仅允许默认用户组的读取文件权限,同时不覆盖默认管理员组的读取和执行权限

仅允许默认用户组的读取文件权限,同时不覆盖默认管理员组的读取和执行权限

我试图阻止标准用户执行特定的 .exe 文件,同时仍允许管理员执行它。

如果我将文件的安全设置编辑为“拒绝默认用户组读取和执行”,这将阻止默认用户组和管理员组中的用户执行该文件。这是意料之中的,因为据我了解,对于规则集冲突的用户,拒绝规则将覆盖允许规则。

从我读到的内容来看,我的印象是,与其明确拒绝默认用户组的读取和执行权限,不如简单地不允许默认用户组的读取和执行权限。然而,这似乎与明确拒绝权限具有相同的效果。这是应该的工作方式吗?

我知道的唯一拒绝标准用户同时允许管理员用户读取和执行特定 .exe 文件的方法就是为标准用户创建一个新组并拒绝该新组的权限。对于一两台计算机来说这很容易做到,但我有多台计算机需要这样做,所以我正在寻找一个更简单、需要更少步骤的解决方案。

我正在使用 Windows 10 Pro。

答案1

如果随机用户不应该执行该文件,那么拒绝执行该文件是不够的,因为没有什么可以阻止用户复制该文件并在其他地方执行它。

相反,使用组策略阻止每个特定应用程序的执行:User Configuration/Administrative Templates/System/Don't run specified Windows applications。您还可以使用下一个设置,Run only specified Windows applications进行全面限制。

GPO 应用程序权限

相关内容