我之前也碰到过类似的文件执行权限问题，刚好看到你提供的PowerShell操作记录，就来给你梳理下Windows环境下验证文件权限、添加执行权限的具体方法。

一、先验证文件当前的权限状态 #

想要知道文件现在有哪些权限，用PowerShell的Get-Acl命令就可以直观查看，就像你操作的那样：

Get-Acl -Path .\vswhere.exe | Format-List

执行后会输出文件的完整权限信息，从你的输出结果里能看到这些关键内容：

• 你当前登录的用户DESKTOP-6083M7K\pengc拥有**FullControl（完全控制）**权限，这意味着你对这个文件有所有操作权限
• Everyone组被设置了Deny（拒绝） ExecuteFile（执行文件）权限，同时又允许了读写、同步等其他权限——这里要注意，Windows权限里拒绝规则优先级高于允许规则，所以这个组的用户还是没法执行这个文件
• 系统账户和管理员组也各自拥有对应的修改、权限变更等权限

二、添加执行权限的具体操作 #

如果要给目标用户/组添加执行权限，有两种常用方式：

方式1：用icacls命令（更简洁直观） #

比如要给Everyone组添加执行权限，得先移除之前的拒绝规则，再添加允许规则：

# 移除Everyone组对ExecuteFile的拒绝权限
icacls .\vswhere.exe /remove:d Everyone ExecuteFile
# 给Everyone组添加读和执行权限（包含ExecuteFile）
icacls .\vswhere.exe /grant Everyone:(RX)

方式2：用PowerShell的ACL对象修改（更灵活） #

如果你需要更精细的权限控制，可以通过操作ACL对象来实现：

# 获取文件的ACL对象
$acl = Get-Acl .\vswhere.exe

# 先检查并移除已有的ExecuteFile拒绝规则（如果存在）
$denyRule = $acl.Access | Where-Object { 
    $_.IdentityReference -eq "Everyone" -and 
    $_.FileSystemRights -match "ExecuteFile" -and 
    $_.AccessControlType -eq "Deny" 
}
if ($denyRule) {
    $acl.RemoveAccessRule($denyRule)
}

# 创建新的允许执行权限规则
$allowRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
    "Everyone", 
    "ExecuteFile", 
    "Allow"
)

# 添加规则并应用到文件
$acl.AddAccessRule($allowRule)
Set-Acl .\vswhere.exe $acl

三、验证权限修改是否生效 #

修改完成后，再执行一次Get-Acl命令就能确认权限是否更新：

Get-Acl -Path .\vswhere.exe | Format-List

这时候你就能看到目标用户/组的权限里已经有了允许执行的规则，没有冲突的拒绝规则了。

备注：内容来源于stack exchange，提问作者tribbloid