Я вошел в систему как администратор и нажимаю правой кнопкой мыши на папку, затем иду в свойства, затем на вкладку безопасность, затем дополнительно, затем на вкладку владелец. Я не в домене.
Я вижу, что папка имеет групповое владение администраторов.
Я меняю это владение этим элементом и всеми подэлементами на пользователя администратора. Я проверил, и все подэлементы действительно теперь имеют владение администратора.
Но затем я пытаюсь создать новый txt-файл внутри этой папки, и когда я иду, чтобы посмотреть, кто владеет им, это администраторы. Я ожидал, что новый владелец унаследует владение от своего родительского элемента или заберет его у меня, вошедшего в систему пользователя-администратора.
Что можно сделать для решения этой проблемы, чтобы новые файлы, которые я создаю при входе в систему как администратор, создавались с владельцем «администратор», а не «администраторы»?
решение1
Обновление: эта настройка GP больше недоступна, начиная с Vista/Server 2008. https://support.microsoft.com/en-us/kb/947721
Параметр групповой политики недоступен в списке параметров политики безопасности на компьютере под управлением Windows Server 2008.
СИМПТОМЫПри попытке доступа к параметру групповой политики "Системные объекты: владелец по умолчанию для объектов, созданных членами группы "Администраторы"" на компьютере под управлением Windows Vista или более поздней версии этот параметр недоступен в списке параметров политики безопасности. Если параметр присутствует в вашей групповой политике безопасности, он будет проигнорирован членами домена Windows Vista и более поздних версий.
ПРИЧИНАWindows Vista, Windows 7, Windows Server 2008 и Windows Server 2008 R2 больше не поддерживают этот параметр. При включении контроль учетных записей пользователей (UAC) гарантирует, что учетная запись пользователя используется в качестве владельца для всех объектов, созданных локально. Для удаленного доступа будет использоваться группа администраторов, для сетевых сеансов нет ограниченного маркера.
Поскольку поддержка этого параметра была удалена, параметр политики безопасности системы «Системные объекты: Владелец по умолчанию для объектов, созданных членами группы «Администраторы»» больше недоступен в пользовательском интерфейсе шаблонов безопасности.
Посмотрите в групповой политике параметр «Системные объекты: Владелец по умолчанию для объектов, созданных членами группы «Администраторы». Он расположен в:
- Конфигурация компьютера
- Настройки Windows
- Настройки безопасности
- Местная политика
- Параметры безопасности
- Местная политика
- Настройки безопасности
- Настройки Windows
Если этот параметр включен, то для создаваемых членами группы «Администраторы» объектов будет указан владелец «Администраторы».
Честно говоря, я не совсем уверен в обосновании Microsoft такого поведения, за исключением того, что это позволит обеспечить общую возможность сбрасывать разрешения на объекты без принятия права собственности всеми «Администраторами». Я предполагаю, что это было намерением. Мне было бы интересно узнать, есть ли у кого-нибудь ссылка на явное заявление о цели этой настройки от Microsoft.
Я заметил, что значение этого параметра по умолчанию различается в Windows XP и Windows Server 2003 (вот статья Microsoft на эту тему)http://support.microsoft.com/kb/318825), но я все еще не вижу заявления о цели, почему вы хотите, чтобы все было установлено так, а не иначе.
решение2
Разница между настройками владения по умолчанию в XP и Vista/7 связана с введением UAE (улучшенная безопасность). В UAE администратор фактически понижается до ограниченной учетной записи пользователя, тем самым ограничивая возможность любой учетной записи администратора изменять настройки ОС для файлов, которым она не принадлежит. Когда UAE обнаруживает изменение, требующее административных привилегий, он предлагает пользователю повысить маркер безопасности учетной записи до повышенных привилегий, предлагаемых ролью учетной записи как администратора. Вы можете отклонить или принять запрос UAE. К сожалению, даже при работе с UAE пониженная учетная запись администратора все еще может влиять на настройки ОС, изменяя файлы, которыми она владеет. Владение ресурсом предоставляет полный доступ к этому ресурсу, даже если другие настройки разрешений этого не делают. Чтобы обойти эту уязвимость безопасности, файлы Vista/7, созданные любым конкретным администратором, теперь принадлежат группе администраторов. Поэтому отдельные администраторы больше не могут изменять какие-либо файлы, не будучи предварительно повышены до группы администраторов.
До UAE в Vista/7 вы могли эффективно имитировать эту схему, используя программу под названием «Drop My Rights». Она была разработана инженером MS и свободно распространялась MS. Однако перед установкой программы вам нужно было изменить параметры реестра, чтобы установить владельца-администратора по умолчанию на группу «Администраторы», чтобы будущие установки программы устанавливали группу «Администраторы» в качестве владельца, а также изменяли владельца файлов в каталогах Windows и Program File с помощью утилиты subinacl.exe, чтобы изменить владельца существующих файлов на группу «Администраторы».
Я бы не стал менять настройки владельца по умолчанию, если только вы не хотите создать уязвимость системы безопасности.