是否可以在Windows(Server 2003 64位元)中的資料夾上設定權限,以便帳戶可以寫入和修改,但不能執行?
如果我設定修改權限,Windows 似乎堅持要求我還設定執行權限。
這對我來說似乎是一個常見的場景,因為我遇到的許多日誌記錄例程都需要能夠重新命名或移動(有效刪除)日誌檔案以將其存檔。 (例如,許多程式會建立 foo.log,並在 24 小時後將其重新命名為 foo-[datestamp].log,並為第二天建立一個新的 foo.log)。
我知道這不是一個大問題,但如果網站帳戶從未同時對同一資料夾具有寫入和執行權限,我會很高興。
答案1
讀取和執行是修改的子集,因此當允許修改時,根據定義,也允許讀取和執行。看這張桌子有關詳細信息,請訪問 Technet。
您可以使用「進階安全性設定」視窗(按一下「安全性」標籤上的「進階」)單獨設定特殊權限(並排除執行檔)。
答案2
如果沒有該使用者的「執行」權限,您就無法為該使用者的資料夾設定「修改」...並且,正如此處另一個答案所建議的那樣,甚至不可能拒絕執行保留修改,因此解決方案可能是這樣的:
預設禁止執行的群組原則,則可以選擇白名單:
電腦設定 > 策略 > Windows 設定 > 安全性設定 > 軟體限制策略
將安全等級設為“不允許”,在“附加規則”中允許您希望使用者可以執行的路徑,這樣就完成了 90%。
您只需新增您可能需要的程式檔案以外的任何應用程式路徑(網路位置等)。
我還禁止 regedit.exe 和 runas.exe。
如果您只想將預設等級設為黑名單,則可以將預設等級設為“無限制”,然後禁止特定資料夾...不過,這不會非常有效。
另外,請確保將 *.lnk 列入白名單,否則使用者會發現開始功能表捷徑不起作用。