Windows (Server 2003 64 ビット) のフォルダーに対して、アカウントが書き込みと変更はできるが実行はできないようにアクセス許可を設定することは可能ですか?
変更権限を設定すると、Windows は実行権限も設定することを要求するようです。
これは私にとっては一般的なシナリオのように思えます。私が遭遇する多くのログルーチンでは、ログ ファイルをアーカイブするために、ログ ファイルの名前を変更したり移動 (実質的には削除) したりする必要があるためです (たとえば、多くのプログラムは foo.log を作成し、24 時間後に foo-[datestamp].log に名前を変更し、翌日に新しい foo.log を作成します)。
大きな問題ではないことはわかっていますが、Web サイトのアカウントに同じフォルダーへの書き込み権限と実行権限が同時に付与されなければ、私は大満足です。
答え1
読み取りと実行は変更のサブセットであるため、変更が許可されている場合は、定義により読み取りと実行も許可されます。このテーブル詳細については、Technet をご覧ください。
「セキュリティの詳細設定」ウィンドウ (「セキュリティ」タブの「詳細設定」をクリック) を使用して、特別なアクセス許可を個別に設定 (および「ファイルの実行」を除外) できます。
答え2
ユーザーのフォルダーに「変更」を設定するには、そのフォルダーに対する「実行」権限が必要です。また、ここでの別の回答で示唆されているように、変更を保持したまま実行を拒否することもできないため、解決策は次のようになります。
デフォルトで実行を許可しないグループ ポリシーの場合は、ホワイトリスト化が選択肢になる場合があります。
コンピューターの構成 > ポリシー > Windows の設定 > セキュリティの設定 > ソフトウェア制限ポリシー
セキュリティ レベルを「許可しない」に設定し、「追加ルール」でユーザーが実行できるパスを許可すると、90% 完了です。
必要になる可能性のある Program Files 以外のアプリケーション パス (ネットワークの場所など) を追加するだけです。
regedit.exe と runas.exe も禁止します。
ブラックリストに登録するだけの場合は、デフォルトのレベルを「無制限」に設定し、特定のフォルダーを禁止します...ただし、あまり効果的ではありません。
また、*.lnk を必ずホワイトリストに登録してください。そうしないと、スタート メニューのショートカットが機能しなくなります。