Можно ли установить разрешения для папки в Windows (Server 2003 64bit) так, чтобы учетная запись могла записывать и изменять, но не могла выполнять?
Если я устанавливаю разрешения на изменение, Windows, похоже, настаивает, чтобы я также установил разрешения на выполнение.
Мне кажется, что это распространенный сценарий, поскольку многим процедурам ведения журнала, с которыми я сталкиваюсь, необходимо иметь возможность переименовывать или перемещать (фактически удалять) файл журнала для его архивации. (например, многие программы создают foo.log, а через 24 часа переименовывают его в foo-[datestamp].log и создают новый foo.log для следующего дня).
Я знаю, что это не такая уж большая проблема, но я был бы счастлив, если бы учетные записи веб-сайтов никогда не имели разрешений на запись и выполнение в одной и той же папке одновременно.
решение1
Read & Execute — это подмножество Modify, поэтому, когда Modify разрешен, Read & Execute, по определению, также разрешен. Смотритеэтот столПодробности на Technet.
Вы можете задать специальные разрешения по отдельности (и исключить выполнение файла) с помощью окна «Дополнительные параметры безопасности» (нажмите «Дополнительно» на вкладке «Безопасность»).
решение2
Вы не можете установить «изменение» для папки для пользователя, не имея разрешения «выполнение» для этого пользователя... и, как предполагают другие ответы здесь, невозможно даже запретить выполнение, сохранив изменение, поэтому решение может быть таким:
групповая политика для запрета выполнения по умолчанию, то выбор может заключаться в добавлении в белый список:
Конфигурация компьютера > Политики > Параметры Windows > Параметры безопасности > Политики ограничения программного обеспечения
Установите уровень безопасности «Запрещено», разрешите пользователям выполнять нужные пути в «Дополнительных правилах», и все готово на 90%.
Вам просто нужно будет добавить любые пути к приложениям за пределами Program Files, которые вам могут понадобиться (сетевые расположения и т. д.).
Я также запрещаю regedit.exe и runas.exe.
Если вы просто хотите добавить в черный список, то установите уровень по умолчанию на «Неограниченный», а затем запретите доступ к определенной папке... Хотя это будет не очень эффективно.
Кроме того, не забудьте добавить *.lnk в белый список, иначе пользователи обнаружат, что ярлыки меню «Пуск» не работают.