Samenvatting

In dit artikel wordt beschreven hoe u het hulpprogramma Xcacls.exe (Extended Change Access Control List) kunt gebruiken om NTFS-machtigingen voor bestanden of mappen aan te passen en weer te geven.


U kunt Xcacls.exe vanaf de opdrachtregel gebruiken om alle beveiligingsopties van het bestandssysteem in te stellen die toegankelijk zijn in Windows Verkenner. Xcacls.exe maakt dit mogelijk door de ACL's (toegangsbeheerlijsten) van bestanden weer te geven en te wijzigen.


Xcacls.exe is met name handig bij installaties zonder toezicht van Windows 2000 Professional of Windows 2000 Server. Met dit hulpprogramma kunt u de oorspronkelijke toegangsrechten instellen voor mappen waarin het besturingssysteem zich bevindt. Wanneer u software distribueert naar servers of werkstations, biedt Xcacls.exe bovendien bescherming tegen het verwijderen van mappen of bestanden door gebruikers.


Het hulpprogramma Xcacls.exe is opgenomen in de Windows 2000 Resource Kit.
U kunt het volgende bestand downloaden van het Microsoft Downloadcentrum:

Het pakket XCacls_Installer.exe nu downloaden.Terug naar begin

Syntaxis voor Xcacls.exe

Hierbij is bestandsnaam de naam van het bestand of de map waarop de ACL of ACE (Access Control Entry) gewoonlijk wordt toegepast. Alle standaardjokertekens zijn toegestaan.

/T De huidige map en alle bijbehorende submappen worden recursief doorlopen, waarbij de gedefinieerde toegangsrechten op de overeenkomstige bestanden of mappen worden toegepast.


/E De ACL wordt bewerkt in plaats van vervangen. Als u bijvoorbeeld de opdracht XCACLS test.dat /G Administrator:F uitvoert, heeft alleen de beheerder toegang tot het bestand Test.dat. De ACE's die eerder zijn toegepast, gaan verloren.


/C Xcacls.exe wordt voortgezet wanneer er een fout optreedt vanwege geweigerde toegang. Als /C niet wordt opgegeven, wordt Xcacls.exe bij deze fout beëindigd.

/G gebruiker:macht;spec Een gebruiker krijgt toegang tot het overeenkomstige bestand of de overeenkomstige map.

• De variabele macht (machtiging) zorgt ervoor dat het gedefinieerde toegangsrecht wordt toegepast op bestanden en duidt het speciale masker voor bestandstoegangsrechten voor mappen aan. De volgende waarden zijn geldig voor de variabele macht:
  • R Lezen
  • C Wijzigen (schrijven)
  • F Volledig beheer
  • P Machtigingen wijzigen (speciale toegang)
  • O Eigenaar worden (speciale toegang)
  • X Uitvoeren (speciale toegang)
  • E Lezen (speciale toegang)
  • W Schrijven (speciale toegang)
  • D Verwijderen (speciale toegang)
• De variabele spec (speciale toegang) is alleen van toepassing op mappen en kan worden gebruikt met dezelfde waarden als macht, plus de volgende speciale waarde:
  • T Niet opgegeven. Hiermee wordt een ACE ingesteld voor de map zelf zonder dat er een ACE wordt opgegeven voor nieuwe bestanden die in deze map worden gemaakt. Er moet ten minste één toegangsrecht volgen. Gegevens tussen een puntkomma (;) en T worden genegeerd. Opmerkingen
    • De toegangsopties voor bestanden (voor mappen, speciale bestands- en maptoegang) zijn identiek. Raadpleeg de documentatie bij het besturingssysteem Windows 2000 voor een uitgebreide beschrijving van deze opties.
    • Alle andere opties, die ook in Windows Verkenner kunnen worden ingesteld, zijn subsets van de mogelijke combinaties van de basistoegangsrechten. Om deze reden zijn er geen speciale opties voor toegangsrechten voor mappen, zoals LIST of READ.

/R gebruiker Alle toegangsrechten voor de opgegeven gebruiker worden ingetrokken.

/P gebruiker:macht;spec De toegangsrechten voor de gebruiker worden vervangen. De syntaxis voor macht en spec is gelijk aan die voor de optie /G. Zie de sectie 'Voorbeelden van Xcacls.exe' van dit artikel.

/D gebruiker De gebruiker krijgt geen toegang tot het bestand of de map.

