windows.应用命令行修改NTFS权限
时间:2009-06-19 01:00:52浏览:12868
允许访问
xcacls "instellation" /G everyone:F administrator:f /y
xcacls "Bluecode" /G everyone:F administrator:f /y
xcacls "mxton" /G everyone:F administrator:f /y
xcacls "techDocuments" /G everyone:F administrator:f /y
--------------------------------------------------------------------------------
禁止访问
xcacls "instellation" /e /d "linli" /y
xcacls "instellation" /e /d "administrator" /y
xcacls "instellation" /e /d "everyone" /y
xcacls "Wmi.test" /e /d "administrator" /y
xcacls "Wmi.test" /e /d "linli" /y
xcacls "instellation" /e /d "everyone" /y
xcacls "mxton" /e /d "system" /y
xcacls "mxton" /e /d "administrator" /y
xcacls "mxton" /e /d "linli" /y
xcacls "techDocuments" /e /d "system" /y
xcacls "techDocuments" /e /d "administrator" /y
xcacls "techDocuments" /e /d "linli" /y
xcacls "Bluecode" /e /d "system" /y
xcacls "Bluecode" /e /d "administrator" /y
xcacls "Bluecode" /e /d "linli" /y
--------------------------------------------------------------------------------
使用 Xcacls.exe 修改 NTFS 权限
Xcacls.exe 语法
xcacls 文件名 [/T] [/E] [/C] [/G user:perm;spec] [/R 用户] [/P user:perm;spec [...]] [/D 用户 [...]] [/Y]
其中文件名表示 ACL 或访问控制项 (ACE) 通常应用于的文件或文件夹的名称。所有标准通配符均可使用。
/T 递归检查当前文件夹及其所有子文件夹,对匹配的文件或文件夹应用所选的访问权限。
/E 编辑 ACL 而不替换它。例如,如果您运行 XCACLS test.dat /G Administrator:F 命令,则只有管理员拥有对 Test.dat 文件的访问权限。之前应用的所有 ACE 都会丢失。
/C 使 Xcacls.exe 在出现“拒绝访问”错误消息时继续执行。如果未指定 /C,则 Xcacls.exe 在出现此错误时停止执行。
/G user:perm;spec 授予用户对匹配文件或文件夹的访问权限。 ? perm(权限)变量对文件应用指定的访问权限,并代表文件夹的特殊文件访问权限掩码。perm 变量接受下列值: ? R 读取
? C 更改(写入)
? F 完全控制
? P 更改权限(特殊访问权限)
? O 取得所有权(特殊访问权限)
? X 执行(特殊访问权限)
? E 读取(特殊访问权限)
? W 写入(特殊访问权限)
? D 删除(特殊访问权限)
? spec(特殊访问权限)变量仅应用于文件夹,它除了接受与 perm 相同的值以外,还接受以下特殊值: ? T 未指定。为目录本身设置 ACE,而不指定应用于在该目录中创建的新文件的 ACE。至少存在一个要遵循的访问权限。分号 (;) 和 T 之间的项将被忽略。注意: ? 文件的访问权限选项(针对文件夹、特殊文件和文件夹访问)是完全相同的。有关这些选项的详细说明,请参阅 Windows 2000 操作系统的文档。
? 所有其他选项(它们也可以在 Windows 资源管理器中设置)都是基本访问权限的所有可能组合的子集。因此,不存在文件夹访问权限(如 LIST 或 READ)的特殊选项。
/R 用户为指定用户调用所有访问权限。
/P user:perm;spec 替换用户的访问权限。指定 perm 和 spec 的规则与 /G 选项相同。请参阅本文的“Xcacls.exe 示例”部分。
/D 用户拒绝用户访问文件或目录。
/Y 禁止在替换用户访问权限时出现确认提示。默认情况下,CACLS 要求确认。由于存在此功能,在批处理例程中使用 CACLS 时,例程将停止响应并等待输入正确答案。引入 /Y 选项后可消除此确认,从而可以在批处理模式下使用 Xcacls.exe。
使用 Xcacls.exe 查看权限
Xcacls.exe 还可用于查看文件或文件夹的权限。例如,在命令提示符处键入 xcacls C:winnt,然后按 Enter。下面是典型结果:
c:WINNT BUILTINUsers:R
BUILTINUsers:(OI)(CI)(IO)(special access:)
GENERIC_READ
GENERIC_EXECUTE
BUILTINPower Users:C
