Inicié sesión como administrador y hago clic derecho en una carpeta y luego voy a propiedades, luego a la pestaña de seguridad, luego a avanzadas y luego a la pestaña de propietario. No estoy en un dominio.
Veo que la carpeta tiene un grupo de propiedad de administradores.
Cambio la propiedad de este elemento y de todos los subelementos al administrador de usuarios. Verifiqué y todos los subelementos ahora son propiedad del administrador.
Pero luego intento crear un nuevo archivo txt dentro de esa carpeta, y cuando voy a ver cuál es la propiedad, son administradores. Esperaba que la nueva propiedad heredara la propiedad de su elemento principal o me la quitara como usuario administrador que inició sesión.
¿Qué se puede hacer para resolver este problema para que los archivos nuevos que creo cuando inicio sesión con el administrador los creen con un propietario de administrador en lugar de administradores?
Respuesta1
Actualización: esta configuración de GP ya no está disponible a partir de Vista/Server 2008. https://support.microsoft.com/en-us/kb/947721
Una configuración de política de grupo no está disponible en la lista de configuración de políticas de seguridad en una computadora que ejecuta Windows Server 2008
SÍNTOMASCuando intenta acceder a la configuración de política de grupo "Objetos del sistema: propietario predeterminado de los objetos creados por miembros del grupo Administradores" en una computadora que ejecuta Windows Vista o posterior, esta configuración no está disponible en la lista de configuración de la política de seguridad. Cuando la configuración esté presente en la política de su grupo de seguridad, Windows Vista y los miembros del dominio más nuevos la ignorarán.
CAUSAWindows Vista, Windows 7, Windows Server 2008 y Windows Server 2008 R2 ya no admiten esta configuración. Cuando esté habilitado, el Control de cuentas de usuario (UAC) garantizará que la cuenta de usuario se utilice como propietaria de todos los objetos creados localmente. Para el acceso remoto se utilizará el grupo de administradores; no existe un token restringido para las sesiones de red.
Dado que se eliminó la compatibilidad con la configuración, la configuración de la política de seguridad del sistema "Objetos del sistema: propietario predeterminado para los objetos creados por miembros del grupo de administradores" ya no está disponible en la interfaz de usuario de las plantillas de seguridad.
Eche un vistazo a la Política de grupo para conocer la configuración "Objetos del sistema: propietario predeterminado de los objetos creados por miembros del grupo Administradores". Está ubicado debajo:
- Configuracion de Computadora
- Configuración de Windows
- Configuraciones de seguridad
- Políticas locales
- Opciones de seguridad
- Políticas locales
- Configuraciones de seguridad
- Configuración de Windows
Cuando esta configuración está habilitada, los miembros del grupo "Administradores" tendrán los objetos que creen configurados con el propietario "Administradores".
Para ser honesto, no estoy inmediatamente seguro de la justificación de Microsoft para este comportamiento, excepto para decir que permitiría una capacidad común para restablecer permisos en objetos sin que todos los "Administradores" tomen posesión de ellos. Supongo que esa era la intención. Me interesaría ver si alguien tiene un enlace a una declaración de propósito explícita sobre esta configuración de Microsoft.
Noté que la configuración predeterminada difiere entre Windows XP y Windows Server 2003 (aquí hay un artículo de Microsoft al respectohttp://support.microsoft.com/kb/318825), pero todavía no veo una declaración de propósito detrás de por qué querrías que las cosas se establezcan de una manera y no de otra.
Respuesta2
La diferencia entre la configuración de propiedad predeterminada de XP y Vista/7 se relaciona con la introducción de UAE (mejor seguridad). En los Emiratos Árabes Unidos, un administrador es efectivamente degradado a una cuenta de usuario limitada, lo que restringe la capacidad de cualquier cuenta de administrador para cambiar la configuración del sistema operativo para archivos que no son de su propiedad. Cuando UAE detecta un cambio que requiere privilegios administrativos, solicita al usuario que escale el token de seguridad de la cuenta a los privilegios aumentados que ofrece la función de administrador de la cuenta. Puede rechazar o aceptar la solicitud de los EAU. Desafortunadamente, incluso cuando se ejecuta con UAE, una cuenta administrativa degradada aún puede afectar la configuración del sistema operativo al cambiar los archivos de su propiedad. La propiedad de un recurso otorga acceso completo a este recurso incluso cuando otras configuraciones de permisos no lo hacen. Para evitar este agujero de seguridad, los archivos de Vista/7 creados por cualquier administrador específico ahora son propiedad del grupo Administradores. Por lo tanto, los administradores individuales ya no pueden cambiar ningún archivo sin ser promovidos primero al grupo de administradores.
Antes de UAE en Vista/7, se podía simular efectivamente este esquema usando un programa llamado "Drop My Rights". Fue desarrollado por un ingeniero de MS y distribuido gratuitamente por MS. Sin embargo, antes de instalar el programa, era necesario cambiar la configuración del registro para establecer que el propietario del administrador predeterminado fuera el grupo de administradores, de modo que las instalaciones futuras del programa establecerían el grupo de administradores como propietario, además de alterar la propiedad de los archivos en el archivo. Directorios de archivos de programa y de Windows que utilizan la utilidad subinacl.exe para cambiar la propiedad de los archivos existentes al grupo de administradores.
No cambiaría la configuración predeterminada del propietario a menos que desee introducir una vulnerabilidad de seguridad.