/Y Het vervangen van toegangsrechten voor de gebruiker wordt niet bevestigd. Standaard wordt door CACLS om bevestiging gevraagd. Als CACLS in een batchbewerking wordt gebruikt, wordt de bewerking hierdoor pas voortgezet wanneer het juiste antwoord wordt opgegeven. De optie /Y is opgenomen om de bevestiging overbodig te maken, zodat Xcacls.exe in batchverwerking kan worden gebruikt.


Terug naar begin

Machtigingen weergeven met Xcacls.exe

U kunt Xcacls.exe ook gebruiken om machtigingen voor een bestand of map weer te geven. Typ bijvoorbeeld xcacls C:\winnt bij een opdrachtprompt en druk op Enter. Hieronder ziet u een gangbaar resultaat:

c:\WINNT BUILTIN\Users:R BUILTIN\Users:(OI)(CI)(IO)(special access:) GENERIC_READ GENERIC_EXECUTE
BUILTIN\Power Users:C BUILTIN\Power Users:(OI)(CI)(IO)C BUILTIN\Administrators:F BUILTIN\Administrators:(OI)(CI)(IO)F NT AUTHORITY\SYSTEM:F NT AUTHORITY\SYSTEM:(OI)(CI)(IO)F BUILTIN\Administrators:F CREATOR OWNER:(OI)(CI)(IO)F

De ACL-vlaggen hebben de volgende betekenis:

• IO: Alleen overnemen - Deze ACE is niet van toepassing op het huidige object.
• CI: Overnemen van container - Deze ACE wordt overgenomen door onderliggende containers.
• OI: Overnemen van object - Deze ACE wordt overgenomen door onderliggende bestanden.
• NP: Overnemen niet doorvoeren - De overgenomen ACE wordt niet verder doorgevoerd door het onderliggende object.

De letter aan het einde van elke regel duidt de machtiging aan. Bijvoorbeeld:

• F: Volledig beheer
• C: Wijzigen
• W: Schrijven

Terug naar begin

Voorbeelden van Xcacls.exe

Voorbeeld 1

Typ XCACLS *.* /G administrator:RW /Y bij de opdrachtprompt en druk op Enter om de ACL van alle bestanden en mappen in de huidige map te vervangen zonder bevestiging en zonder dat submappen worden gecontroleerd.

Voorbeeld 2

De ACE's die aan de map in dit voorbeeld worden toegevoegd, nemen ook de ACE over voor bestanden die in deze map worden gemaakt. Met deze opdracht krijgt TestGebruiker rechten voor lezen, schrijven, uitvoeren en verwijderen voor alle bestanden die in deze map worden gemaakt, maar alleen lees- en schrijfrechten voor de map zelf. Typ XCACLS *.* /G TestGebruiker:RWED;RW /E bij de opdrachtprompt en druk op Enter.

Voorbeeld 3

In het volgende voorbeeld worden lees- en schrijfrechten voor een map toegekend zonder dat er een overnamevermelding voor nieuwe bestanden wordt gemaakt. Om deze reden krijgen nieuwe bestanden die in dit voorbeeld in deze map worden gemaakt, geen ACE voor TestGebruiker. Voor bestaande bestanden wordt er een ACE met leesrechten gemaakt. Typ XCACLS *.* /G TestGebruiker:R;RW /E bij de opdrachtprompt en druk op Enter.


Terug naar begin

Richtlijnen voor NTFS-machtigingen

De volgende richtlijnen gelden voor het toekennen van NTFS-machtigingen:

• Gebruik NTFS-machtigingen om de toegang tot bestanden en mappen te beheren.
• Wijs machtigingen toe aan groepen in plaats van aan individuele gebruikers.
• NTFS-machtigingen voor bestanden prevaleren boven NTFS-machtigingen voor mappen.
• Beheerders en de eigenaar van een bestand of map bepalen welke machtigingen voor een object kunnen worden toegekend.
• Houd bij het wijzigen van mapmachtigingen rekening met programma's die op de servers zijn geïnstalleerd. Programma's maken zelf mappen waarvoor de instelling Overneembare machtigingen van bovenliggend object doorgeven aan dit object is ingeschakeld. Gewijzigde machtigingen in de bovenliggende map kunnen problemen in programma's veroorzaken.
  
  Waarschuwing Houd er rekening mee dat veel bestanden en mappen machtigingen overnemen. Als u wijzigingen aanbrengt in één map, kan dit daarom van invloed zijn op vele andere mappen.

Terug naar begin