特定のファイルの所有者を変更できる必要があるアプリケーションがあります。アプリケーションはドメイン サービス アカウントで実行されます (アプリケーション サーバーに対するローカル管理者権限を持ちますが、ドメインの残りの部分に対する権限はありません)。アプリケーションから VBS および Java スクリプトを呼び出すことができます (したがって、ICACLS の使用のためにシェルを使用できます) が、サービス アカウントは 1) 管理者または 2) ファイル共有サーバーのバックアップ オペレーターである必要があるようです。お客様はそれを受け入れるつもりはありません。このサービス アカウントにアクセス許可を付与して、特定のフォルダーのみでファイル所有者を変更できるようにする他の方法はありますか?
明確に言うと、スキャン アプリケーションは、アプリケーション サーバー上のドメイン サービス アカウントで実行されています。このスキャン アプリケーションは、スキャナー、コピー機、Web ポータルなどのユーザーからファイルを受け取り、それらのファイルを指定されたネットワークの場所に配信します。スキャン アプリケーションはスキャン時にユーザーを識別し、スキャンされたファイルの所有権をサービス アカウントから識別されたユーザーに変更できる必要があります。アプリケーションはスキャン時にユーザーのパスワードを取得しないため、ファイルをネットワークの場所に配信するときに偽装することはできません。
答え1
ユーザーがファイルまたはフォルダを作成すると、Windows は通常、作成者/所有者に「フル コントロール」権限を割り当てます。フル コントロールにより、ユーザーは自分が作成したファイルに対する権限を他のユーザーに割り当てることができます。
ファイルまたはフォルダーの所有権を変更する必要がある場合は、既存の所有者を自分のアカウントまたは自分がメンバーになっているグループのいずれかに置き換えることができます。
絶対必要ですフルコントロールまたは権限(NTFS ACL)所有権を得るファイルまたはフォルダの所有権を変更できるようになります。
「ファイルとディレクトリの復元」権限を持つユーザー (バックアップ オペレーターなど) は、いつでも任意のユーザーまたはグループに所有権を割り当てることができます。