Можно ли установить разрешения для папки в Windows (Server 2003 64bit), чтобы учетная запись могла писать и изменять, но не выполнять?
Если я устанавливаю разрешения на изменение, окна, кажется, настаивают, чтобы я также установил разрешения на выполнение.
Мне это кажется обычным сценарием, поскольку многие процедуры ведения журнала, с которыми я сталкиваюсь, должны иметь возможность переименовывать или перемещать (эффективно удалять) файл журнала для его архивирования. (например, многие программы создают foo.log и через 24 часа переименовывают его в foo- [datestamp] .log и создают новый foo.log на следующий день).
Я знаю, что это небольшая проблема, но я был бы счастлив, если бы учетные записи веб-сайтов никогда не имели разрешений на запись и выполнение в одной и той же папке одновременно.
Read & Execute - это подмножество Modify, поэтому, когда Modify разрешено, Read & Execute, по определению, также разрешено. Видеть этот стол на Technet.
Вы можете установить особые разрешения индивидуально (и исключить «Выполнить файл») в окне «Дополнительные параметры безопасности» (щелкните «Дополнительно» на вкладке «Безопасность»).
Вы не можете установить «изменить» для папки для пользователя, не имея разрешения на «выполнение» для этого пользователя ... и, как было предложено в других ответах здесь, невозможно даже запретить изменение с сохранением выполнения, поэтому решение может быть таким :
групповая политика для запрета выполнения по умолчанию, тогда белый список может быть выбором:
Конфигурация компьютера> Политики> Параметры Windows> Параметры безопасности> Политики ограниченного использования программ
Установите уровень безопасности на Disallowed, Разрешите пути, которые вы хотите, чтобы пользователи могли выполнять в «Additional Rules», и все готово на 90%.
Вы просто добавите любые пути к приложениям за пределами Program Files, которые могут вам понадобиться (сетевые расположения и т. Д.).
Я также запрещаю regedit.exe и runas.exe.
Если вы просто хотите занести в черный список, вы установите уровень по умолчанию на Без ограничений, а затем запретите определенную папку ... Однако это не будет очень эффективным.
Кроме того, не забудьте добавить * .lnk в белый список, иначе пользователи обнаружат, что ярлыки меню «Пуск» не работают.