使用xcacls.vbs(cacls.exe)修改NTFS權(quán)限說明(中文版)第1/2頁

2020-07-26 11:52:18

字體：大中小

供稿：網(wǎng)友

概要
Microsoft 以 Microsoft Visual Basic 腳本 (Xcacls.vbs) 的形式提供了 Extended Change Access Control List（擴(kuò)展更改訪問控制列表）工具 (Xcacls.exe) 的更新版本。本文分步介紹如何使用 Xcacls.vbs 腳本修改和查看文件或文件夾的 NTFS 文件系統(tǒng)權(quán)限。可以從命令行使用 Xcacls.vbs 設(shè)置所有可在 Microsoft Windows 資源管理器中訪問的文件系統(tǒng)安全選項(xiàng)。Xcacls.vbs 可顯示和修改文件的訪問控制列表 (ACL)。

注意：Xcacls.vbs 只與 Microsoft Windows 2000、Microsoft Windows XP 和 Microsoft Windows Server 2003 兼容。Microsoft 不支持 Xcacls.vbs。

設(shè)置和使用 Xcacls.vbs
要設(shè)置和使用 Xcacls.vbs，請(qǐng)按照下列步驟操作：
1. 從以下 Microsoft 網(wǎng)站獲得 Xcacls.vbs 的最新版本：
http://download.microsoft.com/download/f/7/8/f786aaf3-a37b-45ab-b0a2-8c8c18bbf483/XCacls_Installer.exe (http://download.microsoft.com/download/f/7/8/f786aaf3-a37b-45ab-b0a2-8c8c18bbf483/xcacls_installer.exe)

XCACLS.vbs直接下載http://xiazai.VeVB.COm/201008/tools/XCACLS.rar
2. 雙擊“Xcacls_Installer.exe”。當(dāng)提示您提供放置提取文件的位置時(shí)，請(qǐng)指定一個(gè)位于計(jì)算機(jī)的搜索路徑設(shè)置中的文件夾（如 C:/Windows）。
3. 將默認(rèn)腳本引擎從 Wscript 更改為 Cscript。（Xcacls.vbs 腳本最適合在 Cscript 下運(yùn)行。）為此，請(qǐng)?jiān)诿钐崾痉骆I入以下內(nèi)容，然后按 Enter：
cscript.exe /h:cscript
注意：將默認(rèn)腳本引擎更改為 Cscript 只影響腳本向屏幕寫入的方式。Wscript 根據(jù)“確定”對(duì)話框分別寫入每一行。Cscript 將每一行寫入命令窗口。如果您不想更改默認(rèn)腳本引擎，則必須使用以下命令運(yùn)行腳本
cscript.exe xcacls.vbs
但是，如果將默認(rèn)腳本更改為 Cscript，則可以使用以下命令運(yùn)行該腳本：
xcacls.vbs
.
4. 要查看 Xcacls.vbs 的命令語法，請(qǐng)?jiān)诿钐崾痉庢I入下面的命令：
xcacls.vbs /?

Xcacls.vbs 命令的語法
下面 xcacls.vbs /? 命令的輸出描述了 Xcacls.vbs 命令的語法：

Usage:
XCACLS filename [/E] [/G user:perm;spec] [...] [/R user [...]]
[/F] [/S] [/T]
[/P user:perm;spec [...]] [/D user:perm;spec] [...]
[/O user] [/I ENABLE/COPY/REMOVE] [/N
[/L filename] [/Q] [/DEBUG]

filename [Required] If used alone, it displays ACLs.
(Filename can be a filename, directory name or
wildcard characters and can include the whole
path. If path is missing, it is assumed to be
under the current directory.)
Notes:
- Put filename in quotes if it has spaces or
special characters such as &, $, #, etc.
- If filename is a directory, all files and
subdirectories under it will NOT be changed
unless the /F or S is present.

/F [Used with Directory or Wildcard] This will change all
files under the inputted directory but will NOT
traverse subdirectories unless /T is also present.
If filename is a directory, and /F is not used, no
files will be touched.

/S [Used with Directory or Wildcard] This will change all
subfolders under the inputted directory but will NOT
traverse subdirectories unless /T is also present.
If filename is a directory, and /S is not used, no
subdirectories will be touched.

/T [Used only with a Directory] Traverses each
subdirectory and makes the same changes.
This switch will traverse directories only if the
filename is a directory or is using wildcard characters.
/E Edit ACL instead of replacing it.

/G user:GUI Grant security permissions similar to Windows GUI
standard (non-advanced) choices.
/G user:Perm;Spec Grant specified user access rights.
(/G adds to existing rights for user)

User: If User has spaces in it, enclose it in quotes.
If User contains #machine#, it will replace
#machine# with the actual machine name if it is a
non-domain controller, and replace it with the
actual domain name if it is a domain controller.

