É possível definir permissões em uma pasta no Windows (Server 2003 64 bits) para que uma conta possa gravar e modificar, mas não executar?
Se eu definir permissões de modificação, o Windows parece insistir que eu também defino permissões de execução.
Isso parece um cenário comum para mim, já que muitas das rotinas de log que encontro precisam ser capazes de renomear ou mover (efetivamente excluir) um arquivo de log para arquivá-lo. (por exemplo, muitos programas criam foo.log e depois de 24 horas renomeiam para foo [datestamp] .log e cria um novo foo.log para o dia seguinte).
Sei que não é um grande problema, mas ficaria feliz se as contas do site nunca tivessem permissões de gravação e execução na mesma pasta ao mesmo tempo.
Leia & Execute é um subconjunto de Modify, portanto, quando Modify é permitido, Read & Executar é, por definição, também permitido. Consulte esta tabela no Technet para obter detalhes.
Você pode definir as permissões especiais individualmente (e excluir Executar arquivo) com a janela Configurações avançadas de segurança (clique em Avançado na guia Segurança).
Você não pode definir "modificar" para uma pasta para um usuário sem ter permissão de "execução" para esse usuário ... e, como sugerido por outras respostas aqui, nem é possível negar a execução de preservação para modificar a solução pode ser isso:
uma Política de grupo para não permitir a execução por padrão, então a lista de permissões pode ser a escolha:
Configuração do computador > Políticas > Configurações do Windows > Configurações de segurança > Políticas de Restrição de Software
Defina o nível de segurança como Não permitido, Permitir os caminhos nos quais você deseja que os usuários possam executar em "Regras Adicionais" e você estará 90% pronto.
Você apenas adicionará todos os caminhos de aplicativos fora dos Arquivos de Programas que você possa precisar (locais de rede, etc.).
Eu também desautorizo regedit.exe e runas.exe.
Se você quiser apenas uma lista negra, você irá definir seu nível padrão como Irrestrito, e então proibir uma pasta específica ... No entanto, não será muito eficaz.
Além disso, certifique-se de colocar whitelist * .lnk ou os usuários descobrirão que os atalhos do menu Iniciar não funcionam.