Ich bin als Administrator angemeldet und klicke mit der rechten Maustaste auf einen Ordner. Dann gehe ich zu Eigenschaften, dann zur Registerkarte „Sicherheit“, dann zu „Erweitert“ und dann zur Registerkarte „Besitzer“. Ich befinde mich nicht in einer Domäne.
Ich sehe, dass der Ordner den Gruppeneigentümer „Administratoren“ hat.
Ich ändere den Eigentümer dieses Elements und aller Unterelemente zum Benutzeradministrator. Ich habe das überprüft und alle Unterelemente haben jetzt tatsächlich den Eigentümer „Administrator“.
Aber dann versuche ich, in diesem Ordner eine neue txt-Datei zu erstellen, und wenn ich nachschaue, wer der Eigentümer ist, lautet er „Administratoren“. Ich habe erwartet, dass der neue Eigentümer den Eigentümer des übergeordneten Elements erbt oder ihn von mir, dem angemeldeten Benutzeradministrator, übernimmt.
Was kann getan werden, um dieses Problem zu lösen, sodass neue Dateien, die ich erstelle, wenn ich als Administrator angemeldet bin, als Eigentümer „Administrator“ und nicht „Administratoren“ erstellt werden?
Antwort1
Update: Diese GP-Einstellung ist ab Vista/Server 2008 nicht mehr verfügbar. https://support.microsoft.com/en-us/kb/947721
Eine Gruppenrichtlinieneinstellung ist in der Liste der Sicherheitsrichtlinieneinstellungen auf einem Computer mit Windows Server 2008 nicht verfügbar
SYMPTOMEWenn Sie versuchen, auf einem Computer mit Windows Vista oder neuer auf die Gruppenrichtlinieneinstellung „Systemobjekte: Standardbesitzer für Objekte, die von Mitgliedern der Gruppe „Administratoren“ erstellt wurden“ zuzugreifen, ist diese Einstellung in der Liste der Sicherheitsrichtlinieneinstellungen nicht verfügbar. Wenn die Einstellung in Ihrer Sicherheitsgruppenrichtlinie vorhanden ist, wird sie von Domänenmitgliedern mit Windows Vista und neuer ignoriert.
URSACHEWindows Vista, Windows 7, Windows Server 2008 und Windows Server 2008 R2 unterstützen diese Einstellung nicht mehr. Wenn diese Einstellung aktiviert ist, stellt die Benutzerkontensteuerung (UAC) sicher, dass das Benutzerkonto als Eigentümer für alle lokal erstellten Objekte verwendet wird. Für den Remotezugriff wird die Administratorgruppe verwendet, es gibt kein eingeschränktes Token für Netzwerksitzungen.
Da die Unterstützung für die Einstellung entfernt wurde, ist die Einstellung der Systemsicherheitsrichtlinie „Systemobjekte: Standardbesitzer für Objekte, die von Mitgliedern der Gruppe „Administratoren“ erstellt wurden“ in der Benutzeroberfläche der Sicherheitsvorlagen nicht mehr verfügbar.
Suchen Sie in den Gruppenrichtlinien nach der Einstellung „Systemobjekte: Standardbesitzer für Objekte, die von Mitgliedern der Gruppe „Administratoren“ erstellt wurden“. Sie finden sie unter:
- Computerkonfiguration
- Windows-Einstellungen
- Sicherheitseinstellungen
- Lokale Richtlinien
- Sicherheitsoptionen
- Lokale Richtlinien
- Sicherheitseinstellungen
- Windows-Einstellungen
Wenn diese Einstellung aktiviert ist, werden den Mitgliedern der Gruppe „Administratoren“ die von ihnen erstellten Objekte mit dem Eigentümer „Administratoren“ zugewiesen.
Ehrlich gesagt bin ich mir nicht ganz sicher, was Microsofts Begründung für dieses Verhalten ist, außer dass es eine allgemeine Möglichkeit zum Zurücksetzen von Berechtigungen für Objekte ohne Übernahme der Eigentümerschaft durch alle „Administratoren“ ermöglichen würde. Ich vermute, das war die Absicht. Es würde mich interessieren, ob jemand einen Link zu einer expliziten Zweckerklärung von Microsoft zu dieser Einstellung hat.
Mir ist aufgefallen, dass die Standardeinstellung dieser Einstellung zwischen Windows XP und Windows Server 2003 unterschiedlich ist (hier ist ein Artikel von Microsoft dazuhttp://support.microsoft.com/kb/318825), aber ich sehe noch immer keine Absichtserklärung, warum Sie die Dinge auf die eine oder andere Weise einstellen möchten.
Antwort2
Der Unterschied zwischen den standardmäßigen Eigentümereinstellungen von XP und Vista/7 hängt mit der Einführung von UAE (bessere Sicherheit) zusammen. Unter UAE wird ein Administrator effektiv zu einem eingeschränkten Benutzerkonto herabgestuft, wodurch die Möglichkeit eines Administratorkontos, Betriebssystemeinstellungen für Dateien zu ändern, die ihm nicht gehören, eingeschränkt wird. Wenn UAE eine Änderung erkennt, die Administratorrechte erfordert, fordert es den Benutzer auf, das Sicherheitstoken des Kontos auf die erweiterten Rechte hochzustufen, die die Rolle des Kontos als Administrator bietet. Sie können die UAE-Anforderung entweder ablehnen oder akzeptieren. Leider kann ein herabgestuftes Administratorkonto auch bei Verwendung von UAE weiterhin Betriebssystemeinstellungen beeinflussen, indem es Dateien ändert, die ihm gehören. Der Besitz einer Ressource gewährt vollen Zugriff auf diese Ressource, auch wenn dies bei anderen Berechtigungseinstellungen nicht der Fall ist. Um diese Sicherheitslücke zu umgehen, gehören Vista/7-Dateien, die von einem bestimmten Administrator erstellt werden, jetzt der Gruppe der Administratoren. Daher können einzelne Administratoren keine Dateien mehr ändern, ohne zuerst in die Gruppe der Administratoren hochgestuft zu werden.
Vor UAE in Vista/7 konnten Sie dieses Schema effektiv simulieren, indem Sie ein Programm namens „Drop My Rights“ verwendeten. Es wurde von einem MS-Ingenieur entwickelt und von MS kostenlos verteilt. Vor der Installation des Programms mussten Sie jedoch die Registrierungseinstellungen ändern, um den standardmäßigen Administratorbesitzer auf die Gruppe der Administratoren festzulegen, damit bei zukünftigen Programminstallationen die Gruppe der Administratoren als Besitzer festgelegt wird. Außerdem wurde der Dateibesitz von Dateien in den Windows- und Programmdateiverzeichnissen mithilfe des Dienstprogramms subinacl.exe geändert, um den Besitz vorhandener Dateien auf die Gruppe der Administratoren zu übertragen.
Ich würde die Standardbesitzereinstellung nicht ändern, es sei denn, Sie möchten eine Sicherheitslücke einführen.