¿Es posible establecer permisos en una carpeta en Windows (Server 2003 de 64 bits) para que una cuenta pueda escribir y modificar, pero no ejecutar?
Si configuro permisos de modificación, Windows parece insistir en que también establezca permisos de ejecución.
Esto me parece un escenario común, ya que muchas de las rutinas de registro que encuentro necesitan poder cambiar el nombre o mover (eliminar efectivamente) un archivo de registro para archivarlo. (por ejemplo, muchos programas crean foo.log y, después de 24 horas, le cambian el nombre a foo-[datetestamp].log y crean un nuevo foo.log para el día siguiente).
Sé que no es un gran problema, pero sería un conejito feliz si las cuentas del sitio web nunca tuvieran permisos de escritura y ejecución en la misma carpeta al mismo tiempo.
Respuesta1
Leer y ejecutar es un subconjunto de Modificar, por lo que cuando se permite Modificar, Leer y ejecutar, por definición, también está permitido. VerEsta mesaen Technet para más detalles.
Puede configurar los permisos especiales individualmente (y excluir Ejecutar archivo) con la ventana Configuración de seguridad avanzada (haga clic en Avanzado en la pestaña Seguridad).
Respuesta2
No puede configurar "modificar" en una carpeta para un usuario sin tener permiso de "ejecución" para ese usuario... y, como lo sugieren otras respuestas aquí, ni siquiera es posible denegar la ejecución preservando la modificación, por lo que la solución puede ser esta :
una Política de grupo para no permitir la ejecución de forma predeterminada, entonces incluir en la lista blanca puede ser la opción:
Configuración del equipo > Políticas > Configuración de Windows > Configuración de seguridad > Políticas de restricción de software
Establezca el nivel de seguridad en No permitido, permita las rutas en las que desea que los usuarios puedan ejecutar en "Reglas adicionales" y estará listo en un 90%.
Simplemente agregará las rutas de aplicación fuera de los Archivos de programa que pueda necesitar (ubicaciones de red, etc.).
También no permito regedit.exe y runas.exe.
Si solo desea incluirse en la lista negra, establecerá su nivel predeterminado en Sin restricciones y luego no permitirá una carpeta específica... Sin embargo, no será muy efectivo.
Además, asegúrese de incluir *.lnk en la lista blanca o los usuarios encontrarán que los accesos directos del menú de inicio no funcionan.