BUILTINPower Users:(OI)(CI)(IO)C
BUILTINAdministrators:F
BUILTINAdministrators:(OI)(CI)(IO)F
NT AUTHORITYSYSTEM:F
NT AUTHORITYSYSTEM:(OI)(CI)(IO)F
BUILTINAdministrators:F
CREATOR OWNER:(OI)(CI)(IO)F
这些 ACL 标志具有下列含义: ? IO:仅继承 — 此标志表示此 ACE 不应用于当前对象。
? CI:容器继承 — 此标志表示从属容器将继承此 ACE。
? OI:对象继承 — 此标志表示从属文件将继承该 ACE。
? NP:不传播 — 此标志表示从属对象不继续传播继承的 ACE。
每行末尾的字母表示权限。例如: ? F:完全控制
? C:更改
? W:写入
Xcacls.exe 示例
示例 1
在命令提示符下键入 XCACLS *.* /G administrator:RW /Y,然后按 Enter 以替换当前文件夹中所有文件和文件夹的 ACL,而不扫描子文件夹且不进行确认。
示例 2
在本示例中,添加到文件夹的 ACE 还将继承在此文件夹中创建的新文件的 ACE。该命令授予 TestUser 对此文件夹中的所有新建文件的读取、写入、运行和删除权限,但只授予对文件夹本身的读写权限。在命令提示符下键入 XCACLS *.* /G TestUser:RWED;RW /E,然后按 Enter。
示例 3
下面的示例将授予对文件夹的读写权限,而不为新文件创建继承项。因此,在本示例中,此文件夹中的新建文件不会收到 TestUser 的 ACE。对于现有文件,将创建具有读取权限的 ACE。在命令提示符下键入 XCACLS *.* /G TestUser:R;RW /E,然后按 Enter。
实例一:查看文件或文件夹的权限
在“开始→运行”对话框或切换到命令提示符模式下,注意请事先将“c:program files esource kit”添加到“系统属性→高级→环境变量→系统变量”中,或者通过cd
命令将其设置为当前路径,否则会提示找不到文件,然后键入如下命令:
xcacls h: emp
此时,可以查看到所有用户组或用户对h: emp文件夹的访问控制权限,io表示此ace不应用于当前对象,ci表示从属窗口将继承此ace,oi表示从属文件将继承该
ace,np表示从属对象不继续传播继承的ace,而每行末尾的字母表示不同级别的权限,例如f表示完全控制,c表示更改,w表示写入。
实例二:替换文件夹中的acl而不确认
xcacls h: emp /g administrator:rw/y
以上命令将替换h: emp文件夹中所有文件和文件夹的acl,而不扫描子文件夹,也不会要求用户确认。
实例三:赋予某用户对文件夹的控制权限
xcacls h: emp /g wzj9999:rwed;rw /e
以上命令将赋予用户wzj9999对h: emp文件夹中所有新建文件的读取、写入、运行和删除权限,但需要说明的是,这条命令只是赋予了用户对文件夹本身的读写权限,
而不包括子文件夹下的文件。对普通用户来说,cals.exe和xcacls.exe的作用可能不是那么明显,这在windows 2000/xp/server 2003的无人值守安装中特别有用,
管理员可以为操作系统所在的文件夹设置初始访问权限;在将软件分发到服务器或工作站时,还可以借助xcacls.exe提供单步保护,以防止用户误删除文件夹或文件。
NTFS 权限原则
下面是分配 NTFS 权限的原则: ? 使用 NTFS 权限控制对文件和文件夹的访问。
? 将权限分配给组而不是单独用户。
? NTFS 文件权限优先于 NTFS 文件夹权限。
? 管理员以及文件或文件夹的所有者控制可为该对象设置的权限。
? 在更改文件夹权限时,应了解服务器上安装的程序。程序会创建自己的文件夹并打开“允许从父系来的继承权限传播到这个对象”设置。如果更改了父文件夹中的权限,则这些更改可能会导致程序中出现问题。
将 c d e盘的权限修改为Administrators组和system组完全控制
建一个bat文件
echo
xcacls.exe D: /G administrators:FRW /Y >>right.log
xcacls.exe D: /E /G system:FRW /Y >>right.log
xcacls.exe C: /G administrators:FRW /Y >>right.log
xcacls.exe C: /E /G system:FRW /Y >>right.log
xcacls.exe E: /G administrators:FRW /Y >>right.log
xcacls.exe E: /E /G system:FRW /Y >>right.log
pause
2000 kit 中有xcacls.exe 这个软件
微软下载 http://support.microsoft.com/kb/927229
下载Xcacls并安装,完成后将C:Program FilesResource Kit中的xcacls.exe分别复制到c:windowssystem32和c:windowssystem32dllcache目录下。
上一篇:PHPmyadmin 无法载入 mcrypt 扩展 解决办法
下一篇:CSS写法:鼠标经过,表格变色
xcacls "instellation" /G everyone:F administrator:f /y
xcacls "Bluecode" /G everyone:F administrator:f /y
