Я вошел в систему как администратор, щелкнул правой кнопкой мыши папку и перешел в свойства, затем на вкладку безопасности, затем на вкладку «Дополнительно», затем на вкладку владельца. Я не в домене.
Я вижу, что папка принадлежит группе администраторов.
Я передаю право собственности на этот элемент и все подпункты администратору пользователя. Я проверил, и все подпункты действительно теперь имеют права администратора.
Но затем я пытаюсь создать новый текстовый файл внутри этой папки, и когда я иду посмотреть, кто на нем владеет, это администраторы. Я ожидал, что новое право собственности унаследует право собственности от своего родительского элемента или отнимет его у меня, зарегистрированного администратора пользователя.
Что можно сделать для решения этой проблемы, чтобы новые файлы, которые я создаю при входе в систему с администратором, создавали их с владельцем администратора, а не с администраторами?
Обновление: этот параметр GP больше недоступен, начиная с Vista / Server 2008. https://support.microsoft.com/en-us/kb/947721
Параметр групповой политики недоступен в списке параметров политики безопасности на компьютере под управлением Windows Server 2008.
СИМПТОМЫКогда вы пытаетесь получить доступ к параметру групповой политики «Системные объекты: владелец по умолчанию для объектов, созданных членами группы администраторов» на компьютере под управлением Windows Vista или более поздней версии, этот параметр недоступен в списке параметров политики безопасности. Если параметр присутствует в вашей групповой политике безопасности, он будет проигнорирован Windows Vista и более новыми членами домена.
ПРИЧИНАWindows Vista, Windows 7, Windows Server 2008 и Windows Server 2008 R2 больше не поддерживают этот параметр. Если этот параметр включен, контроль учетных записей пользователей (UAC) гарантирует, что учетная запись пользователя используется в качестве владельца для всех объектов, созданных локально. Для удаленного доступа будет использоваться группа администраторов, нет ограниченного токена для сетевых сеансов.
Поскольку поддержка этого параметра была удалена, параметр политики безопасности системы «Системные объекты: владелец по умолчанию для объектов, созданных членами группы администраторов» больше не доступен в пользовательском интерфейсе шаблонов безопасности.
Посмотрите в групповой политике параметр «Системные объекты: владелец по умолчанию для объектов, созданных членами группы администраторов». Он находится под:
Когда этот параметр включен, члены группы «Администраторы» будут иметь объекты, которые они создают, с владельцем «Администраторы».
Честно говоря, я не сразу уверен в обосновании такого поведения Microsoft, за исключением того, что он допускает обычную возможность сбрасывать разрешения для объектов, не переходя во владение всех «администраторов». Я предполагаю, что это было намерением. Мне было бы интересно узнать, есть ли у кого-нибудь ссылка на явное заявление о цели этого параметра от Microsoft.
Я заметил, что этот параметр по умолчанию отличается в Windows XP и Windows Server 2003 (вот статья от Microsoft об этом http://support.microsoft.com/kb/318825), но я до сих пор не вижу заявления о том, почему вы хотите, чтобы все было так, а не иначе.
Разница между настройками владения XP и Vista / 7 по умолчанию связана с введением ОАЭ (повышенная безопасность). В ОАЭ администратор фактически понижается в должности до учетной записи с ограниченным доступом, тем самым ограничивая возможность любой учетной записи администратора изменять настройки ОС для файлов, не принадлежащих ей. Когда UAE обнаруживает изменение, требующее административных привилегий, он предлагает пользователю повысить уровень маркера безопасности учетной записи до повышенных привилегий, предлагаемых ролью учетной записи в качестве администратора. Вы можете отклонить или принять запрос ОАЭ. К сожалению, даже при работе с ОАЭ пониженная учетная запись администратора все еще может влиять на настройки ОС, изменяя принадлежащие ей файлы. Владение ресурсом предоставляет полный доступ к этому ресурсу, даже если другие настройки разрешений этого не делают. Чтобы обойти эту дыру в безопасности, файлы Vista / 7, созданные каким-либо конкретным администратором, теперь принадлежат группе администраторов. Поэтому отдельные администраторы больше не могут изменять какие-либо файлы, не будучи предварительно переведены в группу администраторов.
До появления UAE в Vista / 7 вы могли эффективно моделировать эту схему с помощью программы под названием «Drop My Rights». Он был разработан инженером MS и свободно распространяется MS. Однако перед установкой программы вам нужно было изменить параметры реестра, чтобы установить владельцем администратора по умолчанию, чтобы он был группой администраторов, поэтому при будущих установках программы будет установлена группа администраторов в качестве владельца, а также изменится право собственности на файлы в Каталоги Windows и Program File с помощью служебной программы subinacl.exe для передачи прав собственности на существующие файлы группе администраторов.
Я бы не стал изменять настройку владельца по умолчанию, если вы не хотите внести уязвимость в систему безопасности.