Estou logado como administrador e clico com o botão direito em uma pasta e vou para propriedades, depois para a guia segurança, depois para avançado e depois para a guia proprietário. Não estou em um domínio.
Vejo que a pasta tem propriedade de grupo de administradores.
Eu mudo a propriedade deste item e de todos os subitens para o administrador do usuário. Eu verifiquei e todos os subitens agora têm propriedade de administrador.
Mas então tento criar um novo arquivo txt dentro dessa pasta, e quando vou ver qual é a propriedade dele, são os administradores. Eu esperava que a nova propriedade herdasse a propriedade de seu item pai ou a tirasse de mim, o administrador do usuário conectado.
O que pode ser feito para resolver esse problema para que os novos arquivos criados quando conectado com o administrador os criem com um proprietário de administrador em vez de administradores?
Responder1
Atualização: esta configuração GP não está mais disponível a partir do Vista/Server 2008. https://support.microsoft.com/en-us/kb/947721
Uma configuração de Política de Grupo não está disponível na lista de configurações de política de segurança em um computador que executa o Windows Server 2008
SINTOMASQuando você tenta acessar a configuração de Política de Grupo "Objetos do sistema: Proprietário padrão para objetos criados por membros do grupo Administradores" em um computador que esteja executando o Windows Vista ou mais recente, essa configuração não estará disponível na lista de configurações de política de segurança. Quando a configuração estiver presente na sua política de grupo de segurança, ela será ignorada pelo Windows Vista e pelos membros mais recentes do domínio.
CAUSAWindows Vista, Windows 7, Windows Server 2008 e Windows Server 2008 R2 não oferecem mais suporte a essa configuração. Quando ativado, o Controle de Conta de Usuário (UAC) garantirá que a conta do usuário seja usada como proprietária de todos os objetos criados localmente. Para acesso remoto, será utilizado o grupo de administradores, não há token restrito para sessões de rede.
Como o suporte para a configuração foi removido, a configuração da política de segurança do sistema "Objetos do sistema: Proprietário padrão para objetos criados por membros do grupo Administradores" não está mais disponível na interface do usuário dos Modelos de Segurança.
Dê uma olhada na Política de Grupo para a configuração "Objetos do sistema: Proprietário padrão para objetos criados por membros do grupo Administradores". Está localizado em:
- Configuração do computador
- Configurações do Windows
- Configurações de segurança
- Políticas Locais
- Opções de segurança
- Políticas Locais
- Configurações de segurança
- Configurações do Windows
Quando esta configuração estiver habilitada, os membros do grupo "Administradores" terão os objetos criados por eles definidos com o proprietário "Administradores".
Para ser honesto, não tenho certeza imediata da justificativa da Microsoft para esse comportamento, exceto para dizer que isso permitiria uma capacidade comum de redefinir permissões em objetos sem assumir a propriedade de todos os "Administradores". Eu acho que essa era a intenção. Eu estaria interessado em ver se alguém tem um link para uma declaração explícita de propósito dessa configuração da Microsoft.
Percebi que o padrão desta configuração difere entre o Windows XP e o Windows Server 2003 (aqui está um artigo da Microsoft sobre issohttp://support.microsoft.com/kb/318825), mas ainda não vejo uma declaração de propósito por trás do motivo pelo qual você desejaria que as coisas fossem definidas de uma maneira e não de outra.
Responder2
A diferença entre as configurações de propriedade padrão do XP e do Vista/7 está relacionada à introdução dos Emirados Árabes Unidos (melhor segurança). Nos Emirados Árabes Unidos, um administrador é efetivamente rebaixado para uma conta de usuário limitada, restringindo assim a capacidade de qualquer conta de administrador de alterar as configurações do sistema operacional para arquivos que não são de sua propriedade. Quando os Emirados Árabes Unidos detectam uma alteração que exige privilégios administrativos, eles solicitam que o usuário aumente o token de segurança da conta para os privilégios aumentados oferecidos pela função de administrador da conta. Você pode recusar ou aceitar a solicitação dos Emirados Árabes Unidos. Infelizmente, mesmo quando executada nos Emirados Árabes Unidos, uma conta administrativa rebaixada ainda pode afetar as configurações do sistema operacional, alterando os arquivos de sua propriedade. A propriedade de um recurso concede acesso total a esse recurso, mesmo quando outras configurações de permissão não o fazem. Para contornar essa falha de segurança, os arquivos do Vista/7 criados por qualquer administrador específico agora pertencem ao grupo Administradores. Portanto, os administradores individuais não podem mais alterar nenhum arquivo sem primeiro serem promovidos ao grupo de administradores.
Antes dos Emirados Árabes Unidos no Vista/7 você poderia efetivamente simular esse esquema usando um programa chamado "Drop My Rights". Foi desenvolvido por um engenheiro da MS e distribuído gratuitamente pela MS. No entanto, antes de instalar o programa, você precisava alterar as configurações do registro para estabelecer o proprietário Administrador padrão como o grupo Administradores, de modo que futuras instalações do programa definiriam o grupo Administradores como o proprietário, bem como alterariam a propriedade dos arquivos no Diretórios do Windows e de arquivos de programas usando o utilitário subinacl.exe para alterar a propriedade dos arquivos existentes para o grupo Administradores.
Eu não alteraria a configuração padrão do proprietário, a menos que você deseje introduzir uma vulnerabilidade de segurança.