cacl命令的一些总结文件访问权限.docx
《cacl命令的一些总结文件访问权限.docx》由会员分享,可在线阅读,更多相关《cacl命令的一些总结文件访问权限.docx(20页珍藏版)》请在冰豆网上搜索。
cacl命令的一些总结文件访问权限
让用户不能访问文件或者文件夹
echoy|CACLS%1/c/peveryone:
n
上面这条是删除访问权限,只要把文件拖到这个批处理上就可以
echoy|CACLS%1/c/peveryone:
f
上面这个是添加访问权限,同样只要拖到批处理上面就行
禁止访问
cacls"C:
\123"/FEveryone:
n
运行-输入-hhntcmds.chm:
:
/cacls.htm可以看帮助
Cacls显示或修改任意访问控制列表(DACL)文件。
语法
caclsFileName[/t][/e][/c][/gUser:
permission][/rUser[...]][/pUser:
permission[...]][/dUser[...]]
参数
FileName
必需。
显示指定文件的DACL。
/t
更改当前目录和所有子目录中指定文件的DACL。
/e
编辑DACL,而不是替换它。
/c
忽略错误,继续修改DACL。
/gUser:
permission
将访问权限授予指定用户。
下表列出了permission的有效值。
值说明
n无
r阅读顺序
w写入
c更改(写入)
F完全控制
/ruser
取消指定用户的访问权限。
/pUser:
permission
替代指定用户的访问权限。
下表列出了permission的有效值。
值说明
n无
r阅读顺序
w写入
c更改(写入)
F完全控制
/duser
拒绝指定用户的访问。
/?
在命令提示符显示帮助。
注释
使用下表解释输出结果。
输出ACE的适用于
OI此文件夹和文件
CI此文件夹和子文件夹
IOACE不适用于当前文件/目录。
没有输出消息仅此文件夹
(IO)(CI)此文件夹、子文件夹和文件
(OI)(CI)(IO)仅子文件夹和文件
(CI)(IO)仅子文件夹
(OI)(IO)仅文件
使用通配符(?
和*)可以指定多个文件。
可以指定多个用户。
格式化图例
格式含义
斜体用户必须提供的信息
粗体用户必须像显示的一样准确键入的元素
省略号(...)可在命令行中重复多次的参数
在括号([])之间可选项目
在大括号({})之间;将选项用竖线(|)隔开。
例如:
{even|odd}用户必须从中只选择一个选项的选项组
Courier字体代码或程序输出
巧用cacls命令来设置文件及其文件夹权限
网上有许多讲解cacls权限设置的文章,虽然已经讲的比较简单,但是新手依然看的一头雾水,操作性不强。
下面以实例为大家一部一部讲解几个实用的命令。
你是否不想让别人在你的电脑上打开某个文件夹或者文件?
是否有时想允许让别人看某个文件和文件夹下的文件,但是不想让别人更改?
或者不想让自己电脑上的某个账户不能访问某个文件夹?
如果有过那么可以用以下命令实现,而不需要借助其他加密软件。
注意要限制别人访问的文件或者文件夹所在盘必须要是NTFS文件系统的,而不能是FAT32格式。
这或许是ntfs文件系统安全性能好于fat32的原因之一吧。
[比如查看D盘文件系统,只需要打开D盘,在里面空白处点击右键-属性,里面就可以看到了]
如果是fat32而不是ntfs文件系统可以通过这条命令来转换所在盘为ntfs文件系统[不影响里面的文件的]:
命令行下操作:
开始-运行-cmd-回车打开命令行界面
输入:
convertd:
/fs:
ntfs
再回车,按照提示操作就可以了
[上面命令的意思是:
convert表示命令转换文件系统的意思;d:
表示要转换D盘,其他盘你可以相应写,比如f:
;/fs:
ntfs表示文件系统转换为ntfs格式。
注意这个命令只能把fat32转换成ntfs格式。
将ntfs转换为fat32不能通过简单命令完成,需要借助特别软件。
]
如果你想不要让人打开D盘下test文件夹,并且你的D盘已经是ntfs文件系统的话就可以跳过上述操作直接进入我下面的操作了哦!
