我以管理員身份登錄,右鍵單擊資料夾,然後轉到屬性,然後轉到安全性選項卡,然後轉到高級,然後轉到所有者選項卡。我不在網域上。
我看到該資料夾具有管理員群組所有權。
我將此項目和所有子項目的所有權更改為使用者管理員。我已經驗證,所有子項目現在確實擁有管理員的所有權。
但後來我嘗試在該資料夾中建立一個新的 txt 文件,當我查看其所有權時,發現它是管理員。我希望新的所有權從其父項繼承所有權,或從我登入的使用者管理員那裡取得所有權。
可以採取什麼措施來解決此問題,以便我在以管理員身份登入時建立的新檔案將以管理員的所有者而不是管理員身份建立它們?
答案1
更新:從 Vista/Server 2008 開始,此 GP 設定不再可用。 https://support.microsoft.com/en-us/kb/947721
群組原則設定在執行 Windows Server 2008 的電腦上的安全性原則設定清單中不可用
症狀當您嘗試在執行 Windows Vista 或更高版本的電腦上存取「系統物件:管理員群組成員建立的物件的預設擁有者」群組原則設定時,此設定在安全性原則設定清單中不可用。當安全性群組原則中存在該設定時,Windows Vista 和較新的網域成員將忽略它。
原因Windows Vista、Windows 7、Windows Server 2008 和 Windows Server 2008 R2 不再支援此設定。啟用後,使用者帳戶控制 (UAC) 將確保使用者帳戶用作本機建立的所有物件的擁有者。對於遠端訪問,將使用管理員群組,網路會話沒有限制令牌。
由於刪除了對該設定的支持,系統安全性原則「系統物件:管理員群組成員建立的物件的預設擁有者」設定在安全範本使用者介面中不再可用。
查看群組原則中的設定「系統物件:管理員群組成員建立的物件的預設擁有者」。它位於:
- 電腦設定
- Windows 設定
- 安全設定
- 當地政策
- 安全選項
- 當地政策
- 安全設定
- Windows 設定
啟用此設定後,「管理員」群組的成員將擁有其建立的對象,其擁有者為「管理員」。
老實說,我並不能立即確定微軟這種行為的理由,只是說它將允許一種通用的能力來重置物件的權限,而無需所有「管理員」取得所有權。我猜這就是意圖。我很想知道是否有人有 Microsoft 對此設定的明確目的聲明的連結。
我注意到此設定的預設值在 Windows XP 和 Windows Server 2003 之間有所不同(這裡有一篇來自 Microsoft 的文章)http://support.microsoft.com/kb/318825),但我仍然沒有看到為什麼你會希望事情以一種方式而不是另一種方式設定背後的目的聲明。
答案2
XP 和 Vista/7 預設所有權設定之間的差異與 UAE(更好的安全性)的引入有關。在 UAE 下,管理員實際上被降級為受限使用者帳戶,從而限制任何管理員帳戶更改不屬於其擁有的檔案的作業系統設定的能力。當 UAE 偵測到需要管理權限的變更時,它會提示使用者將帳戶的安全性權杖升級到帳戶管理員角色提供的更高權限。您可以拒絕或接受阿聯酋的請求。不幸的是,即使使用 UAE 運行,降級的管理帳戶仍然可以透過更改其擁有的檔案來影響作業系統設定。即使其他權限設定沒有授予資源所有權,也可以授予對此資源的完全存取權限。為了規避此安全漏洞,任何特定管理員建立的 Vista/7 檔案現在都歸管理員群組所有。因此,個人管理員在未先晉升為管理員群組的情況下無法再更改任何文件。
在 Vista/7 中的 UAE 之前,您可以透過使用名為「Drop My Rights」的程式來有效地模擬此方案。它由 MS 工程師開發並由 MS 免費分發。但是,在安裝程式之前,您需要更改註冊表設定以將預設的管理員所有者設定為管理員群組,因此將來的程式安裝會將管理員群組設定為所有者,並更改註冊表中文件的文件所有權。
我不會更改預設所有者設置,除非您希望引入安全漏洞。