xcacls.vbs令另格式:
使用cscript.exe 去編譯 xcacls.vbs 檔案。
格式如下:
CACLS filename [/T] [/E] [/C] [/G user:perm] [/R user [...]]
[/P user:perm [...]] [/D user [...]]
filename 顯示 ACL。
/T 變更指定檔案的 ACL 於
現有的目錄或所有子目錄中。
/E 編輯 ACL 而非將它取代。
/C 拒絕存取的錯誤繼續發生。
/G user:perm 授與指定的使用者存取權限。
Perm 的值可以是: R 讀取
C 變更 (寫入)
F 完全控制
/R user 撤銷已指定的使用者存取權限 (只有當 /E 存在時才有效)。
/P user:perm 取代已指定的使用者存取權限。
Perm 的值可以是: N 沒有權限
R 讀取
C 變更 (寫入)
F 完全控制
/D user 拒絕已指定的使用者存取。
您可以在命令中使用萬用字元一次指定數個檔案。
您可以在命令中指定數個使用者。
縮寫:
CI - 容器繼承。
ACE 將被目錄繼承。
OI - 物件繼承。
ACE 將被檔案繼承。
IO - 僅供繼承。
ACE 不可套用到目前的檔案/目錄。
==================================================================================================
移除C:\test 的 everyone 權限(一定要加 /E 權限才不會被覆蓋)
\\pc032\c$\windows\system32\cscript.exe \\sbipbdc\c$\winnt\xcacls.vbs c:\test /r everyone /e /t
開啟EVERYONE 所有權限(粗略參數可參考XP下cacls.exe有中文說明,但是Xcacle.vbs是進階用)
\\pc032\c$\windows\system32\cscript.exe \\sbipbdc\c$\winnt\xcacls.vbs c:\test /g everyone:f /e /t
開啟通過驗證的使用者群組 authenticated users 權限
\\pc032\c$\windows\system32\cscript.exe \\sbipbdc\c$\winnt\xcacls.vbs c:\test /g "nt authority/authenticated users:f" /e /t
==================================================================================================
一、新增新的GPO原則 “開啟D槽AUTHUSER權限”
二、進入 “開啟D槽AUTHUSER權限” GPO內設定 è 改電腦設定 è 2電腦設定指令碼(啟動/關機) è 3登入 è 4新增 è 5瀏覽 è 6自行建立 “開啟D槽AUTH權限.bat” 並編輯(註一) è 7選 開啟 è 然後按確定後退出即可套用。(下圖設定為使用者設定,請改成電腦設定)
三、預設全部使用者都會套用,我們要排除admin與mis相關人員不去套用此規則。連線到172.20.3.3
到AD使用者及電腦內對根目錄按右鍵選內容
點 “開啟D槽AUTHUSER權限” 然後按 “內容”
將不套用的人加入,然後在 “套用群組原則” 勾選 “拒絕”,即可排除該使用者登入時會套用。
註一:
開啟D槽AUTH權限.bat 內容
rem 判定D槽是否存在authuser.txt,判定是否有D槽的存在,都符合條件就開始執行權限設定
if not exist d:\authuser.txt if exist d:\*.* \\rogerlin\addauthuser\cscript.exe \\rogerlin\addauthuser\xcacls.vbs d:\ /g "nt authority/authenticated users:f" /e /t
rem 寫入紀錄到\\rogerlin\addauthuser\addauthuser.txt
if not exist d:\authuser.txt if exist d:\*.* echo 電腦名稱:%COMPUTERNAME% 使用者帳號:%UserName% >> \\rogerlin\addauthuser\addauthuser.txt
rem 讓執行過的電腦會在D槽複製authuser.txt檔案,可用來判定避免執行過的電腦再次執行,如需再次執行,只需把D槽 authuser.txt 檔案刪除即可。
留言列表