例一:
让所有用户禁止访问D盘test文件夹。
命令:
命令行界面的打开就不多说了哦。
看上面。
caclsd:
\test/t/peveryone:
n
表示把D盘test文件夹设置成对所有用户的[无权限],n表示no,无权限的意思。
其他常用权限:
r表示只读;f表示完全控制。
/t表示对文件夹里面的子文件夹也同样设置权限。
/p你不用管。
但是要写上。
不然运行不好地。
接过是:
打开D盘test就提示禁止访问。
因为上面写的是everyone所有用户。
所有你自己也不能访问。
自己要访问时只需要运行命令:
caclsd:
\test/t/peveryone:
f
就可以了
如果你的电脑有几个账户,你是想不让其他账户访问这个文件夹,那么你可以在写命令的时候把everyone改成相应的账户名字,比如edwin等等〔看你实际的账户名啦〕。
直接用everyone所有用户设置权限。
要打开时再运行命令取消限制,也不是太麻烦。
至少可以提供个机会多练习练习命令行,和记住这条命令。
否则时间长了忘记了又得查资料。
例二:
让用户edwin不能打开e:
\test\apian.rmvb这部电影。
当然也可以限制图片,程序,word文档的打开哦。
命令:
caclse:
\test\apian.rmvb/pedwin:
n
取消限制:
caclse:
\test\apian.rmvb/pedwin:
f
例三:
把D盘绿色软件文件夹里面的exe文件设置成只读[包括子文件夹里面的]。
这样可以防止病毒感染exe文件。
命令:
d:
cdd:
\绿色软件
cacls*.exe/t/peveryone:
r
w注意上面的
“d:
cdd:
\绿色软件”
这两行命令表示把当前目录切换到d:
\绿色软件。
不可省略不写哦。
例四:
把E盘根目录下设置成只读,防止病毒感染E盘根目录。
因为很多U盘病毒会感染根目录,在根目录下新生成一个文件夹及文件比如autorun.inf、setup.exe、a2de3d3.exe、autorun.exe。
有些恶性病毒很厉害。
弄得你重装系统都无法解决病毒问题。
因为这些在非系统目录根目录的病毒存在当你单纯格式化C盘重装系统之后,第一次启动时打开D盘等非系统盘的时候病毒在次感染C盘。
如果把非系统盘根目录设置成只读的话就可以防止病毒生成这些文件。
当然不影响根目录下文件的删除哦。
但是会影响你自己建立文件夹或在根目录下复制进文件。
所有建议开始把根目录下的文件夹建立好。
文件放到子文件夹里面。
或者在你想在比如D盘根目录下建立一个文件夹时,先用命令行取消根目录只读。
虽然有点麻烦,但是好处多余坏处哦。
命令:
caclse:
\/peveryone:
r
解除根目录只读:
caclse:
\/peveryone:
f
呵呵。
足够清楚了吧。
试试看吧。
问题:
既然我可以用命令来加密,是不是别人也可以用命令来解密?
回答:
是的。
只要有
管理员权限的账户都可以运行命令来设置权限。
但是并不是所有人都懂这一套。
或者说懂这些的人很少。
别人即使看到禁止访问的提示,也不会想到到底是怎么回事的。
所有你可以方向使用。
问题:
用这些命令的注意点
回答:
1、尽量不要对系统文件及文件夹设置权限。
因为那样可能会到时系统出现严重错误的。
2、如果要重装系统,那么之前尽量把加密的解密。
如果是用ghost恢复就不需要了。
3、再次强调,所在盘符必须是ntfs的才行哦。
脚本:
Cacls命令及其应用实例
Cacls,很强大的一个命令。
其主要用途在于可以对各文件夹目录的用户权限进行快速设置。
不论多少的文件夹,也不论多复杂的文件目录,一个命令即可搞定。
在往下看之前,请牢记:
以下命令切不可对C盘及系统文件夹使用!
!
特此警告。
除非你自以为是NB人士!
顺便加一句,如果发现重启后屏幕提示:
autochkprogramnotfound,skippingautocheck。
并马上进入蓝屏,提示:
stop:
c000021aunknownharderror。
恭喜,练功的绝好时机到了!
不要到网上乱搜,没用的。
也不必重装系统。
解决办法见下一篇文章!
Cacls命令的使用格式如下:
显示或者修改文件的访问控制表(ACL)
Caclsfilename[/T][/E][/C][/Guser:
perm][/Ruser[...]]