New to 3.0: User can be a string representing
the actual SID, but MUST be lead by SID#
Example: SID#S-1-5-21-2127521184-160...
(SID string shown has been shortened)
(If any user has SID# then globally all
matches must match the SID (not name)
so if your intention is to apply changes
to all accounts that match Domain/User
then do not specify SID# as one of the
users.)

GUI: Is for standard rights and can be:
Permissions...
F Full control
M Modify
X read and eXecute
L List folder contents
R Read
W Write
Note: If a ; is present, this will be considered
a Perm;Spec parameter pair.

Perm: Is for "Files Only" and can be:
Permissions...
F Full control
M Modify
X read and eXecute
R Read
W Write
Advanced...
D Take Ownership
C Change Permissions
B Read Permissions
A Delete
9 Write Attributes
8 Read Attributes
7 Delete Subfolders and Files
6 Traverse Folder / Execute File
5 Write Extended Attributes
4 Read Extended Attributes
3 Create Folders / Append Data
2 Create Files / Write Data
1 List Folder / Read Data
Spec is for "Folder and Subfolders only" and has the
same choices as Perm.

/R user Revoke specified user's access rights.
(Will remove any Allowed or Denied ACL's for user.)

/P user:GUI Replace security permissions similar to standard choices.

/P user:perm;spec Replace specified user's access rights.
For access right specification see /G option.
(/P behaves like /G if there are no rights set for user.)

/D user:GUI Deny security permissions similar to standard choices.
/D user:perm;spec Deny specified user access rights.
For access right specification see /G option.
(/D adds to existing rights for user.)

/O user Change the Ownership to this user or group.

/I switch Inheritance flag. If omitted, the default is to not touch
Inherited ACL's. Switch can be:
ENABLE - This will turn on the Inheritance flag if
it is not on already.
COPY - This will turn off the Inheritance flag and
copy the Inherited ACL's
into Effective ACL's.
REMOVE - This will turn off the Inheritance flag and
will not copy the Inherited
ACL's. This is the opposite of ENABLE.
If switch is not present, /I will be ignored and
Inherited ACL's will remain untouched.

/L filename Filename for Logging. This can include a path name
if the file is not under the current directory.
File will be appended to, or created if it does not
exit. Must be Text file if it exists or error will occur.

If filename is omitted, the default name of XCACLS will
be used.

/Q Turn on Quiet mode. By default, it is off.
If it is turned on, there will be no display to the screen.

/DEBUG Turn on Debug mode. By default, it is off.
If it is turned on, there will be more information
displayed and/or logged. Information will show
Sub/Function Enter and Exit as well as other important
information.

/SERVER servername Enter a remote server to run script against.

/USER username Enter Username to impersonate for Remote Connections
(requires PASS switch). Will be ignored if it is for a Local Connection.

/PASS password Enter Password to go with USER switch
(requires USER switch).

Wildcard characters can be used to specify more than one file in a command, such as:
* Any string of zero or more characters
? Any single character

You can specify more than one user in a command.
You can combine access rights.==========================================================
青云翻譯如下:

Xcacls.vbs 命令的語法
下面 xcacls.vbs /? 命令的輸出描述了 Xcacls.vbs 命令的語法：

Usage:
XCACLS filename [/E] [/G user:perm;spec] [...] [/R user [...]]
[/F] [/S] [/T]
[/P user:perm;spec [...]] [/D user:perm;spec] [...]
[/O user] [/I ENABLE/COPY/REMOVE] [/N
[/L filename] [/Q] [/DEBUG]

filename [要求]如果單獨(dú)地使用，它顯示ACL。
(文件名能是一文件名并且能包括全部道路，目錄名字orwildcard性格。
如果道路是丟失的，beunder當(dāng)前的目錄假定的。)
注意到:
- 如果它有諸如的空間或者特殊的性格，將文件名放在行情中 &, $, #, 等等.
- 如果文件名是一個(gè)目錄，所有文件和在它之下的子目錄將不被改變除非與F或者S是出席的.

/F [與目錄或者通配符使用]這將改變所有在輸入目錄之下的文件但是將不橫過子目錄除非與T是也出席的.
如果文件名是一個(gè)目錄，和與F將不是加以使用，沒有文件將被觸到。

/S [與目錄或者通配符使用]這將改變所有在輸入目錄之下的subfolders但是將不橫過子目錄除非與T是也出席的。
如果文件名是一個(gè)目錄，和與S將不是加以使用，沒有子目錄將被觸到。

/T [僅僅與一個(gè)目錄使用]橫過每一子目錄并且制定同樣的改變。
這個(gè)開關(guān)將橫過目錄僅當(dāng)文件名是一個(gè)目錄或者使用通配符。
/E 編輯ACL而不是替換它。

