是否可以在Windows(Server 2003 64位)设置文件夹的权限,以便帐户可以写入和修改,但不能执行?
如果我设置修改权限,Windows似乎坚持我也设置执行权限。
这对我来说似乎是一个常见的情况,因为我遇到的很多日志例程需要能够重命名或移动(有效地删除)日志文件来存档它。 (例如,许多程序创buildfoo.log,24小时后将其重命名为foo- [datestamp] .log,并为随后的日子创build一个新的foo.log)。
我知道这不是一个很大的问题,但是如果网站帐户从来没有在同一个文件夹上同时写入和执行权限,我会是一个快乐的兔子。
读取和执行是修改的一个子集,所以当允许修改时,根据定义,读取和执行也是允许的。 有关详细信息,请参阅Technet上的此表 。
您可以使用“高级安全设置”窗口单独设置特殊权限(并排除“执行文件”)(单击“安全”选项卡上的“高级”)。
你不能设置“修改”为一个用户的文件夹,而没有“执行”该用户的权限…,正如另一个答案build议,这是不可能的拒绝执行保留修改,所以解决scheme可能是这样的:
默认禁止执行的组策略然后白名单可能是select:
计算机configuration>策略> Windows设置>安全设置>软件限制策略
将安全级别设置为“不允许”,允许用户在“其他规则”中执行的path已完成90%。
您只需添加您可能需要的程序文件之外的任何应用程序path(networking位置等)。
我也不允许regedit.exe和runas.exe。
如果你只是想黑名单,你将默认级别设置为Unrestricted,然后禁止一个特定的文件夹…这不会是非常有效的,但是。
另外,请确保白名单* .lnk或用户会发现开始菜单快捷键不起作用。