找回密码
 立即注册

QQ登录

只需一步,快速开始

教程经验总索引TVMW5/小日本5 索引【视频转换】小日本4/TE4XP 索引【视频转换】TAW4 / TDA3 索引【DVD打包软件】
Nero 索引DVD-Lab 索引【DVD打包软件】编解码器 索引 【必读】固顶帖011号
查看: 3752|回复: 0

[教程] Windows 命令行下修改文件访问控制权限

[复制链接]

9333

威望

822

金钱

1万

贡献

管理员

自由的灵魂

积分
100462
主题
5590
回帖
26311
注册时间
2003-4-10
最后登录
2024-11-25
发表于 2009-5-26 10:32:13 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?立即注册

×
本帖最后由 IsaacZ 于 2009-5-26 11:15 编辑

  随着Windows XP/Server 2003的流行,越来越多的用户开始选择NTFS文件系统,NTFS的好处自然是大大增强了系统的安全性,在“安全”标签页下,我们可以在这里为不同级别的用户设置相应的访问控制权限,包括完全控制、修改、读取和运行、列出文件夹目录、读取、写入、特别的权限等,你只需要在“允许”和“拒绝”下简单勾选即可,点击“高级”按钮还可以设置更多的特殊权限,这里就不多说了。
  其实,除了在图形用户界面下对文件或文件夹的访问控制权限进行设置外,我们还可以在命令行方式下完成这项工作,这在由于某些原因无法进入图形用户界面时特别实用,虽然使用时有些麻烦,但却可以救急。

  一、使用Cacls.exe命令

  这是一个在Windows 2000/XP/Server 2003操作系统下都可以使用的命令,作用是显示或者修改文件的访问控制表,在命令中可以使用通配符指定多个文件,也可以在命令中指定多个用户。命令语法如下:  
  
  1. Cacls filename [/T] [/E] [/C] [/G user:perm] [/R user [...]] [/P user:perm [...]] [/D user [...]]
复制代码
  Filename:显示访问控制列表(以下简称ACL)  
  /T:更改当前目录及其所有子目录中指定文件的ACL  
  /E:编辑ACL而不替换  
  /C:在出现拒绝访问错误时继续    
  /G Userer:perm:赋予指定用户访问权限,Perm代表不同级别的访问权限,其值可以是R(读取)、W(写入)、C(更改,写入)、F(完全控制)等。  
  /R user:撤销指定用户的访问权限,注意该参数仅在与“/E”一起使用时有效。  
  /P user:perm:替换指定用户的访问权限,perm的含义同前,但增加了“N(无)”的选项。
  /D user:拒绝指定用户的访问。

  实例一:查看文件夹的访问控制权限

  例如,这里我们希望查看h:/temp文件夹的访问控制权限,那么只需要在“开始→运行”对话框或切换到命令提示符模式下,键入如下命令:Cacls h:/temp
  此时,我们会看到所有用户组和用户对h:/temp文件夹的访问控制权限项目,这里的CI表示ACE会由目录继承,OI表示ACE会由文件继承,IO表示ACI不适用于当前文件或目录,每行末尾的字母表示控制权限,例如F表示完全控制,C表示更改,W表示写入。
  如果你希望查看该文件夹中所有文件(包括子文件夹中的文件)的访问控制权限,可以键入“Cacls h:/temp .”命令。

  实例二:修改文件夹的访问控制权限

  假如你希望给予本地用户wzj9999完全控制h: emp文件夹及子文件夹中所有文件的访问权限,只需要键入如下命令:   
  
  1. Cacls h:/temp /t /e /c /g wzj9999:f
复制代码
  这里的“/t”表示修改文件夹及子文件夹中所有文件的ACL,“/e”表示仅做编辑工作而不替换,“/c”表示在出现拒绝访问错误时继续,而“/g wzj9999:f”表示给予本地用户wzj9999以完全控制的权限,这里的“f”代表完全控制,如果只是希望给予读取权限,那么应当是“r”。
  实例三:撤销用户的访问控制权限
  如果你希望撤销wzj9999用户对h: emp文件夹及其子文件夹的访问控制权限,可以键入如下命令:
  
  1. cacls h:/temp /t /e /c /r wzj9999
复制代码
  如果只是拒绝用户的访问,那么可以键入如下命令:
  
  1. cacls h:/temp /t /e /c /d wzj9999
复制代码
  二、使用增强工具xcals.exe

  在windows 2000资源工具包中,微软还提供了一个名为xcacls.exe的文件控制权限修改工具,其功能较cacls.exe更为强大,可以通过命令行设置所有可以在windows资源管理器中访问到的文件系统安全选项,我们可以从http://www.microsoft.com/windows ... isting/xcacls-o.asp下载,安装后即可使用。
  xcacls.exe命令的语法和参数与cacls.exe基本相同,但不同的是它通过显示和修改文件的访问控制列表(acl)执行此操作。在“/g”参数后除保持原有的perm权限外,还增加了spec(特殊访问权限)的选项,另外还增加了“/y”的参数,表示禁止在替换用户访问权限时出现确认提示,而默认情况下,cacls.exe是要求确认的,这样在批处理中调用cacls.exe命令时,程序将停止响应并等待输入正确的答案,引入“/y”参数后将可以取消此确认,这样我们就可以在批处理中使用xcacls.exe命令了。

  实例一:查看文件或文件夹的权限

  在“开始→运行”对话框或切换到命令提示符模式下,注意请事先将“c:/program files/resource kit”添加到“系统属性→高级→环境变量→系统变量”中,或者通过cd命令将其设置为当前路径,否则会提示找不到文件,然后键入如下命令:
  
  1. xcacls h:/temp
复制代码
  此时,可以查看到所有用户组或用户对h:/temp文件夹的访问控制权限,io表示此ace不应用于当前对象,ci表示从属窗口将继承此ace,oi表示从属文件将继承该ace,np表示从属对象不继续传播继承的ace,而每行末尾的字母表示不同级别的权限,例如f表示完全控制,c表示更改,w表示写入。

  实例二:替换文件夹中的acl而不确认

  
  1. xcacls h:/temp /g administrator:rw/y
复制代码
  以上命令将替换h:/temp文件夹中所有文件和文件夹的acl,而不扫描子文件夹,也不会要求用户确认。

  实例三:赋予某用户对文件夹的控制权限

  
  1. xcacls h:/temp /g wzj9999:rwed;rw /e
复制代码
  以上命令将赋予用户wzj9999对h:/temp文件夹中所有新建文件的读取、写入、运行和删除权限,但需要说明的是,这条命令只是赋予了用户对文件夹本身的读写权限,而不包括子文件夹下的文件。


  对普通用户来说,cals.exe和xcacls.exe的作用可能不是那么明显,这在windows 2000/xp/server 2003的无人值守安装中特别有用,管理员可以为操作系统所在的文件夹设置初始访问权限;在将软件分发到服务器或工作站时,还可以借助xcacls.exe提供单步保护,以防止用户误删除文件夹或文件。
IsaacZ的发言中如果提到任何字母缩写或专有名词,在本论坛中一般都能搜索到。点此立即搜索点拨论坛。如有搜索不到的,请尝试搜索百度百科,或者跟帖提问。
发帖前请注意看置顶帖。如果你发现自己的问题没有得到回答,说明你的问题提错了地方或者提问前未先阅读版规。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|点拨论坛 |网站地图

GMT+8, 2024-11-25 08:07 , Processed in 0.216601 second(s), 4 queries , Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表