[psac]

作為一個Windows 系統的管理員，你可能經常要對文件的權限進行設定，一般來說，我們經常採取的方法是在檔案總管的內容頁的安全性選項中進行配置，或者使用指令行的方式進行配置（cacls或者xcacls，前者是Windows系統自帶，後者功能稍強，為Resource Kits提供）。

不幸地是，當我們配置好一台伺服器的文件權限以後，有可能會由於自己的誤操作將權限設定不當，或者該伺服器上的另一個管理員（Windows菜鳥）將你辛苦的工作付之一炬，這個時候，你可能覺得有必要將安全性選項隱藏起來，免得一些閒人亂動，尤其是對於一台文件伺服器而言，文件伺服器只允許其他人通過文件共享、FTP訪問，只有你 才可以在文件伺服器上本機登入。但是在域中存在許多的管理員，他們可以通過文件共享來取得文件的所有權，從而訪問他們不應該訪問到的東西，那麼，現在我教大家的一個方法可以讓其他管理員無法通過檔案總管來管理資料夾的權限。

Example：

你是Administrator，另外有一個管理員叫Admin，如果我不想讓Admin在檔案總管中設定文件的安全內容，那麼我們只要對 %systemroot%system32 shx32.dll進行權限設定，預設情況下，該檔案的權限為：

BUILTINAdministrators:F
Everyone:R
BUILTINPower Users:R
NT AUTHORITYSYSTEM:F
BUILTINUsers:R

如果我們執行 cacls %systemroot%/system32/rshx32.dll /d admin

那麼admin用戶登入到伺服器後，在檔案總管中也就無法對文件或者資料夾進行安全性設定了。如果我們再把cacls.exe文件也進行權限設定，讓admin用戶無法訪問的話，那他就只能從別的伺服器上copy一個cacls.exe來對文件進行權限設定了......