В данной статье подробно рассмотрены вопросы использования программы Xcacls.exe (средства Extended Change Access Control List) для просмотра и изменения разрешений NTFS для файлов и папок.

С помощью Xcacls.exe можно установить все параметры безопасности для файловой системы, доступ к которым осуществляется из командной строки в проводнике (с этой целью Xcacls.exe отображает и изменяет списки управления доступом (ACL) файлов).

Рекомендуется использовать Xcacls.exe для автоматической установки Windows 2000 Professional или Windows 2000 Server. С ее помощью устанавливаются исходные права доступа для папок, в которых находятся файлы операционной системы. В процессе переноса программного обеспечения на серверы и рабочие станции Xcacls.exe обеспечивает одноступенчатую защиту от удаления пользователем файлов и папок.

Программа Xcacls.exe входит в состав пакета Windows 2000 Resource Kit. В центре загрузки Microsoft доступен следующий файл:

Загрузить пакет XCacls_Installer.exe. (http://www.microsoft.com/downloads/details.aspx?FamilyID=0ad33a24-0616-473c-b103-c35bc2820bda&DisplayLang=en)

Перейти к началу страницы

Синтаксис Xcacls.exe

где имя_файла — имя файла или папки, к которой обычно применяется список или элемент управления доступом. Можно использовать любые стандартные подстановочные знаки.

/T Рекурсивно просмотреть текущую и все вложенные папки, назначая указанные права доступа всем файлам и папкам, которые удовлетворяют требованиям.

/E — редактировать список управления доступом (не заменяя его). Например, после выполнения команды XCACLS test.dat /G Administrator:F доступом к файлу Test.dat обладает только учетная запись администратора. Все примененные ранее элементы управления доступом отменяются.

/C — Xcacls.exe продолжает работу даже после получения сообщения «Отказано в доступе». Если параметр /C не указан, появление этого сообщения приводит к остановке программы.

/G — пользователь:разрешение;особ_доступ Предоставить пользователю доступ к определенному файлу или папке.

•

Переменная разрешение служит для назначения указанных прав доступа к файлам и определения особой маски доступа к файлам для папок. Переменная разрешение принимает следующие значения: • R — чтение • C — изменение (запись) • F — полный доступ • P — изменение разрешений (особый доступ) • O — смена владельца (особый доступ) • X — запуск (особый доступ) • E — чтение (особый доступ) • W — запись (особый доступ) • D — удаление (особый доступ)

•

Переменная особ_доступ (особый доступ) используется только с папками; принимает те же значения, что и переменная разрешение, а также следующее особое значение: • T — значение не определено — назначить элемент управления доступом для каталога без указания элемента, который используется для создаваемых в этой папке файлов. Должно быть указано хотя бы одно право доступа. Текст между точкой с запятой (;) и параметром Т не учитывается. Примечания. • Параметры доступа для файлов (для папок — особого доступа к файлам и папкам) идентичны. Подробное описание этих параметров см. в документации к системе Windows 2000. • Прочие параметры (также назначаются в проводнике) представляют собой подмножества всех возможных сочетаний основных прав доступа. По этой причине особые права доступа к папкам (например, LIST или READ) отсутствуют.

/R пользователь Отменить все права доступа для указанного пользователя.

/P пользователь:разрешение;особ_доступ — заменить права доступа для указанного пользователя. Переменные «разрешение» и «особ_доступ» определяются по правилам, описанным для параметра /G. См. раздел Примеры использования Xcacls.exe этой статьи.

/D пользователь — запретить пользователю доступ к файлу или папке.

/Y — Отменить вывод запроса на подтверждение изменения прав доступа. Программа CACLS выводит такой запрос по умолчанию. По этой причине, если команда CACLS используется в составе пакетного файла, его выполнение прерывается до получения ответа на запрос. Параметр /Y используется для подавления вывода окна запроса в случае использования Xcacls.exe в пакетном режиме.

Перейти к началу страницы

Использование программы Xcacls.exe для просмотра разрешений

Программу Xcacls.exe также можно использовать для просмотра разрешений для файлов и папок. Например, введите в командной строке xcacls C:\winnt и нажмите клавишу ВВОД. Обычно программа возвращает следующий результат.

c:\WINNT BUILTIN\Users:R
           BUILTIN\Users:(OI)(CI)(IO)(special access:)
                                     GENERIC_READ
                                     GENERIC_EXECUTE

           BUILTIN\Power Users:C
           BUILTIN\Power Users:(OI)(CI)(IO)C
           BUILTIN\Administrators:F
           BUILTIN\Administrators:(OI)(CI)(IO)F
           NT AUTHORITY\SYSTEM:F
           NT AUTHORITY\SYSTEM:(OI)(CI)(IO)F
           BUILTIN\Administrators:F
           CREATOR OWNER:(OI)(CI)(IO)F
				

Флаги списка управления доступом имеют следующее значение.

•	IO: Inherit Only (только наследование) — данный элемент управления доступом не применяется к текущему объекту.
•	CI: Container Inherit (наследование контейнерами) — данный элемент управления доступом наследуется контейнерами более низкого уровня.
•	OI: Object Inherit (наследование объектами) — данный элемент управления доступом наследуется файлами более низкого уровня.
•	NP: Non-Propagate (не распространять) — объект более низкого уровня не передает дальше унаследованный элемент управления доступом.

Буква в конце каждой строки означает разрешение. Например:

•	F — полный доступ
•	C — изменение
•	W — запись

Перейти к началу страницы

Примеры использования Xcacls.exe

Пример 1

Чтобы заменить список ACL для всех файлов и папок в текущей папке без просмотра вложенных папок и вывода запроса на подтверждение, введите в командной строке XCACLS *.* /G administrator:RW /Y и нажмите клавишу ВВОД.

Пример 2

Добавленные в данном примере элементы управления доступом также наследуют элементы управления доступом новых файлов, которые создаются в данной папке. После ввода данной команды пользователь TestUser получает право читать, изменять, запускать и удалять все файлы, которые создаются в данной папке, но имеет разрешение только на чтение и запись для самой папки. Введите в командной строке XCACLS *.* /G TestUser:RWED;RW /E и нажмите клавишу ВВОД.

Пример 3

В данном примере устанавливаются разрешения на чтение и запись в папку без создания наследуемого элемента для новых файлов. По этой причине для пользователя TestUser создаваемым в данной папке файлам не назначается элемент управления доступом. Для существующих файлов создается элемент управления доступом с разрешениями на чтение. Введите в командной строке XCACLS *.* /G TestUser:R;RW /E и нажмите клавишу ВВОД.

Перейти к началу страницы

Инструкции по назначению разрешений NTFS

Назначая разрешения NTFS, принимайте во внимание следующее.

•	Разрешения NTFS служат для управления доступом к файлам и папкам.
•	Целесообразно устанавливать разрешения для групп, а не отдельных пользователей.
•	Разрешения для файлов имеют преимущество перед разрешениями для папок.
•	Назначением разрешений управляют администраторы и владелец объекта.
•	Изменяя разрешения для папок, помните о программах, которые установлены на сервере. Программы создают собственные папки, для которых устанавливается параметр Переносить наследуемые от родительского объекта разрешения на этот объект. Изменение разрешений в родительской папке может вызвать неполадки в работе программ. Предупреждение . Многие папки и файлы получают разрешения через механизм наследования. Следовательно, изменение разрешений для одной папки может повлиять на другие объекты.

Перейти к началу страницы

Дополнительные сведения см. в следующих статьях базы знаний Майкрософт.

Перейти к началу страницы