/G user:GUI 應(yīng)允類似于Windows GUI的安全允許標(biāo)準(zhǔn)(非先進(jìn))的選擇。
/G user:Perm;Spec 給予指定用戶接近權(quán)利。
(/G 為了用戶予以添加到現(xiàn)有的權(quán)利)

用戶：如果用戶在其中有空間，在行情中封入它。
如果用戶包含#machine#，它將替換 #帶有實(shí)際的機(jī)器名字的machine#如果它是a 非領(lǐng)域控制器，
并且以替換它實(shí)際的域名如果它是一個(gè)領(lǐng)域控制器。

對(duì)3.0不熟悉：用戶能是串代表實(shí)際的SID，但是肯定SID的引導(dǎo)#
例子: SID#S-1-5-21-2127521184-160...
(SID串顯示已被縮短)
(如果任何用戶有SID#然后在全球所有比賽必須匹配SID (不命名) 那么如果你的意圖
是運(yùn)用改變對(duì)于與領(lǐng)域/用戶匹配的所有原由然后，不要把SID#不規(guī)定成為的一用戶。)

圖形：為了標(biāo)準(zhǔn)權(quán)利并且能:
權(quán)限...
F 完全控制
M 修改
X 讀取并且執(zhí)行
L 列出文件夾內(nèi)容
R 讀取
W 寫入
注意: 如果 a ; 是當(dāng)前的, 這將被考慮
一Perm；Spec參數(shù)雙。

Perm：為了“只有文件”并且能:
權(quán)限...
F 完全控制
M 修改
X 讀取并且執(zhí)行
R 讀取
W 寫入
高級(jí)的...
D 獲取所有權(quán)
C 改變?cè)试S
B 閱讀允許
A 刪除
9 寫屬性
8 讀取屬性
7 刪除子文件夾和文件
6 穿過文件夾 / 執(zhí)行文件
5 寫擴(kuò)展的屬性
4 讀取擴(kuò)展的屬性
3 創(chuàng)建文件夾 / 附加數(shù)據(jù)
2 創(chuàng)建文件 / 寫數(shù)據(jù)
1 列出文件夾 / 讀取數(shù)據(jù)
Spec為了“只有文件夾和子文件夾”并且有作為Perm的同樣的選擇。

/R user 撤銷指定的用戶的接近權(quán)利。
(將移去ACL為了用戶允許或者予以否認(rèn)的任何。)

/P user:GUI 替換類似于標(biāo)準(zhǔn)的選擇的安全允許。

/P user:perm;spec 替換被指定的用戶存取權(quán)利。
為存取權(quán)說明參見/G 選項(xiàng)。
(/P 表現(xiàn)象/G 如果沒有權(quán)利被設(shè)置為用戶。)
/D user:GUI 拒絕類似于標(biāo)準(zhǔn)的選擇的安全允許。
/D user:perm;spec 拒絕指定的用戶接近權(quán)利。
為存取權(quán)說明參見/G 選項(xiàng)。
(/D 添加在現(xiàn)有的右邊為用戶。)
/O user 改變所有權(quán)到這個(gè)用戶或組。

/I switch 繼承標(biāo)志。如果省去, 默認(rèn)值將不接觸
被繼承的ACL's 。切換可能是:
ENABLE - 如果它已經(jīng)不打開，這將打開繼承標(biāo)志
COPY - 這將關(guān)閉繼承標(biāo)志和將復(fù)制被繼承的ACL's
到有效的ACL中` s。
REMOVE - 這將關(guān)閉繼承標(biāo)志并且將不復(fù)制繼承的ACL ` s。
這是實(shí)現(xiàn)的相反的。
如果切換不是存在, /I 將被忽略并且被繼承的ACL's 將保留未觸動(dòng)過。

/L filename 記錄的文件名. 如果文件不是在當(dāng)前的目錄下面這可能包括路徑名字。
是否它不退出，文件將被附加到，或者創(chuàng)造。如果它存在，肯定正文文件或者差錯(cuò)將發(fā)生。

如果文件名被省去, XCACLS 的缺省名將被使用。

/Q 打開安靜的方式。缺省，它離開。
如果它被打開，將沒有顯示到屏幕。

/DEBUG 打開調(diào)試方式。缺省，它離開。
如果它打開, 有將是更多信息被顯示并且/或者被記錄。
信息顯示Sub/Function 進(jìn)入和退出并且其它重要信息。

/SERVER servername 輸入一臺(tái)遠(yuǎn)程服務(wù)器運(yùn)行腳本針對(duì)。

/USER username 進(jìn)入用戶名扮演為遠(yuǎn)程連接數(shù)(要求通過切換) 。將被忽略如果它是為局部連接數(shù)。

/PASS password 輸入口令連同用戶切換
(要求用戶切換).