xcacls "mxton" /G everyone:F administrator:f /y
xcacls "techDocuments" /G everyone:F administrator:f /y
--------------------------------------------------------------------------------
禁止访问
xcacls "instellation" /e /d "linli" /y
xcacls "instellation" /e /d "administrator" /y
xcacls "instellation" /e /d "everyone" /y
xcacls "Wmi.test" /e /d "administrator" /y
xcacls "Wmi.test" /e /d "linli" /y
xcacls "instellation" /e /d "everyone" /y
xcacls "mxton" /e /d "system" /y
xcacls "mxton" /e /d "administrator" /y
xcacls "mxton" /e /d "linli" /y
xcacls "techDocuments" /e /d "system" /y
xcacls "techDocuments" /e /d "administrator" /y
xcacls "techDocuments" /e /d "linli" /y
xcacls "Bluecode" /e /d "system" /y
xcacls "Bluecode" /e /d "administrator" /y
xcacls "Bluecode" /e /d "linli" /y
--------------------------------------------------------------------------------
使用 Xcacls.exe 修改 NTFS 权限
Xcacls.exe 语法
xcacls 文件名 [/T] [/E] [/C] [/G user:perm;spec] [/R 用户] [/P user:perm;spec [...]] [/D 用户 [...]] [/Y]
其中文件名表示 ACL 或访问控制项 (ACE) 通常应用于的文件或文件夹的名称。所有标准通配符均可使用。
/T 递归检查当前文件夹及其所有子文件夹,对匹配的文件或文件夹应用所选的访问权限。
/E 编辑 ACL 而不替换它。例如,如果您运行 XCACLS test.dat /G Administrator:F 命令,则只有管理员拥有对 Test.dat 文件的访问权限。之前应用的所有 ACE 都会丢失。
/C 使 Xcacls.exe 在出现“拒绝访问”错误消息时继续执行。如果未指定 /C,则 Xcacls.exe 在出现此错误时停止执行。
/G user:perm;spec 授予用户对匹配文件或文件夹的访问权限。 ? perm(权限)变量对文件应用指定的访问权限,并代表文件夹的特殊文件访问权限掩码。perm 变量接受下列值: ? R 读取
? C 更改(写入)
? F 完全控制
? P 更改权限(特殊访问权限)
? O 取得所有权(特殊访问权限)
? X 执行(特殊访问权限)
? E 读取(特殊访问权限)
? W 写入(特殊访问权限)
? D 删除(特殊访问权限)
? spec(特殊访问权限)变量仅应用于文件夹,它除了接受与 perm 相同的值以外,还接受以下特殊值: ? T 未指定。为目录本身设置 ACE,而不指定应用于在该目录中创建的新文件的 ACE。至少存在一个要遵循的访问权限。分号 (;) 和 T 之间的项将被忽略。注意: ? 文件的访问权限选项(针对文件夹、特殊文件和文件夹访问)是完全相同的。有关这些选项的详细说明,请参阅 Windows 2000 操作系统的文档。
? 所有其他选项(它们也可以在 Windows 资源管理器中设置)都是基本访问权限的所有可能组合的子集。因此,不存在文件夹访问权限(如 LIST 或 READ)的特殊选项。
/R 用户为指定用户调用所有访问权限。
/P user:perm;spec 替换用户的访问权限。指定 perm 和 spec 的规则与 /G 选项相同。请参阅本文的“Xcacls.exe 示例”部分。
/D 用户拒绝用户访问文件或目录。
/Y 禁止在替换用户访问权限时出现确认提示。默认情况下,CACLS 要求确认。由于存在此功能,在批处理例程中使用 CACLS 时,例程将停止响应并等待输入正确答案。引入 /Y 选项后可消除此确认,从而可以在批处理模式下使用 Xcacls.exe。
使用 Xcacls.exe 查看权限
Xcacls.exe 还可用于查看文件或文件夹的权限。例如,在命令提示符处键入 xcacls C:winnt,然后按 Enter。下面是典型结果:
c:WINNT BUILTINUsers:R
BUILTINUsers:(OI)(CI)(IO)(special access:)
GENERIC_READ
GENERIC_EXECUTE
BUILTINPower Users:C
BUILTINPower Users:(OI)(CI)(IO)C
BUILTINAdministrators:F
BUILTINAdministrators:(OI)(CI)(IO)F
NT AUTHORITYSYSTEM:F
NT AUTHORITYSYSTEM:(OI)(CI)(IO)F
BUILTINAdministrators:F
