使用xcacls.vbs(cacls.exe)修改NTFS权限说明(中文版)

这一页是对上面内容的补充
使用 cacls.exe 可以通过命令行设置所有可在 Windows 资源管理器中访问到的文件系统安全选项。Xcacls.exe 通过显示和修改文件的访问控制列表 (ACL) 完成此操作。
cacls.exe 在 Windows 2000 Professional 或 Windows 2000 Server 的无值守安装中特别有用。通过使用此工具，可以为操作系统所在的文件夹设置初始访问权限。在您将软件分发到服务器或工作站时，cacls.exe 还提供单步保护，以防止用户删除文件夹或文件。
cacls.exe 实用工具包含在 Windows 2000 资源工具包 中。 对应的脚本文件xcacls.vbs可以从这里下载：
下载 XCacls_Installer.exe 软件包。 网址：(http://www.microsoft-com/downloads/details.aspx?FamilyID=0ad33a24-0616-473c-b103-c35bc2820bda&DisplayLang=en)
cacls.exe 语法
cacls 文件名 [/T] [/E] [/C] [/G user:perm;spec] [/R 用户] [/P user:perm;spec [...]] [/D 用户 [...]] [/Y]
其中文件名表示 ACL 或访问控制项 (ACE) 通常应用于的文件或文件夹的名称。所有标准通配符均可使用。
/T 递归检查当前文件夹及其所有子文件夹，对匹配的文件或文件夹应用所选的访问权限。
/E 编辑 ACL 而不替换它。例如，如果您运行 CACLS test.dat /G Administrator:F 命令，则只有管理员拥有对 Test.dat 文件的访问权限。之前应用的所有 ACE 都会丢失。
/C 使 cacls.exe 在出现“拒绝访问”错误消息时继续执行。如果未指定 /C，则 Xcacls.exe 在出现此错误时停止执行。
/G user:perm;spec 授予用户对匹配文件或文件夹的访问权限。
perm（权限）变量对文件应用指定的访问权限，并代表文件夹的特殊文件访问权限掩码。perm 变量接受下列值：
R 读取
C 更改（写入）
F 完全控制
P 更改权限（特殊访问权限）
O 取得所有权（特殊访问权限）
X 执行（特殊访问权限）
E 读取（特殊访问权限）
W 写入（特殊访问权限）
D 删除（特殊访问权限）
spec（特殊访问权限）变量仅应用于文件夹，它除了接受与 perm 相同的值以外，还接受以下特殊值：
T 未指定。为目录本身设置 ACE，而不指定应用于在该目录中创建的新文件的 ACE。至少存在一个要遵循的访问权限。分号 (;) 和 T 之间的项将被忽略。注意：
文件的访问权限选项（针对文件夹、特殊文件和文件夹访问）是完全相同的。有关这些选项的详细说明，请参阅 Windows 2000 操作系统的文档。
所有其他选项（它们也可以在 Windows 资源管理器中设置）都是基本访问权限的所有可能组合的子集。因此，不存在文件夹访问权限（如 LIST 或 READ）的特殊选项。
/R 用户为指定用户调用所有访问权限。
/P user:perm;spec 替换用户的访问权限。指定 perm 和 spec 的规则与 /G 选项相同。请参阅本文的“Xcacls.exe 示例”部分。
/D 用户拒绝用户访问文件或目录。
/Y 禁止在替换用户访问权限时出现确认提示。默认情况下，CACLS 要求确认。由于存在此功能，在批处理例程中使用 CACLS 时，例程将停止响应并等待输入正确答案。引入 /Y 选项后可消除此确认，从而可以在批处理模式下使用 Xcacls.exe。
使用 cacls.exe 查看权限
cacls.exe 还可用于查看文件或文件夹的权限。例如，在命令提示符处键入 cacls C:\winnt，然后按 Enter。下面是典型结果：
c:\WINNT BUILTIN\Users:R
BUILTIN\Users:(OI)(CI)(IO)(special access:)
GENERIC_READ
GENERIC_EXECUTE

BUILTIN\Power Users:C
BUILTIN\Power Users:(OI)(CI)(IO)C
BUILTIN\Administrators:F
BUILTIN\Administrators:(OI)(CI)(IO)F
NT AUTHORITY\SYSTEM:F
NT AUTHORITY\SYSTEM:(OI)(CI)(IO)F
BUILTIN\Administrators:F
CREATOR OWNER:(OI)(CI)(IO)F

这些 ACL 标志具有下列含义：
IO：仅继承 — 此标志表示此 ACE 不应用于当前对象。
CI：容器继承 — 此标志表示从属容器将继承此 ACE。
OI：对象继承 — 此标志表示从属文件将继承该 ACE。
NP：不传播 — 此标志表示从属对象不继续传播继承的 ACE。
每行末尾的字母表示权限。例如：
F：完全控制
C：更改
W：写入

《使用xcacls.vbs(cacls.exe)修改NTFS权限说明(中文版)》阅读地址：http://www.haoshilao.net/14832/