Você precisa verificar quais usuários ou grupos têm acesso a uma pasta específica no Windows 11. A guia Segurança integrada mostra as permissões, mas não lista o acesso efetivo para todas as contas em uma única visualização. É aí que o AccessChk da Microsoft Sysinternals preenche a lacuna. Este artigo explica como baixar, executar e interpretar a saída do AccessChk para auditar permissões de pastas no Windows 11.
Principais Conclusões: Auditoria de Permissões de Pastas com AccessChk
- AccessChk da Microsoft Sysinternals: Uma ferramenta de linha de comando que lista as permissões efetivas para qualquer usuário ou grupo em uma pasta sem abrir a interface gráfica.
- Comando:
accesschk64.exe -d -u usuario caminhodapasta: Mostra as permissões específicas que uma conta de usuário tem em uma pasta. - Comando:
accesschk64.exe -d -g gruponome caminhodapasta: Lista as permissões atribuídas a um grupo de segurança, como Usuários ou Administradores.
O que o AccessChk Faz e Por Que Você Precisa Dele para Auditorias de Pastas
O AccessChk faz parte do pacote Microsoft Sysinternals. É um utilitário de linha de comando que relata as permissões efetivas que um usuário ou grupo tem em arquivos, pastas, chaves do registro, serviços e outros objetos do Windows. Para permissões de pastas, a guia Segurança do Windows mostra as entradas de controle de acesso, mas não combina permissões herdadas com permissões explícitas em uma única saída legível. O AccessChk faz exatamente isso.
A ferramenta é útil para auditores de segurança, administradores de TI e usuários avançados que precisam confirmar se as permissões de pastas estão de acordo com a política de segurança pretendida. Por exemplo, você pode precisar verificar se uma conta de contratado tem apenas acesso de Leitura a uma pasta de projeto, ou se uma conta de serviço tem Controle Total sobre um diretório de dados compartilhado. O AccessChk responde a essas perguntas sem exigir que você navegue por vários diálogos da interface gráfica.
O AccessChk não requer instalação. Ele é executado diretamente do prompt de comando ou PowerShell. A ferramenta suporta versões de 32 e 64 bits do Windows 11. Você pode baixá-la do site da Microsoft Sysinternals ou através do serviço Sysinternals Live.
Como Baixar e Configurar o AccessChk no Windows 11
Antes de auditar permissões de pastas, você precisa baixar o executável do AccessChk. Siga estas etapas para preparar a ferramenta no seu computador com Windows 11.
- Baixe o AccessChk da Microsoft Sysinternals
Abra seu navegador e acesse a página oficial de download do AccessChk. Clique no link Download AccessChk. O arquivo se chamaAccessChk.zip. - Extraia o arquivo ZIP
Localize o arquivoAccessChk.zipbaixado na sua pasta Downloads. Clique com o botão direito e selecione Extrair Tudo. Escolha uma pasta de destino, comoC:\Ferramentas\AccessChk, e clique em Extrair. O arquivo contém dois arquivos:accesschk.exe(32 bits) eaccesschk64.exe(64 bits). - Adicione a pasta à variável de ambiente PATH (opcional)
Para executaraccesschk64.exede qualquer prompt de comando sem digitar o caminho completo, adicione sua pasta ao PATH do sistema. Abra Configurações > Sistema > Sobre > Configurações avançadas do sistema. Clique em Variáveis de Ambiente. Em Variáveis do sistema, selecione Path e clique em Editar. Clique em Novo, insira o caminho da pasta (ex.:C:\Ferramentas\AccessChk) e clique em OK em todas as janelas. Reinicie o prompt de comando. - Abra o Prompt de Comando ou PowerShell como Administrador
Clique com o botão direito no botão Iniciar e selecione Windows Terminal (Admin) ou Prompt de Comando (Admin). O AccessChk precisa de privilégios de administrador para ler permissões em pastas protegidas pelo sistema.
Comandos Básicos do AccessChk para Auditoria de Permissões de Pastas
Depois de configurar o AccessChk, você pode executar vários comandos para inspecionar permissões de pastas. As opções mais comuns são -d (diretório), -u (usuário) e -g (grupo). Abaixo estão os comandos essenciais com exemplos reais.
Verificar Permissões de um Usuário Específico em uma Pasta
Para ver quais permissões uma conta de usuário específica tem em uma pasta, use as flags -d e -u juntas. A sintaxe é:
accesschk64.exe -d -u usuario caminhodapasta
Por exemplo, para verificar as permissões do usuário jdoe na pasta C:\Projetos\Financeiro, execute:
accesschk64.exe -d -u jdoe C:\Projetos\Financeiro
A saída lista cada entrada de permissão para aquele usuário, incluindo permissões herdadas. Você verá linhas como R para Leitura, W para Gravação, F para Controle Total, e assim por diante. Se o usuário não tiver acesso, a saída mostra uma linha em branco ou uma nota informando que o usuário não tem acesso.
