корень будет всегда мочь записать в файл. Я предположил бы, что это нацелено на случаи, где апачский пользователь владеет двоичным файлом. В этом случае это имеет смысл, так как это препятствует тому, чтобы использованный апач заменил себя изворотливым двоичным файлом (также, если Вы находитесь на человечности, Вы почти наверняка используете apache2.2 вместо 2,0 и должны прочитать документы из этого вместо этого).
Да, он называется Process Monitor от SysInternals (теперь часть MS), и это находка.
Кроме того, пусть ваше руководство купится на этой идее, и пусть ваши разработчики / специалисты по обеспечению качества протестируют это дерьмо как обычные пользователи тестовых систем, чтобы они не заставляли вас работать над исправлением их ошибок.
Rather than figuring out the perfect permissions, you could launch the update process using the "runas" utility
Хорошо, поэтому кроме идеи Process Monitor для поиска необходимых разрешений или RunAs
для предоставления административных разрешений, вы всегда можете запустить средство обновления в системном контексте чтобы избежать всего беспорядка, не так ли?
Используйте сценарии запуска AD или параметры установки программного обеспечения для запуска средства обновления в контексте системы или вместо настройки службы средства обновления для запуска в контексте пользователя измените его на запуск как NTAUTHORITY \ Local Service
или SYSTEM
. Также легко достигается с помощью GPO или сценария.