者對檔案夾本身的讀寫權限，
而不包括子檔案夾下的檔案。對普通使用者來說，cals.exe和xcacls.exe的作用可能不是那麼明顯，這在windows 2000/xp/server 2003的無人值守安裝中特別有用，
管理員可以為作業系統所在的檔案夾設定初始存取權限；在將軟體分發到伺服器或工作站時，還可以藉助xcacls.exe提供單步保護，以防止使用者誤刪除檔案夾或檔案。

NTFS 許可權原則
下面是分配 NTFS 許可權的原則： ? 使用 NTFS 許可權控制對檔案和檔案夾的訪問。
? 將許可權分配給組而不是單獨使用者。
? NTFS 檔案許可權優先於 NTFS 檔案夾許可權。
? 管理員以及檔案或檔案夾的所有者控制可為該對象設定的許可權。
? 在變更檔夾許可權時，應瞭解伺服器上安裝的程式。程式會建立自己的檔案夾並開啟“允許從父系來的繼承許可權傳播到這個對象”設定。如果更改了父資料夾中的許可權，則這些更改可能會導致程式中出現問題。

將 c d e盤的許可權修改為Administrators組和system組完全控制

建一個bat檔案
echo

xcacls.exe D:/ /G administrators:FRW /Y >>right.log
xcacls.exe D:/ /E /G system:FRW /Y >>right.log

xcacls.exe C:/ /G administrators:FRW /Y >>right.log
xcacls.exe C:/ /E /G system:FRW /Y >>right.log

xcacls.exe E:/ /G administrators:FRW /Y >>right.log
xcacls.exe E:/ /E /G system:FRW /Y >>right.log

pause

2000 kit 中有xcacls.exe 這個軟體
微軟下載 http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/xcacls-o.asp

下載Xcacls並安裝，完成後將C:/Program Files/Resource Kit中的xcacls.exe分別複製到c:/windows/system32和c:/windows/system32/dllcache目錄下。