CREATOR OWNER:(OI)(CI)(IO)F
这些 ACL 标志具有下列含义: ? IO:仅继承 — 此标志表示此 ACE 不应用于当前对象。
? CI:容器继承 — 此标志表示从属容器将继承此 ACE。
? OI:对象继承 — 此标志表示从属文件将继承该 ACE。
? NP:不传播 — 此标志表示从属对象不继续传播继承的 ACE。
每行末尾的字母表示权限。例如: ? F:完全控制
? C:更改
? W:写入
Xcacls.exe 示例
示例 1
在命令提示符下键入 XCACLS *.* /G administrator:RW /Y,然后按 Enter 以替换当前文件夹中所有文件和文件夹的 ACL,而不扫描子文件夹且不进行确认。
示例 2
在本示例中,添加到文件夹的 ACE 还将继承在此文件夹中创建的新文件的 ACE。该命令授予 TestUser 对此文件夹中的所有新建文件的读取、写入、运行和删除权限,但只授予对文件夹本身的读写权限。在命令提示符下键入 XCACLS *.* /G TestUser:RWED;RW /E,然后按 Enter。
示例 3
下面的示例将授予对文件夹的读写权限,而不为新文件创建继承项。因此,在本示例中,此文件夹中的新建文件不会收到 TestUser 的 ACE。对于现有文件,将创建具有读取权限的 ACE。在命令提示符下键入 XCACLS *.* /G TestUser:R;RW /E,然后按 Enter。
实例一:查看文件或文件夹的权限
在“开始→运行”对话框或切换到命令提示符模式下,注意请事先将“c:program files esource kit”添加到“系统属性→高级→环境变量→系统变量”中,或者通过cd
命令将其设置为当前路径,否则会提示找不到文件,然后键入如下命令:
xcacls h: emp
此时,可以查看到所有用户组或用户对h: emp文件夹的访问控制权限,io表示此ace不应用于当前对象,ci表示从属窗口将继承此ace,oi表示从属文件将继承该
ace,np表示从属对象不继续传播继承的ace,而每行末尾的字母表示不同级别的权限,例如f表示完全控制,c表示更改,w表示写入。
实例二:替换文件夹中的acl而不确认
xcacls h: emp /g administrator:rw/y
以上命令将替换h: emp文件夹中所有文件和文件夹的acl,而不扫描子文件夹,也不会要求用户确认。
实例三:赋予某用户对文件夹的控制权限
xcacls h: emp /g wzj9999:rwed;rw /e
以上命令将赋予用户wzj9999对h: emp文件夹中所有新建文件的读取、写入、运行和删除权限,但需要说明的是,这条命令只是赋予了用户对文件夹本身的读写权限,
而不包括子文件夹下的文件。对普通用户来说,cals.exe和xcacls.exe的作用可能不是那么明显,这在windows 2000/xp/server 2003的无人值守安装中特别有用,
管理员可以为操作系统所在的文件夹设置初始访问权限;在将软件分发到服务器或工作站时,还可以借助xcacls.exe提供单步保护,以防止用户误删除文件夹或文件。
NTFS 权限原则
下面是分配 NTFS 权限的原则: ? 使用 NTFS 权限控制对文件和文件夹的访问。
? 将权限分配给组而不是单独用户。
? NTFS 文件权限优先于 NTFS 文件夹权限。
? 管理员以及文件或文件夹的所有者控制可为该对象设置的权限。
? 在更改文件夹权限时,应了解服务器上安装的程序。程序会创建自己的文件夹并打开“允许从父系来的继承权限传播到这个对象”设置。如果更改了父文件夹中的权限,则这些更改可能会导致程序中出现问题。
将 c d e盘的权限修改为Administrators组和system组完全控制
建一个bat文件
echo
xcacls.exe D: /G administrators:FRW /Y >>right.log
xcacls.exe D: /E /G system:FRW /Y >>right.log
xcacls.exe C: /G administrators:FRW /Y >>right.log
xcacls.exe C: /E /G system:FRW /Y >>right.log
xcacls.exe E: /G administrators:FRW /Y >>right.log
xcacls.exe E: /E /G system:FRW /Y >>right.log
pause
2000 kit 中有xcacls.exe 这个软件
微软下载 http://support.microsoft.com/kb/927229
下载Xcacls并安装,完成后将C:Program FilesResource Kit中的xcacls.exe分别复制到c:windowssystem32和c:windowssystem32dllcache目录下。
上一篇:PHPmyadmin 无法载入 mcrypt 扩展 解决办法
下一篇:CSS写法:鼠标经过,表格变色
- Linux文章
- PHP文章
- 随机文章
- Linux中的find(-atime...
- mysql的expire_logs_...
- PHP 扩展 libsodium s...
- Linux下利用find和cp实现筛...
- 使用mysqldump命令导出备份m...
- Linux系统如何设置开机自动运行脚...
- Linux上实现秒级执行的定时任务
- shell echo -e 颜色输出
- Linux下通过grep查找指定的进...
- 解决执行脚本报syntax erro...
发表评论
昵称: 验证码: