新しいファイルのファイル所有権は管理者にあります - なぜグループ管理者に所有権が与えられるのですか?

tag-icon tag-icon permissions filesystems ntfs access-control-list
新しいファイルのファイル所有権は管理者にあります - なぜグループ管理者に所有権が与えられるのですか?

管理者としてログインし、フォルダーを右クリックして、プロパティ、セキュリティ タブ、詳細設定、所有者タブの順に移動します。私はドメインにはいません。

フォルダーには管理者のグループ所有権があることがわかります。
このアイテムとすべてのサブアイテムの所有権をユーザー管理者に変更します。確認したところ、すべてのサブアイテムの所有権は確かに管理者になりました。

しかし、その後、そのフォルダ内に新しい txt ファイルを作成しようとし、その所有権を確認すると、管理者になっています。新しい所有権は、親アイテムから所有権を継承するか、ログオンしたユーザー管理者から所有権を取得するものと予想しました。

管理者としてログオンしたときに作成する新しいファイルが、管理者ではなく管理者の所有者で作成されるようにするには、この問題を解決するにはどうすればよいでしょうか?

答え1

更新: この GP 設定は、Vista/Server 2008 以降では使用できなくなりました。 https://support.microsoft.com/ja-jp/kb/947721 より

Windows Server 2008 を実行しているコンピューターのセキュリティ ポリシー設定リストでグループ ポリシー設定が利用できない

症状

Windows Vista 以降を実行しているコンピューターで「システム オブジェクト: Administrators グループのメンバーによって作成されたオブジェクトの既定の所有者」グループ ポリシー設定にアクセスしようとすると、この設定はセキュリティ ポリシー設定リストで利用できません。セキュリティ グループ ポリシーに設定が存在する場合、Windows Vista 以降のドメイン メンバーによって無視されます。

原因

Windows Vista、Windows 7、Windows Server 2008、および Windows Server 2008 R2 では、この設定はサポートされなくなりました。有効にすると、ユーザー アカウント制御 (UAC) により、ローカルで作成されたすべてのオブジェクトの所有者としてユーザー アカウントが使用されるようになります。リモート アクセスの場合、ネットワーク セッションに制限トークンがないため、管理者グループが使用されます。

設定のサポートが削除されたため、システム セキュリティ ポリシーの「システム オブジェクト: Administrators グループのメンバーによって作成されたオブジェクトの既定の所有者」設定は、セキュリティ テンプレートのユーザー インターフェイスで使用できなくなりました。

グループ ポリシーで、「システム オブジェクト: Administrators グループのメンバーによって作成されたオブジェクトの既定の所有者」設定を確認してください。次の場所にあります。

  • コンピュータの構成
    • Windows の設定
      • セキュリティ設定
        • ローカルポリシー
          • セキュリティオプション

この設定を有効にすると、「管理者」グループのメンバーが作成したオブジェクトには所有者「管理者」が設定されます。

正直に言うと、Microsoft がこの動作をなぜ採用したのかはすぐにはわかりませんが、すべての「管理者」が所有権を取得することなく、オブジェクトの権限をリセットする共通の機能を実現するということだけは言えます。それが意図だったのだと思います。Microsoft のこの設定に関する明確な目的の声明へのリンクを持っている人がいたら、ぜひ知りたいです。

この設定のデフォルトはWindows XPとWindows Server 2003で異なることに気付きました(Microsoftの記事はこちらです)。http://support.microsoft.com/kb/318825) ですが、なぜ物事をある方法ではなく別の方法に設定したいのかという目的の表明がまだ見当たりません。

答え2

XP と Vista/7 のデフォルトの所有権設定の違いは、UAE (セキュリティ強化) の導入に関係しています。UAE では、管理者は事実上制限付きユーザー アカウントに降格されるため、管理者アカウントが所有していないファイルの OS 設定を変更する権限が制限されます。UAE が管理者権限を必要とする変更を検出すると、アカウントのセキュリティ トークンを管理者としてのアカウントの役割によって提供される高い権限にエスカレートするようにユーザーに求めます。UAE 要求を拒否することも、受け入れることもできます。残念ながら、UAE で実行している場合でも、降格された管理者アカウントは所有するファイルを変更することで OS 設定に影響を与える可能性があります。リソースの所有権は、他の権限設定では許可されない場合でも、このリソースへのフル アクセスを許可します。このセキュリティ ホールを回避するために、Vista/7 では、特定の管理者によって作成されたファイルは Administrators グループによって所有されるようになりました。したがって、個々の管理者は、まず Administrators グループに昇格しなければ、ファイルを変更できなくなりました。

Vista/7 の UAE より前では、「Drop My Rights」というプログラムを使用してこのスキームを効果的にシミュレートできました。これは MS のエンジニアによって開発され、MS によって無料で配布されました。ただし、プログラムをインストールする前に、レジストリ設定を変更して、デフォルトの管理者所有者を Administrators グループに設定する必要がありました。これにより、将来のプログラムのインストールでは、所有者として Administrators グループが設定され、また、subinacl.exe ユーティリティを使用して Windows および Program File ディレクトリ内のファイルのファイル所有権が変更され、既存のファイルの所有権が Administrators グループに変更されます。

セキュリティ上の脆弱性を導入したくない場合は、デフォルトの所有者設定を変更しないでください。

関連情報