[/Puser:
perm[...]][/Duser[...]]
filename显示ACL。
/T更改当前目录及其所有子目录中
指定文件的ACL。
/E编辑ACL而不替换。
/C在出现拒绝访问错误时继续。
/Guser:
perm赋予指定用户访问权限。
Perm可以是:
R读取
W写入
C更改(写入)
F完全控制
/Ruser撤销指定用户的访问权限(仅在与/E一起使用时合法)。
/Puser:
perm替换指定用户的访问权限。
Perm可以是:
N无
R读取
W写入
C更改(写入)
F完全控制
/Duser拒绝指定用户的访问。
在命令中可以使用通配符指定多个文件。
也可以在命令中指定多个用户。
缩写:
CI-容器继承。
ACE会由目录继承。
OI-对象继承。
ACE会由文件继承。
IO-只继承。
ACE不适用于当前文件/目录。
下面举几个例子来看看Cacls命令如何使用。
1、在命令编辑器中使用
C:
\Temp>Cacls%cd%/t/c/dsamaria
是否确定(Y/N)?
Y
处理的目录:
C:
\Temp
文件名、目录名或卷标语法不正确。
C:
\Temp>Cacls%cd%/t/c/gsamaria:
f
是否确定(Y/N)?
Y
处理的目录:
C:
\Temp
处理的文件:
C:
\Temp\text.txt
处理的目录:
C:
\Temp\新建文件夹
C:
\Temp>
简析:
上述第一行命令将拒绝samaria用户访问c:
\temp目录,第二个命令则重新赋予samaria用户完全控制权限。
%cd%表示当前路径。
其实这里可以用./.代替当前路径,即命令:
calcs././t/c/dsamaria,但两者(%cd%与./)又有其不同之处,前者是一个纯粹的路径,因此上面的两个命令可以连续执行,但./.不行。
后者在命令执行时将自身定位到c:
\temp目录下,但该目录已被拒绝访问,所以会出错,用Cacls././t/c/gsamaria:
f命令将得到另一种结果(也不妨一试:
)),此时应该用.(./)代替当前路径!
如下:
C:
\Temp>Cacls././t/c/dsamaria
是否确定(Y/N)?
Y
处理的目录:
C:
\Temp
文件名、目录名或卷标语法不正确。
C:
\Temp>Cacls./t/c/gsamaria:
f
是否确定(Y/N)?
Y
处理的目录:
C:
\Temp
处理的文件:
C:
\Temp\text.txt
处理的目录:
C:
\Temp\新建文件夹
C:
\Temp>
2、在批处理文件中使用(下面为几个bat文件的具体内容)
(1.bat)
@EchoY|Cacls%*/t/c/dsamaria
@Echooff
(2.bat)
@EchoY|Cacls%*/t/c/psamaria:
f
@Echooff
(3.bat)
@EchoY|Cacls././t/c/dsamaria
@Echooff
简析:
使用时将需要的文件拖动到1.bat或2.bat上,则该文件就会被拒绝访问(1.bat)或者给予控制权限(2.bat)。
其中,Y|Cacls表示执行并将Y值赋予Cacls命令,%*是for命令的参数,在这里使用拖动方式即调用了for命令,*是通配符,拖动使用时,%*与%1等价,若改为%0会有什么结果?
更多扩展参数可参考for命令的说明。
3.bat文件中采用了相对路径,因此使用它时不需要拖动文件,直接双击3.bat,即可将当前目录(即3.bat所在的文件夹)设置为“拒绝访问”。
这个命令中,若将路径换成./或者../.,试试会有什么不同?
但不要在不明白相对路径含义的情况下可随意更换路径符号,否则很可能出现意外的严重后果!
好了,上面基本上将Cacls命令的用法写完了,更复杂的就不会。
这些天没事就学习和捣鼓了几个dos命令,将Cacls详细地写在这里,一来作备忘笔记,二来也可以给有需要的朋友一点参考。
Cmd下修改文件访问控制权限.
保证自己的磁盘分区格式是NTFS.FAT32是不行的
一、Cacls.exe命令的使用
这是一个在Windows2000/XP/Server2003操作系统下都可以使用的命令,作用是显示或者修改
文件的访问控制表,在命令中可以使用通配符指定多个文件,也可以在命令中指定多个用户。
命令语法如下:
Caclsfilename[/T][/E][/C][/Gusererm][/Ruser[...]][/Pusererm[...]][/Duser[...]]
