阿国运维网技术分享平台:桌面运维、网络运维、系统运维、服务器运维(及云服务器),精品软件分享、阿国网络、尽在北京运维网
你是否不想让别人在[文]你的电脑上打开某个[章]文件夹或者文件?是[来]否有时想允许让别人[自]看某个文件和文件夹[阿]下的文件,但是不想[国]让别人更改?或者不[运]想让自己电脑上的某[维]个账户不能访问某个[网]文件夹?如果有过那[文]么可以用以下命令实[章]现,而不需要借助其[来]他加密软件。
注意要限制别人访问[自]的文件或者文件夹所[阿]在盘必须要是NTF[国]S文件系统的,而不[运]能是FAT32格式[维]。这或许是ntfs[网]文件系统安全性能好[文]于fat32的原因[章]之一吧。[比如查看[来]D盘文件系统,只需[自]要打开D盘,在里面[阿]空白处点击右键-属[国]性,里面就可以看到[运]了]
如果是fat32而[维]不是ntfs文件系[网]统可以通过这条命令[文]来转换所在盘为nt[章]fs文件系统[不影[来]响里面的文件的]:[自]
命令行下操作:
开始-运行-cmd[阿]-回车 打开命令行界面
输入:conver[国]t d: /fs:ntfs
再回车,按照提示操[运]作就可以了
[上面命令的意思是[维]:convert表[网]示命令转换文件系统[文]的意思;d: 表示要转换D盘,其[章]他盘你可以相应写,[来]比如f: ; /fs:ntfs 表示文件系统转换为[自]ntfs格式。注意[阿]这个命令只能把fa[国]t32转换成ntf[运]s格式。将ntfs[维]转换为fat32不[网]能通过简单命令完成[文],需要借助特别软件[章]。]
windows dos 文件权限操作命令:Icacls or Cacls。
请使用Icacls,不推荐使用 Cacls。
权限操作命令需要在[来]管理员模式下运行r[自]unas /noprofil[阿]e /user:adm[国]inistrato[运]r cmd输入密码,切[维]换到管理员模式下。[网]
由于网上和微软官网[文]对cacls 和 icacls命令的[章]实例介绍的不详细,[来]这里对每个命令都有[自]对应的示例进行说明[阿],便于理解学习。
Cacls
显示或者修改文件的访问控制列表(ACL)
CACLS filename [/T] [/M] [/L] [/S[:SDDL]] [/E] [/C] [/G user:perm]
[/R user [...]] [/P user:perm [...]] [/D user [...]]
filename 显示 ACL。
/T 更改当前目录及其所有子目录中指定文件的 ACL。
/L 对照目标处理符号链接本身
/M 更改装载到目录的卷的 ACL
/S 显示 DACL 的 SDDL 字符串。
/S:SDDL 使用在 SDDL 字符串中指定的 ACL 替换 ACL。
(/E、/G、/R、/P 或 /D 无效)。
/E 编辑 ACL 而不替换。
/C 在出现拒绝访问错误时继续。
/G user:perm 赋予指定用户访问权限。
Perm 可以是: R 读取
W 写入
C 更改(写入)
F 完全控制
/R user 撤销指定用户的访问权限(仅在与 /E 一起使用时合法)。
/P user:perm 替换指定用户的访问权限。
Perm 可以是: N 无
R 读取
W 写入
C 更改(写入)
F 完全控制
/D user 拒绝指定用户的访问。
在命令中可以使用通配符指定多个文件。
也可以在命令中指定多个用户。
缩写:
CI - 容器继承。
ACE 会由目录继承。
OI - 对象继承。
ACE 会由文件继承。
IO - 只继承。
ACE 不适用于当前文件/目录。
ID - 已继承。
ACE 从父目录的 ACL 继承。
eg:
% 将所有d:\doc[国]uments目录下[运]的文件、子文件夹的[维]NTFS权限修改为[网]仅管理员组(adm[文]inistrato[章]rs)完全控制(删[来]除原有所有NTFS[自]权限设置):%
$ cacls d:\docume[阿]nts\*.* /T /G administr[国]ators:F
% 在原有d:\doc[运]uments目录下[维]的文件、子文件夹的[网]NTFS权限上添加[文]管理员组(admi[章]nistrator[来]s)完全控制权限([自]并不删除原有所有N[阿]TFS权限设置):[国]%
$ cacls d:\docume[运]nts\*.* /T /E /G administr[维]ators:F
% 取消管理员组(ad[网]ministrat[文]ors)完全控制权[章]限(并不删除原有所[来]有NTFS权限设置[自]):%
$ cacls \\Server\Documents\%username%\我的文档 /t /e /r "mddq\domain admins"
$ cacls \\Server\Documents\%username%\桌面 /t /e /r "mddq\domain admins"
示例
eg1.让所有用户禁止访问D盘test文件夹。
cacls d:\test /t /p everyone:[阿]n
用cacls test显示访问控[国]制列表。
$ cacls test
D:\test Everyone:(OI)(CI)N
打开D盘test就提示禁止访问。因为上面写的是everyone所有用户。所有你自己也不能访问。自己要访问时只需要运行命令:
cacls d:\test /t /p everyone:[运]f
就可以了.
