Tengo una aplicación que necesita poder cambiar el propietario de ciertos archivos. La aplicación se ejecuta bajo una cuenta de servicio de dominio (con derechos de administrador local para el servidor de aplicaciones, pero no para el resto del dominio). Tengo la capacidad de llamar a vbs y java script desde la aplicación (y, por lo tanto, puedo usar shell para uso de ICACLS), pero parece que la cuenta de servicio debe ser 1) un administrador o 2) un operador de respaldo en el servidor de archivos compartidos. El cliente no aceptará eso. ¿Existe alguna otra forma de otorgar permisos a esta cuenta de servicio para poder cambiar el propietario del archivo solo en carpetas específicas?
Para aclarar: una aplicación de escaneo se ejecuta bajo una cuenta de servicio de dominio en un servidor de aplicaciones. Esta aplicación de escaneo acepta archivos de usuarios en escáneres, fotocopiadoras, portales web, etc. y entrega esos archivos a ubicaciones de red específicas. La aplicación de escaneo identifica al usuario en el momento del escaneo y debe poder cambiar la propiedad de los archivos escaneados de la cuenta de servicio al usuario identificado. La aplicación no captura la contraseña del usuario en el momento del escaneo, por lo que la suplantación no es una opción al entregar el archivo a la ubicación de la red.
Respuesta1
Cuando un usuario crea un archivo o carpeta, Windows normalmente asigna permisos de "Control total" al creador/propietario. Control total permite al usuario asignar permisos a otros usuarios para los archivos que crea.
Si es necesario cambiar la propiedad de un archivo o carpeta, puede reemplazar el propietario existente con su propia cuenta o con uno de los grupos de los que es miembro.
Debes tenerControl totalo el permiso (NTFS ACL)Tomar posesiónpara poder cambiar la propiedad de un archivo o carpeta.
Los usuarios que tienen el privilegio "Restaurar archivos y directorios" (como los operadores de respaldo) pueden asignar propiedad a cualquier usuario o grupo en cualquier momento.