注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

北边的风

IT 钓鱼 养生

 
 
 

日志

 
 

cacls 命令 详解  

2015-07-10 14:00:03|  分类: IT心得 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
通常是在图形用户界面(GUI)的"安全"选项卡中对文件或目录访问控制权限进行设置。还有一种设置方式大家可能很少使用,这就是Cacls命令,虽然它是一个基于命令行的命令,使用起来有点繁琐,但只要你合理利用,也会在提高系统安全性方面起到很好的效果。Cacls命令使用格式如下: 


  Cacls filename [/T] [/E] [/C] [/G user:perm] [/R user [...]] [/P user:perm [...]] [/D user [...]] 
  Filename——显示访问控制列表(以下简称ACL); 
  /T——更改当前目录及其所有子目录中指定文件的 ACL; 
  /E—— 编辑 ACL 而不替换; 
  /C——在出现拒绝访问错误时继续; 
  /G user:perm——赋予指定用户访问权限。Perm 可以是R(读取)、W(写入)、C(更改,写入)、F (完全控制); 
  /R user——撤销指定用户的访问权限(仅在与 /E 一起使用); 
  /P user:perm——替换指定用户的访问权限; 
/D user——拒绝指定用户的访问。 

  1.查看目录和ACL 
  以Windows XP系统为例,笔者使用Cacls命令查看E盘CCE目录访问控制权限。点击"开始→运行",在运行对话框中输入"CMD"命令,弹出命令提示符对话框,在"E:\>"提示符下输入"Cacls CCE"命令,接着就会列出Windows XP系统中用户组和用户对CCE目录的访问控制权限项目。如果想查看CCE目录中所有文件访问控制权限,输入"Cacls cce\ . "命令即可。 
  2.修改目录和ACL 
  设置用户访问权限:我们经常要修改目录和文件的访问权限,使用Cacls命令就很容易做到。下面要赋予本机用户Chenfeng对E盘下CCE目录及其所有子目录中的文件有完全控制权限。在命令提示符对话框中输入"Cacls CCE /t /e /c /g Chenfeng:f "命令即可。 
  替换用户访问权限:将本机用户Chenfeng的完全控制权限替换为只读权限。在命令提示符对话框中输入" Cacls CCE /t /e /c /p Chenfeng:r "命令即可。 
  撤销用户访问权限:要想撤销本机用户Chenfeng对该目录的完全控制权限也很容易,在命令提示符中运行"Cacls CCE /t /e /c /r Chenfeng "即可。 
  拒绝用户访问:要想拒绝用户Chenfeng访问CCE目录及其所有子目录中的文件,运行"Cacls CCE /t /e /c /d Chenfeng"即可。 



例子:
去掉network service iwam_xxx权限 
cd c:\winnt\system32 
c: 
cacls cmd.exe /E /C /R network service iwam_xxx 
cacls net.exe /E /C /R network service iwam_xxx 
cacls net1.exe /E /C /R network service iwam_xxx 
cacls ping.exe /E /C /R network service iwam_xxx 
cacls netstat.exe /E /C /R network service iwam_xxx 
cacls ftp.exe /E /C /R network service iwam_xxx 
cacls tftp.exe /E /C /R network service iwam_xxx 
cacls telnet.exe /E /C /R network service iwam_xxx 
cacls cacle.exe /E /C /R network service iwam_xxx 
cacls pulist.exe /E /C /R network service iwam_xxx 
cacls shutdown.exe /E /C /R network service iwam_xxx 
cacls pskill.exe /E /C /R network service iwam_xxx 


cacls activeds.dll /E /C /R network service iwam_xxx 
cacls wshom.ocx /E /C /R network service iwam_xxx 
cacls adsiis.dll /E /C /R network service iwam_xxx 
cacls shell32.dll /E /C /R network service iwam_xxx 
cacls adsiisex.dll /E /C /R network service iwam_xxx 


直接给文件administrator system权限 
cacls %systemroot%\system32\net.exe /G administrator:F system:F 


完整命令!! 
cacls %systemroot%\system32\cmd.exe /G administrator:F system:F 
cacls %systemroot%\system32\net.exe /G administrator:F system:F 
cacls %systemroot%\system32\net1.exe /G administrator:F system:F 
cacls %systemroot%\system32\ping.exe /G administrator:F system:F 
cacls %systemroot%\system32\netstat.exe /G administrator:F system:F 
cacls %systemroot%\system32\ftp.exe /G administrator:F system:F 
cacls %systemroot%\system32\tftp.exe /G administrator:F system:F 
cacls %systemroot%\system32\telnet.exe /G administrator:F system:F 
cacls %systemroot%\system32\cacle.exe /G administrator:F system:F 
cacls %systemroot%\system32\pulist.exe /G administrator:F system:F 
cacls %systemroot%\system32\shutdown.exe /G administrator:F system:F 
cacls %systemroot%\system32\pskill.exe /G administrator:F system:F 

cacls %systemroot%\system32\activeds.dll /G administrator:F system:F 
cacls %systemroot%\system32\wshom.ocx /G administrator:F system:F 
cacls %systemroot%\system32\adsiis.dll /G administrator:F system:F 
cacls %systemroot%\system32\shell32.dll /G administrator:F system:F 
cacls %systemroot%\system32\adsiisex.dll /G administrator:F system:F 
Y








CACLS filename [/T] [/E] [/C] [/G user:perm] [/R user [...]]

               [/P user:perm [...]] [/D user [...]]

   filename      显示 ACL。

   /T            更改当前目录及其所有子目录中

                 指定文件的 ACL。

   /E            编辑 ACL 而不替换。

   /C            在出现拒绝访问错误时继续。

   /G user:perm  赋予指定用户访问权限。

                 Perm 可以是: R  读取

                              W  写入 

                              C  更改(写入)

                              F  完全控制

   /R user  撤销指定用户的访问权限(仅在与 /E 一起使用时合法)。

   /P user:perm  替换指定用户的访问权限。

                 Perm 可以是: N  无

                              R  读取

                              W  写入

                              C  更改(写入)

                              F  完全控制

   /D user       拒绝指定用户的访问。

在命令中可以使用通配符指定多个文件。

也可以在命令中指定多个用户。

 

缩写:

   CI - 容器继承。

        ACE 会由目录继承。

   OI - 对象继承。

        ACE 会由文件继承。

   IO - 只继承。

        ACE 不适用于当前文件/目录。

 

举例:

禁用ARP  

cacls c:\windows\system32\arp.exe /p everyone:n

   /P user:perm  替换指定用户的访问权限。

everyone 所有用户 

:n 拒绝访问

  评论这张
 
阅读(205)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2016