設置windows權限允許修改,但不允許執行
是否可以在 Windows (Server 2003 64bit) 中的文件夾上設置權限,以便帳戶可以寫入和修改,但不能執行?
如果我設置修改權限,Windows 似乎堅持我也設置執行權限。
這對我來說似乎是一個常見的場景,因為我遇到的許多日誌記錄常式都需要能夠重命名或移動(有效刪除)一個日誌文件來歸檔它。(例如,許多程序創建 foo.log,並在 24 小時後將其重命名為 foo-
$$ datestamp $$.log,並為第二天創建一個新的 foo.log)。 我知道這不是一個大問題,但如果網站帳戶從來沒有同時在同一個文件夾上擁有寫入和執行權限,我會很高興。
Read & Execute 是 Modify 的子集,因此當允許 Modify 時,根據定義,Read & Execute 也是允許的。有關詳細資訊,請參閱Technet 上的此表。
您可以使用“高級安全設置”視窗(點擊“安全”選項卡上的“高級”)單獨設置特殊權限(並排除執行文件)。
如果沒有對該使用者的“執行”權限,您不能將“修改”設置為使用者的文件夾……並且,正如另一個答案在這裡所建議的那樣,甚至不可能拒絕執行保留修改,因此解決方案可能是這樣:
預設情況下禁止執行的組策略然後白名單可能是選擇:
電腦配置 > 策略 > Windows 設置 > 安全設置 > 軟體限制策略
將安全級別設置為不允許,在“附加規則”中允許您希望使用者可以執行的路徑,您就完成了 90%。
您只需在 Program Files 之外添加您可能需要的任何應用程序路徑(網路位置等)。
我也不允許 regedit.exe 和 runas.exe。
如果您只想列入黑名單,您可以將預設級別設置為無限制,然後禁止特定文件夾……不過,這不會很有效。
此外,請確保將 *.lnk 列入白名單,否則使用者會發現開始菜單快捷方式不起作用。