У меня машина с Windows 2008 R2. Сама моя машина не является контроллером домена, но присоединена к домену.
В локальной политике безопасности в разделе «Параметры безопасности»> «Локальные политики»> «Назначение прав пользователя» предоставьте пользователю DOMAIN \ jane.doe право «стать владельцем файлов или других объектов».
Я перезагрузил компьютер и вошел в систему как ДОМЕН \ jane.doe. Откройте командную строку и выполните takeown /f c:\test\testfile.txt. Это дает мне ошибку "Доступ запрещен"
Файл был создан DOMAIN \ administrator. Следовательно, владельцем была группа администраторов. Проверено, что к машине не применены другие GPO.
В целях тестирования я извлекаю весь DACL из файла, а затем просто предоставляю DOMAIN \ jane.doe разрешение «Принять владение» через DACL. Затем войдите в систему как DOMAIN \ jane.doe и запустите takeown /f c:\test\testfile.txt очередной раз. Я мог бы успешно стать владельцем, если бы DOMAIN \ jane.doe получил разрешение на владение через DACL.
У меня вопрос: почему пользователь DOMAIN \ jane.doe не может получить право собственности на файл, даже если я предоставил ей эту привилегию? Это потому, что takeown.exe не учитывает права Windows, а только DACL? Я провел аналогичное тестирование, используя страницу свойств безопасности в проводнике Windows. DOMAIN \ jane.doe не может стать владельцем, даже если ей предоставлено разрешение «Принять владение» через DACL и ей дается право «владеть файлами или другими объектами».
Я только что придумал ответ. Это потому, что у меня был включен UAC. Если я отключу UAC, свойства безопасности takeown.exe и explorer.exe будут работать должным образом. DOMAIN \ jane.doe может стать владельцем, как и ожидалось.