É possível definir permissões em uma pasta no Windows (Server 2003 64 bits) para que uma conta possa gravar e modificar, mas não executar?
Se eu definir permissões de modificação, o Windows parece insistir que eu também defina permissões de execução.
Este parece ser um cenário comum para mim, já que muitas das rotinas de log que encontro precisam ser capazes de renomear ou mover (excluir efetivamente) um arquivo de log para arquivá-lo. (por exemplo, muitos programas criam foo.log e, após 24 horas, renomeiam-no para foo-[datestamp].log e criam um novo foo.log para o dia seguinte).
Eu sei que não é um grande problema, mas eu ficaria muito feliz se as contas do site nunca tivessem permissões de gravação e execução na mesma pasta ao mesmo tempo.
Responder1
Ler e Executar é um subconjunto de Modificar, portanto, quando Modificar é permitido, Ler e Executar também é, por definição, permitido. Veressa mesano Technet para obter detalhes.
Você pode definir as permissões especiais individualmente (e excluir o arquivo Executar) na janela Configurações avançadas de segurança (clique em Avançado na guia Segurança).
Responder2
Você não pode definir "modificar" para uma pasta para um usuário sem ter permissão de "execução" para esse usuário ... e, como sugerido por outras respostas aqui, nem é possível negar a execução preservando a modificação, então a solução pode ser esta :
uma Política de Grupo para Proibir Execução por padrão, então a lista de permissões pode ser a escolha:
Configuração do computador > Políticas > Configurações do Windows > Configurações de segurança > Políticas de restrição de software
Defina o nível de segurança como Não permitido, permita os caminhos nos quais deseja que os usuários possam executar em "Regras adicionais" e pronto.
Você apenas adicionará quaisquer caminhos de aplicativo fora dos Arquivos de Programas que possa precisar (locais de rede, etc.).
Eu também não permito regedit.exe e runas.exe.
Se você quiser apenas colocar na lista negra, você definirá seu nível padrão como Irrestrito e, em seguida, proibirá uma pasta específica... No entanto, não será muito eficaz.
Além disso, certifique-se de colocar *.lnk na lista de permissões ou os usuários descobrirão que os atalhos do menu Iniciar não funcionam.