Verificar Permissões de um Grupo em uma Pasta
Para auditar permissões de um grupo de segurança, substitua -u por -g. A sintaxe é:
accesschk64.exe -d -g nomedogrupo caminhodapasta
Por exemplo, para ver quais permissões o grupo Usuários do Domínio tem em C:\Compartilhado\Dados, execute:
accesschk64.exe -d -g "Usuários do Domínio" C:\Compartilhado\Dados
A saída mostra todas as entradas de acesso para aquele grupo. Isso é útil quando você precisa confirmar que um grupo como Todos ou Usuários Autenticados não tem permissões excessivas.
Listar Todos os Usuários e Grupos com Permissões em uma Pasta
Se você quiser uma auditoria completa de todas as contas que têm permissões em uma pasta, use a flag -d sem especificar um usuário ou grupo. O comando é:
accesschk64.exe -d caminhodapasta
Por exemplo:
accesschk64.exe -d C:\Projetos\Financeiro
Isso retorna uma lista de todos os principais de segurança que têm permissões explícitas ou herdadas naquela pasta, junto com os códigos de permissão. Esta é a maneira mais rápida de obter um mapa completo de permissões de um diretório.
Opções Avançadas do AccessChk para Auditorias Mais Profundas
O AccessChk suporta flags adicionais que dão mais controle sobre a saída. Use-as quando precisar auditar subpastas recursivamente ou excluir permissões herdadas.
Auditar Recursivamente Todas as Subpastas
Para verificar permissões de uma pasta e todas as suas subpastas, adicione a flag -s. A sintaxe é:
accesschk64.exe -d -s -u usuario caminhodapasta
Por exemplo:
accesschk64.exe -d -s -u jdoe C:\Projetos
Este comando audita todas as pastas sob C:\Projetos para o usuário jdoe. A saída pode ser longa, então considere redirecioná-la para um arquivo de texto usando > output.txt.
Mostrar Apenas Permissões Explícitas
Por padrão, o AccessChk mostra permissões herdadas e explícitas. Para ver apenas permissões que são aplicadas diretamente à pasta (não herdadas de uma pasta pai), use a flag -e:
accesschk64.exe -d -e -u jdoe C:\Projetos\Financeiro
Isso ajuda a identificar permissões que foram definidas manualmente naquela pasta específica, o que é útil para solucionar problemas de permissão.
Problemas Comuns ao Usar o AccessChk no Windows 11
AccessChk Não Retorna Saída ou Retorna Linhas em Branco
Se o comando não retornar saída, provavelmente o usuário ou grupo não tem permissões na pasta. Verifique se o nome da conta está escrito corretamente. Use o comando whoami para confirmar o nome de usuário atual. Para contas de domínio, inclua o nome do domínio no formato DOMINIO\usuario.
Erro de Acesso Negado ao Executar o AccessChk
O AccessChk deve ser executado com privilégios de administrador para ler permissões em pastas do sistema ou pastas de propriedade do TrustedInstaller. Feche o prompt de comando e reabra-o clicando com o botão direito e selecionando Executar como administrador. Se o erro persistir, a pasta pode estar protegida por criptografia BitLocker ou EFS que bloqueia até mesmo o acesso de administrador.
AccessChk Mostra Permissões Diferentes da Guia Segurança
A guia Segurança no Windows 11 mostra permissões efetivas combinando entradas herdadas e explícitas. O AccessChk também mostra permissões efetivas, mas usa um formato de exibição diferente. Se você notar uma discrepância, execute o AccessChk com a flag -e para isolar permissões explícitas e compare com o botão Avançado na guia Segurança. As duas visualizações devem coincidir quando você considerar a herança.
AccessChk vs Guia Segurança do Windows para Permissões de Pastas
| Item | AccessChk | Guia Segurança do Windows |
|---|---|---|
| Interface | Linha de comando | Interface gráfica |
| Escopo da permissão | Um usuário, grupo ou todos de uma vez | Todos os usuários e grupos em uma lista |
| Permissões efetivas | Mostra combinadas (herdadas e explícitas) | Mostra combinadas, mas requer clicar em Avançado e Acesso Efetivo |
| Auditoria recursiva | Integrada com a flag -s |
Não disponível sem ferramentas de terceiros |
| Saída para arquivo | Fácil com > output.txt |
Não suportado |
| Requer direitos de admin | Sim, para a maioria das pastas | Sim, para alterar permissões |
A tabela mostra que o AccessChk é mais adequado para auditorias automatizadas e verificações em lote, enquanto a guia Segurança é mais acessível para inspeção visual rápida de uma única pasta.
Agora você pode auditar permissões de pastas no Windows 11 usando o AccessChk. A ferramenta oferece uma maneira rápida e programável de verificar permissões efetivas para qualquer usuário ou grupo. Comece executando um comando básico em uma pasta de teste para se familiarizar com o formato de saída. Para auditorias recorrentes, salve os comandos em um arquivo em lote e redirecione a saída para um arquivo de log com carimbo de data/hora. Uma dica avançada: use a flag -n para mostrar apenas objetos aos quais o usuário especificado não tem acesso, o que ajuda a identificar lacunas de acesso não autorizado em estruturas de pastas grandes.