ユーザーのファイルへの削除アクセスを拒否しますが、アクセスの実行は許可します
実行可能ファイルを削除したり名前を変更したりすることはできないが、実行できるようにアクセス許可を設定したい。
削除を拒否すると、実行もできなくなります。どうして?
削除できないが実行可能にする方法はありますか? (高度なアクセス許可を使用して、ファイルの実行と読み取りを許可するように設定しています)。
ファイルの削除または名前の変更を防止しますが、読み取りおよび実行アクセスは許可します
ロックダウンするファイルに対して以下の構文を使用し、それが適用されるユーザー名(またはセキュリティグループ名)を使用して icacls を試してください。各コマンドの上のスクリプトには、_:::_が追加されたコメントメモがあり、それぞれがアクセス許可をACLするために具体的に何をするかを説明しています。
これを実行する前に行った変更を行う前に、ACLアクセス許可を最初に設定された方法にリセットする必要があります。それが完了したら、アカウントがファイルを実行できることを確認してから、以下のスクリプトを実行します。
基本的に、このは、実行可能ファイルが存在するフォルダーとファイル自体へのACL継承を無効にします。次に、は、フォルダーと実行可能ファイルの両方に明示的な読み取りと実行を付与します。ファイルの名前変更を防ぐために、ファイルの作成を拒否/データの書き込み実行可能ファイルが存在するフォルダーへの書き込み。最後に、明示的にフォルダと実行可能ファイルの両方への削除アクセスを拒否します。
脚本
_@ECHO ON
SETLOCAL ENABLEDELAYEDEXPANSION
SET "Exe=C:\Folder\Path\file.exe"
SET "uAccount=Username"
FOR %%a in ("%Exe%") DO SET "eFolder=%%~DPa"
::: This strips the last "\" from the folder the exe resides so icacls can process
SET "eFolder=!eFolder:~0,-1!"
::: Disables ACL inheritence on the folder the exe file resides but copies all ACLs as inherited before removing
ICACLS "!eFolder!" /inheritance:d /grant:r "%uAccount%:(OI)(IO)" /C
::: Remove all granted permission ACLs on only the folder the exe file resides
ICACLS "!eFolder!" /remove:g "%uAccount%" /C
::: Remove all denied permission ACLs on only the folder the exe file resides
ICACLS "!eFolder!" /remove:g "%uAccount%" /C
::: Grants explicit read and execute ACL access on only the folder the exe file resides
ICACLS "!eFolder!" /grant:r "%uAccount%:(RX)" /C
::: Denies delete ACL access on only the folder the exe file resides
ICACLS "!eFolder!" /deny "%uAccount%":(DE)
::: Denies create files / write data ACL access on only the folder the exe file resides
ICACLS "!eFolder!" /deny "%uAccount%":(WD)
::: Disables ACL inheritence on the exe file only but copies all ACLs as inherited before removing
ICACLS "%Exe%" /inheritance:d /grant:r "%uAccount%:(OI)(IO)" /C
::: Remove all granted permission ACLs on only the exe file
ICACLS "%Exe%" /remove:g "%uAccount%" /C
::: Remove all denied permission ACLs on only the exe file
ICACLS "%Exe%" /remove:g "%uAccount%" /C
::: Grants explicit read and execute ACL access only to the exe file
ICACLS "%Exe%" /grant:r "%uAccount%:(RX)" /C
::: Grants an explicit deny of delete ACL access only to the exe file
ICACLS "%Exe%" /deny "%uAccount%":(DE)
PAUSE
EXIT
_注:_
Exe=_変数の値を、ロックダウンする実行可能ファイルへの完全な明示的パスに変更し、_uAccount=_変数の値を次のように変更します。これを実行するアカウント(またはグループ)のユーザー名(またはセキュリティグループ名)である。
GUIACL権限の明確化
exeが存在するフォルダ
exeファイル自体