관리자에게 새 파일에 대한 파일 소유권을 부여하는 이유는 무엇입니까? 그룹 관리자에게 소유권을 부여하는 이유는 무엇입니까?

tag-icon tag-icon permissions filesystems ntfs access-control-list
관리자에게 새 파일에 대한 파일 소유권을 부여하는 이유는 무엇입니까? 그룹 관리자에게 소유권을 부여하는 이유는 무엇입니까?

관리자로 로그인하고 폴더를 마우스 오른쪽 버튼으로 클릭한 다음 속성, 보안 탭, 고급, 소유자 탭으로 이동합니다. 나는 도메인을 사용하고 있지 않습니다.

폴더에 관리자 그룹 소유권이 있는 것을 확인했습니다.
이 항목과 모든 하위 항목의 소유권을 사용자 관리자로 변경합니다. 확인했는데 이제 모든 하위 항목에 관리자 소유권이 있습니다.

그런데 그 폴더 안에 새 txt 파일을 만들려고 하는데, 그 파일의 소유권이 무엇인지 확인해보니 관리자입니다. 나는 새 소유권이 상위 항목의 소유권을 상속받거나 로그온한 사용자 관리자로부터 소유권을 가져갈 것으로 예상했습니다.

관리자로 로그온할 때 생성한 새 파일이 관리자 대신 관리자 소유자로 생성되도록 이 문제를 해결하려면 어떻게 해야 합니까?

답변1

업데이트: 이 GP 설정은 Vista/Server 2008부터 더 이상 사용할 수 없습니다. https://support.microsoft.com/en-us/kb/947721

Windows Server 2008을 실행하는 컴퓨터의 보안 정책 설정 목록에서 그룹 정책 설정을 사용할 수 없습니다.

증상

Windows Vista 이상을 실행하는 컴퓨터에서 "시스템 개체: 관리자 그룹 구성원이 만든 개체의 기본 소유자" 그룹 정책 설정에 액세스하려고 하면 보안 정책 설정 목록에서 이 설정을 사용할 수 없습니다. 보안 그룹 정책에 해당 설정이 있으면 Windows Vista 및 최신 도메인 구성원은 해당 설정을 무시합니다.

원인

Windows Vista, Windows 7, Windows Server 2008 및 Windows Server 2008 R2는 더 이상 이 설정을 지원하지 않습니다. 활성화되면 UAC(사용자 계정 컨트롤)는 사용자 계정이 로컬에서 생성된 모든 개체의 소유자로 사용되도록 합니다. 원격 액세스의 경우 관리자 그룹이 사용되며 네트워크 세션에 대한 제한된 토큰이 없습니다.

설정에 대한 지원이 제거되었으므로 시스템 보안 정책 "시스템 개체: 관리자 그룹 구성원이 만든 개체의 기본 소유자" 설정을 더 이상 보안 템플릿 사용자 인터페이스에서 사용할 수 없습니다.

그룹 정책에서 "시스템 개체: 관리자 그룹 구성원이 만든 개체의 기본 소유자" 설정을 살펴보세요. 다음 위치에 있습니다:

  • 컴퓨터 구성
    • 윈도우 설정
      • 보안 설정
        • 지역 정책
          • 보안 옵션

이 설정이 활성화되면 "관리자" 그룹의 구성원은 자신이 만든 개체를 "관리자" 소유자로 설정하게 됩니다.

솔직히 말해서 모든 "관리자"가 소유권을 갖지 않고 개체에 대한 권한을 재설정하는 공통 기능을 허용한다는 점을 제외하고는 이 동작에 대한 Microsoft의 이론적 근거를 즉시 확신할 수 없습니다. 그런 의도였을 것 같아요. Microsoft에서 이 설정에 대한 명시적인 목적 설명에 대한 링크를 갖고 있는 사람이 있는지 알고 싶습니다.

이 설정의 기본값은 Windows XP와 Windows Server 2003 간에 다릅니다(여기에 Microsoft의 기사가 있습니다).http://support.microsoft.com/kb/318825), 그러나 왜 당신이 일을 다른 방식으로 설정하기를 원하는지에 대한 목적 설명을 볼 수 없습니다.

답변2

XP와 Vista/7 기본 소유권 설정의 차이점은 UAE(더 나은 보안) 도입과 관련이 있습니다. UAE에서는 관리자가 제한된 사용자 계정으로 효과적으로 강등되므로 관리자 계정이 소유하지 않은 파일에 대한 OS 설정을 변경하는 기능이 제한됩니다. UAE는 관리 권한이 필요한 변경 사항을 감지하면 사용자에게 계정의 보안 토큰을 관리자로서의 계정 역할에서 제공하는 증가된 권한으로 에스컬레이션하라는 메시지를 표시합니다. UAE 요청을 거부하거나 수락할 수 있습니다. 불행하게도 UAE를 사용하는 경우에도 강등된 관리 계정은 소유한 파일을 변경하여 OS 설정에 영향을 미칠 수 있습니다. 리소스의 소유권은 다른 권한 설정이 부여되지 않은 경우에도 이 리소스에 대한 전체 액세스 권한을 부여합니다. 이 보안 허점을 우회하기 위해 특정 관리자가 만든 Vista/7 파일은 이제 관리자 그룹이 소유합니다. 따라서 개별 관리자는 먼저 관리자 그룹으로 승격되지 않으면 더 이상 파일을 변경할 수 없습니다.

Vista/7의 UAE 이전에는 "Drop My Rights"라는 프로그램을 사용하여 이 체계를 효과적으로 시뮬레이션할 수 있었습니다. MS 엔지니어가 개발했으며 MS에서 무료로 배포했습니다. 그러나 프로그램을 설치하기 전에 기본 관리자 소유자를 관리자 그룹으로 설정하기 위해 레지스트리 설정을 변경해야 하므로 향후 프로그램 설치 시 관리자 그룹을 소유자로 설정하고 파일의 파일 소유권을 변경해야 합니다. subinacl.exe 유틸리티를 사용하여 Windows 및 프로그램 파일 디렉터리를 사용하여 기존 파일의 소유권을 관리자 그룹으로 변경합니다.

보안 취약점을 도입하려는 경우가 아니면 기본 소유자 설정을 변경하지 않겠습니다.

관련 정보