Filename:
显示访问控制列表(以下简称ACL)
/T:
更改当前目录及其所有子目录中指定文件的ACL
/E:
编辑ACL而不替换
/C:
在出现拒绝访问错误时继续
/GUserer:
perm:
赋予指定用户访问权限,Perm代表不同级别的访问权限,其值可以是R(读取)、W(写入)、C(更改,写入)、F(完全控制)等。
/Ruser:
撤销指定用户的访问权限,注意该参数仅在与“/E”一起使用时有效。
/Puser:
perm:
替换指定用户的访问权限,perm的含义同前,但增加了“N(无)”的选项。
/Duser:
拒绝指定用户的访问。
①:
查看文件夹的访问控制权限
查看C:
\ruery文件夹的访问控制权限,那么只需要在"开始→运行"对话框或切换到命令提示符模式下,键入如下命令:
CaclsC:
\ruery
此时,我们会看到所有用户组和用户对C:
\ruery文件夹的访问控制权限项目.
CI表示ACE会由目录继承.
OI表示ACE会由文件继承.
IO表示ACI不适用于当前文件或目录.
每行末尾的字母表示控制权限,例如"F"表示完全控制,"C"表示更改,"W"表示写入."R"表示读取
如果你希望查看该文件夹中所有文件(包括子文件夹中的文件)的访问控制权限(见图1),可以键入"CaclsC:
\ruery."命令.
②:
修改文件夹的访问控制权限
假如你希望给予本地用户ruery完全控制C:
\ruery文件夹及子文件夹中所有文件的访问权限,只需要键入如下命令:
CaclsC:
\ruery/t/e/c/gruery:
F
"/t"表示修改文件夹及子文件夹中所有文件的ACL.
"/e"表示仅做编辑工作而不替换.
"/c"表示在出现拒绝访问错误时继续.
"/gruery:
F"表示给予本地用户ruery以完全控制的权限.
"f"代表完全控制,如果只是希望给予读取权限,那么应当是"r"
③:
撤销用户的访问控制权限
如果你希望撤销ruery用户对C:
\ruery文件夹及其子文件夹的访问控制权限,可以键入如下命令:
caclsC:
\ruery/t/e/c/rruery
如果只是拒绝用户的访问,那么可以键入如下命令:
caclsC:
\ruery/t/e/c/druery
cacls.exec:
\windows\system32\net.exe/c/e/t/gadministrators:
F
cacls.exec:
\windows\system32\dllcache\net.exe/c/e/t/gadministrators:
F
cacls.exec:
\windows\system32\net.exe/c/e/t/geveryone:
F
cacls.exec:
\windows\system32\dllcache\net.exe/c/e/t/geveryone:
F
cacls.exec:
\windows\system32\net.exe/c/e/t/gsystem:
F
cacls.exec:
\windows\system32\dllcache\net.exe/c/e/t/gsystem:
F
cacls.exec:
\windows\system32\net.exe/c/e/t/gadministrator:
F
cacls.exec:
\windows\system32\dllcache\net.exe/c/e/t/gadministrator:
F
cacls.exec:
/e/t/geveryone:
F #把d盘设置为everyone可以浏览
cacls.exed:
/e/t/geveryone:
F #把d盘设置为everyone可以浏览
cacls.exee:
/e/t/geveryone:
F #把e盘设置为everyone可以浏览
cacls.exef:
/e/t/geveryone:
F #把f盘设置为everyone可以浏览
二、使用增强工具xcals.exe
在windows2000资源工具包中,微软还提供了一个名为xcacls.exe的文件控制权限修改工具,其功能较cacls.exe更为强大,可以通过命令行设置所有可以在windows资源管理器中访问到的文件系统安全选项,我们可以从[url]http:
//[/url]下载,安装后即可使用。
xcacls.exe命令的语法和参数与cacls.exe基本相同,但不同的是它通过显示和修改件的访问控制列表(acl)执行此操作。
在“/g”参数后除保持原有的perm权限外,还增加了spec(特殊访问权限)的选项,另外还增加了“/y”的参数,表示禁止在替换用户访问权限时出现确认提示,而默认情况下,cacls.exe是要求确认的,这样在批处理中调用cacls.exe命令时,程序将停止响应并等待输入正确的答案,引入“/y”参数后将可以取消此确认,这样我们就可以在批处理中使用xcacls.exe命令了。
①:
查看文件或文件夹的权限
在“开始→运行”对话框或切换到命令提示符模式下,注意请事先将“c:
\programfiles\resourcekit”添加到“系统属性→高级→环境变量→系统变量”中,或者通过cd命令将其设置为当前路径,否则会提示找不到文件,然后键入如下命令:
xcaclsC:
\ruery
此时,我们会看到图2所示的窗口,这里可以查看到所有用户组或用户对C:
\ruery文件夹的访问控制权限,io表示此ace不应用于当前对象,ci表示从属窗口将继承此ace,oi表示从属文件将继承该ace,np表示从属对象不继续传播继承的ace,而每行末尾的字母表示不同级别的权限,
f表示完全控制.
