Мне нужно заблокировать Windows Vista Business PC. Одним из требований является то, что доступ к C:\Windows\System32\regedit.exe должен быть ограничен только (локальными) администраторами. Это автономный ПК, который не подключен к ActiveDirectory или чему-либо в этом роде.
Разрешения ACL по умолчанию на этом ПК для regedit:
regedit.exe D:PAI(A;;FA;;;S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464)(A;;0x1200a9;;;BA)(A;;0x1200a9;;;SY)(A;;0x1200a9;;;BU)S:AI
Я попытался изменить владельца на "Администраторы" и снять флажок "Чтение и выполнение" для группы "Пользователи". Я полагаю, что мой пользователь все еще находится в локальной группе администраторов, и у него есть разрешения "Чтение" и "Чтение и выполнение" для regedit.exe. Однако, когда я пытаюсь открыть файл, зарегистрированный как пользователь с правами администратора, я больше не могу открыть regedit.exe, даже когда я щелкаю правой кнопкой мыши по "Запуск от имени администратора". Я получаю ошибку:
Windows не может получить доступ к указанному устройству, пути или файлу. У вас могут не быть соответствующих разрешений для доступа к элементу.
Что я не понимаю в доступе к файлам в Windows Vista? Какие настройки позволят пользователю в группе «Администраторы» открывать regedit.exe, но не другим пользователям?