如果你的电脑有几个[维]账户,你是想不让其[网]他账户访问这个文件[文]夹,那么你可以在写[章]命令的时候把eve[来]ryone改成相应[自]的账户名字,比如e[阿]dwin等等〔看你[国]实际的账户名啦〕。[运]
直接用everyo[维]ne所有用户设置权[网]限。要打开时再运行[文]命令取消限制,也不[章]是太麻烦。
eg2.让用户ed[来]win不能打开e:[自]\test\api[阿]an.rmvb 这部电影。当然也可[国]以限制图片,程序,[运]word文档的打开[维]哦。
命令:
cacls e:\test\a[网]pian.rmvb[文] /p edwin:n
取消限制:
cacls e:\test\a[章]pian.rmvb[来] /p edwin:f
eg3:把D盘绿色[自]软件文件夹里面的e[阿]xe文件设置成只读[国][包括子文件夹里面[运]的]。这样可以防止[维]病毒感染exe文件[网]。
命令:
d:
cd d:\绿色软件
cacls *.exe /t /p everyone:r
**eg4:把E盘根目录下设置成只读,防止病毒感染E盘根目录。因为很多U盘病毒会感染根目录,在根目录下新生成一个文件夹及文件比如 autorun.inf、setup.exe、a2de3d3.exe、autorun.exe。有些恶性病毒很厉害。弄得你重装系统都无法解决病毒问题。因为这些在非系统目录根目录的病毒存在当你单纯格式化C盘重装系统之后,第一次启动时打开D盘等非系统盘的时候病毒在次感染C盘。如果把非系统盘根目录设置成只读的话就可以防止病毒生成这些文件。当然不影响根目录下文件的删除哦。但是会影响你自己建立文件夹或在根目录下复制进文件。所有建议开始把根目录下的文件夹建立好。文件放到子文件夹里面。或者在你想在比如D盘根目录下建立一个文件夹时,先用命令行取消根目录只读。虽然有点麻烦,但是好处多余坏处 哦。
命令:
cacls e:\ /p everyone:r
解除根目录只读:
cacls e:\ /p everyone:f
问题:既然我可以用[文]命令来加密,是不是[章]别人也可以用命令来[来]解密?
回答:是的。只要有[自]管理员权限的账户都[阿]可以运行命令来设置[国]权限。因此需要保护[运]好你管理员账户的密[维]码,否则别人可以获[网]取你电脑管理员账户[文]权限。
问题:用这些命令的[章]注意点
回答:
1、尽量不要对系统文件及文件夹设置权限。因为那样可能会到时系统出现严重错误的。
2、如果要重装系统,那么之前尽量把加密的解密。如果是用ghost恢复就不需要了。
3、再次强调,所在盘符必须是ntfs的才行哦。
Icacls
Note: Icacls (第一个是大写的i,倒数第二个是小写的L).
Icacls 是一种命令行工具,[来]它显示或修改指定文[自]件上的随机访问控制[阿]列表 (DACL),并将[国]存储的 DACL 应用于指定目录中的[运]文件。Icacls[维].exe 替换了 Cacls.exe[网] 工具用于查看和编辑[文] DACL。ICAC[章]LS 是 Windows Server 2003 SP2 中 CACLS 工具的升级版本,可[来]用于从恢复控制台重[自]设文件中的帐户控制[阿]列表 (ACL) 以及备份 ACL。与 CACLS 不同的是,ICAC[国]LS 可以正确地传送对继[运]承的 ACL 的更改和创建。有关[维] ICACLS 的使用及命令的更多[网]信息,可以通过在命[文]令提示符下运行ic[章]acls /?进行访问。这里[来]的I应该是Impr[自]oved upgrade of cacls.