通配符可能被使用指定超過一個(gè)文件在一個(gè)指令, 譬如:
* 零個(gè)或更多字符任何字符串
? 任何單一字符

你能在一種命令中規(guī)定超過一個(gè)用戶。
你能結(jié)合接近權(quán)利。

==========================================================

使用 Xcacls.vbs 查看權(quán)限

Xcacls.vbs 還可用于查看文件或文件夾的權(quán)限。例如，如果您有一個(gè)名為 C:/Test 的文件夾，在命令提示符處鍵入以下命令以查看文件夾權(quán)限，然后按 Enter：
xcacls.vbs c:/test
下面的示例是一個(gè)典型結(jié)果：
C:/>XCACLS.VBS c:/test
Microsoft (R) Windows Script Host 5.6
版權(quán)所有 (C) Microsoft Corporation 1996-2001。保留所有權(quán)利。

Starting XCACLS.VBS (Version: 3.4) Script at 6/11/2003 10:55:21 AM

Startup directory:
"C:/test"

Arguments Used:
Filename = "c:/test"

**************************************************************************
Directory:C:/test

Permissions:
Type Username Permissions Inheritance

Allowed BUILTIN/Administrators Full Control This Folder, Subfolde
Allowed NT AUTHORITY/SYSTEM Full Control This Folder, Subfolde
Allowed Domain1/User1 Full Control This Folder Only
Allowed /CREATOR OWNER Special (Unknown) Subfolders and Files
Allowed BUILTIN/Users Read and Execute This Folder, Subfolde
Allowed BUILTIN/Users Create Folders / Appe This Folder and Subfo
Allowed BUILTIN/Users Create Files / Write This Folder and Subfo

No Auditing set

Owner:Domain1/User1

注意：在該示例中，xcacls.vbs c:/test 命令的輸出與顯示在圖形用戶界面 (GUI) 的文本一致。命令窗口的一些文字不完整。

輸出還給出了腳本的版本、啟動(dòng)目錄和使用的參數(shù)。

您還可以使用通配符來顯示目錄下匹配的文件。例如，如果鍵入以下命令，將會(huì)顯示 C:/Test 文件夾中所有具有“.log”擴(kuò)展名的文件：
xcacls.vbs c:/test/*.log
示例

下列 Xcacls.vbs 命令提供 Xcacls.vbs 用法的一些示例：

xcacls.vbs c:/test/ /g domain/testuser1:f /f /t /e
該命令可編輯現(xiàn)有權(quán)限。它授予 Domain/TestUser1 完全控制 C:/Test 下所有文件的權(quán)限，遍歷 C:/Test 下的子文件夾，然后更改找到的所有文件。該命令不觸及目錄。
xcacls.vbs c:/test/ /g domain/testuser1:f /s /l "c:/xcacls.log"
該命令可替換現(xiàn)有權(quán)限。它授予 Domain/TestUser1 完全控制 C:/Test 下所有子文件夾的權(quán)限，而且記錄到 C:/Xcacls.log。該命令不觸及文件，并且不遍歷目錄。
xcacls.vbs c:/test/readme.txt /o "machinea/group1"
該命令將自述文件的所有者更改為組 MachineA/Group1。
xcacls.vbs c:/test/badcode.exe /r "machinea/group1" /r "domain/testuser1"
該命令撤消 MachineA/Group1 和 Domain/TestUser1 的 C:/Test/Badcode.exe 權(quán)限。
xcacls.vbs c:/test/subdir1 /i enable /q
該命令將打開文件夾 C:/Test/Subdir1 上的繼承。該命令將取消任何屏幕輸出。
xcacls.vbs //servera/sharez/testpage.htm /p "domain/group2":14
此命令通過使用 Windows Management Instrumentation (WMI) 遠(yuǎn)程連接到 //ServerA/ShareZ。然后獲取用于該共享的本地路徑，在該路徑下，它更改 Testpage.htm 上的權(quán)限。它原封保留 Domain/Group2 的現(xiàn)有權(quán)限，但是添加權(quán)限 1（讀取數(shù)據(jù)）和權(quán)限 4（讀取擴(kuò)展屬性）。該命令放棄此文件上的其他權(quán)限，原因是未使用 /e 開關(guān)。
xcacls.vbs d:/default.htm /g "domain/group2":f /server servera /user servera/admin /pass password /e
該命令使用 WMI 作為 ServerA/Admin 遠(yuǎn)程連接到 ServerA，然后將 Default.htm 上的完全權(quán)限授予 Domain/Group2。Domain/Group2 的現(xiàn)有權(quán)限丟失，但保留文件上的其他權(quán)限。

參考
有關(guān)如何使用 Xcacls.exe 其他信息，請(qǐng)單擊下面的文章編號(hào)，以查看 Microsoft 知識(shí)庫中相應(yīng)的文章：
318754 (http://support.microsoft.com/kb/318754/) 如何使用 Xcacls.exe 修改 NTFS 權(quán)限