Установите шаблон наследования для SEARCH и EXECUTE только для идентифицированных
файлов и каталогов.
Если вам необходимо использование READ_OPEN файлов, например для сценариев
оболочки, то добавьте права READ_OPEN и CLOSE.
Для возможности дополнения оболочкой имен файлов вам необходимы права READ и,
возможно, GET_STATUS_DATA или GET_PERMISSIONS_DATA.
Так как права SUPERVISOR включают в себя все прочие права и (обычно) могут не
маскироваться, все субъекты с SUPERVISOR на верхние уровни все-равно имеют полный
доступ. При стандартной настройке только пользователь 400 (Security Officer)
имеет доступ к FD для ACL по умолчанию (и следовательно ко всем файлам и каталогам).
Если вы хотите разрешить субъектам, например группе 'Installers',
изменение или установку исполняемых файлов, вы можете это сделать простым добавлением
необходимых прав каталогу или ACL файла.
Если позднее вы захотите убедиться, что не забыли такие вхождения, то вы можете
найти все ACL-вхождения при помощи acl_tlist -r.