c表示更改.
w表示写入.
②:
替换文件夹中的acl而不确认
xcaclsC:
\ruery/gadministrator:
rw/y
以上命令将替换C:
\ruery文件夹中所有文件和文件夹的acl,而不扫描子文件夹,也不会要求用户确认.
③:
赋予某用户对文件夹的控制权限
xcaclsh:
\temp/gadministrator:
rwed;rw/e
以上命令将赋予用户ruery对C:
\ruery文件夹中所有新建文件的读取、写入、运行和删除权限,但需要说明的是,这条命令只是赋予了用户对文件夹本身的读写权限,而不包括子文件夹下的文件。
对普通用户来说,cals.exe和xcacls.exe的作用可能不是那么明显,这在windows2000/xp/server2003的无人值守安装中特别有用,管理员可以为操作系统所在的文件夹设置初始访问权限;在将软件分发到服务器或工作站时,还可以借助xcacls.exe提供单步保护,以防止用户误删除文件夹或文件。
文件管理命令之Cacls与Icacls
Cacls是windows下权限管理的命令,可对文件、文件夹的进行权限的设置,来减少我们每次点击鼠标的次数(右键-属性-安全),让你食指和中指放松一下。
先看一下这两个命令的帮助文件
CACLS的帮助文件
CACLSfilename[/T][/M][/L][/S[:
SDDL]][/E][/C][/Guser:
perm]
[/Ruser[...]][/Puser:
perm[...]][/Duser[...]]
filename显示ACL。
/T更改当前目录及其所有子目录中
指定文件的ACL。
/L对照目标处理符号链接本身
/M更改装载到目录的卷的ACL
/S显示DACL的SDDL字符串。
/S:
SDDL使用在SDDL字符串中指定的ACL替换ACL。
(/E、/G、/R、/P或/D无效)。
/E编辑ACL而不替换。
/C在出现拒绝访问错误时继续。
/Guser:
perm赋予指定用户访问权限。
Perm可以是:
R读取
W写入
C更改(写入)
F完全控制
/Ruser撤销指定用户的访问权限(仅在与/E一起使用时合法)。
/Puser:
perm替换指定用户的访问权限。
Perm可以是:
N无
R读取
W写入
C更改(写入)
F完全控制
/Duser拒绝指定用户的访问。
在命令中可以使用通配符指定多个文件。
也可以在命令中指定多个用户。
缩写:
CI-容器继承。
ACE会由目录继承。
OI-对象继承。
ACE会由文件继承。
IO-只继承。
ACE不适用于当前文件/目录。
ID-已继承。
ACE从父目录的ACL继承。
ICALS帮助文件
ICACLSname/saveaclfile[/T][/C][/L][/Q]
将匹配名称的文件和文件夹的DACL存储到aclfile中以便将来与
/restore一起使用。
请注意,未保存SACL、所有者或完整性标签。
ICACLSdirectory[/substituteSidOldSidNew[...]]/restoreaclfile
[/C][/L][/Q]
将存储的DACL应用于目录中的文件。
ICACLSname/setowneruser[/T][/C][/L][/Q]
更改所有匹配名称的所有者。
该选项不会强制更改所有身份;
使用takeown.exe实用程序可实现该目的。
ICACLSname/findsidSid[/T][/C][/L][/Q]
查找包含显式提及SID的ACL的所有匹配名称。
ICACLSname/verify[/T][/C][/L][/Q]
查找其ACL
升级会员 