Ist es möglich, Berechtigungen für einen Ordner in Windows (Server 2003 64 Bit) so festzulegen, dass ein Konto schreiben und ändern, aber nicht ausführen kann?
Wenn ich Änderungsberechtigungen festlege, scheint Windows darauf zu bestehen, dass ich auch Ausführungsberechtigungen festlege.
Dies scheint mir ein häufiges Szenario zu sein, da viele der Protokollierungsroutinen, mit denen ich zu tun habe, in der Lage sein müssen, eine Protokolldatei umzubenennen oder zu verschieben (effektiv zu löschen), um sie zu archivieren. (Beispielsweise erstellen viele Programme foo.log, benennen es nach 24 Stunden in foo-[Datumsstempel].log um und erstellen für den darauffolgenden Tag ein neues foo.log.)
Ich weiß, dass es kein großes Problem ist, aber ich wäre glücklich, wenn die Website-Konten nie gleichzeitig Schreib- und Ausführungsberechtigungen für denselben Ordner hätten.
Antwort1
Lesen & Ausführen ist eine Teilmenge von Ändern. Wenn also Ändern erlaubt ist, ist Lesen & Ausführen per Definition ebenfalls erlaubt. Siehedieser Tischauf Technet für weitere Einzelheiten.
Sie können die Sonderberechtigungen einzeln im Fenster „Erweiterte Sicherheitseinstellungen“ festlegen (klicken Sie auf der Registerkarte „Sicherheit“ auf „Erweitert“) und „Datei ausführen“ ausschließen.
Antwort2
Sie können für einen Benutzer nicht die Berechtigung „Ändern“ für einen Ordner festlegen, ohne dass dieser Benutzer die Berechtigung „Ausführen“ dafür hat. Und wie in anderen Antworten hier vorgeschlagen, ist es nicht einmal möglich, die Ausführung zu verweigern und dabei die Änderung beizubehalten. Die Lösung könnte also folgende sein:
eine Gruppenrichtlinie zum standardmäßigen Untersagen der Ausführung, dann kann die Whitelist die Wahl sein:
Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien zur Softwareeinschränkung
Stellen Sie die Sicherheitsstufe auf „Nicht zulässig“ ein, lassen Sie unter „Zusätzliche Regeln“ die Pfade zu, in denen Benutzer ausführen können sollen, und schon sind Sie zu 90 % fertig.
Sie fügen einfach alle Anwendungspfade außerhalb der Programmdateien hinzu, die Sie möglicherweise benötigen (Netzwerkspeicherorte usw.).
Ich verbiete auch regedit.exe und runas.exe.
Wenn Sie nur eine schwarze Liste erstellen möchten, legen Sie Ihre Standardebene auf „Uneingeschränkt“ fest und sperren dann einen bestimmten Ordner. Dies wird jedoch nicht sehr effektiv sein.
Stellen Sie außerdem sicher, dass Sie *.lnk auf die Whitelist setzen, da die Startmenüverknüpfungen sonst bei Benutzern nicht funktionieren.