Здравствуйте.
Столкнулся с неожиданным (для меня) эффектом при использовании
icacls.exe:
Код:
:: Сбрасываем настройки безопасности
icacls "C:\TEMP\*.exe" /reset
:: Для группы "Все" разрешаем всё
icacls "C:\TEMP\*.exe" /grant *S-1-1-0:(f)
:: Для группы "Все" запрещаем изменение
icacls "C:\TEMP\*.exe" /deny *S-1-1-0:(w)
Думаете, после выполнения такого куска, с экзешниками в папке C:\TEMP можно делать все кроме изменений? А вот и нет!
Ни прочитать, ни запустить на выполнение эти файлы уже нельзя.
Если посмотреть их свойства безопасности то все нормально: чтение-выполение - разрешено, запись-изменение - запрещено.
Если точно такие же настройки безопасности, указать вручную, при помощи оснастки - все работает без сюрпризов.
Подскажите как можно реализовать задуманное? Не обязательно через icacls, главное чтобы через скрипт...