ファイルとその他のオブジェクトの所有権の取得

  • [アーティクル]

[ファイルとその他のオブジェクトの所有権の取得] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。

リファレンス

このポリシー設定は、Active Directory オブジェクト、NTFS ファイルとフォルダー、プリンター、レジストリ キー、サービス、プロセス、スレッドなど、デバイス上のセキュリティ設定が可能なオブジェクトの所有権を取得できるユーザーを決定します。

オブジェクトが NTFS ボリュームと Active Directory データベースのどちらに存在する場合でも、すべてのオブジェクトには所有者が設定されます。所有者は、オブジェクトにどのようにアクセス許可を設定し、だれにアクセス許可を与えるかを制御します。

既定では、オブジェクトを作成したユーザーまたはプロセスがその所有者になります。所有者は、オブジェクトへのすべてのアクセスが拒否されている場合でも、オブジェクトのアクセス許可をいつでも変更できます。

定数: SeTakeOwnershipPrivilege

設定可能な値

  • アカウントのユーザー定義一覧

  • 未定義

ベスト プラクティス

  • このユーザー権利を割り当てることは、セキュリティ上のリスクにつながる可能性があります。オブジェクトの所有者にはフル コントロールが与えられるため、このユーザー権利は信頼できるユーザーにのみ割り当てるようにしてください。

場所

コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て

既定値

既定では、この設定は、ドメイン コントローラー上およびスタンドアロン サーバー上では Administrators です。

次の表に、実際のポリシー値と有効な既定のポリシー値を示します。既定値はポリシーのプロパティ ページにも表示されます。

サーバーの種類または GPO 既定値

既定のドメイン ポリシー

未定義

既定のドメイン コントローラー ポリシー

Administrators

スタンドアロン サーバーの既定の設定

Administrators

ドメイン コントローラーの有効な既定の設定

Administrators

メンバー サーバーの有効な既定の設定

Administrators

クライアント コンピューターの有効な既定の設定

Administrators

 

ポリシー管理

このセクションでは、このポリシーの管理に役立つ機能、ツール、ガイダンスについて説明します。

このポリシー設定を有効にするために、デバイスを再起動する必要はありません。

アカウントのユーザー権利の割り当てに対する変更はすべて、アカウントの所有者が次にログオンしたときに有効になります。

所有権は次のユーザーが取得できます。

  • 管理者。既定では、Administrators グループには [ファイルとその他のオブジェクトの所有権の取得] ユーザー権利が与えられます。

  • オブジェクトに対して [所有権の取得] ユーザー権利を持つ任意のユーザーまたはグループ。

  • [ファイルとディレクトリの復元] ユーザー権利を持つユーザー。

所有権は次の方法で転送できます。

  • 現在の所有者は、現在の所有者のアクセス トークンに定義されているグループのメンバーに [所有権の取得] ユーザー権利を付与できます。転送を完了するには、転送先のユーザーが所有権を取得する必要があります。

  • 管理者は所有権を取得できます。

  • [ファイルとディレクトリの復元] ユーザー権利を持つユーザーは、[他のユーザーまたはグループ] をダブルクリックして、所有権を割り当てるユーザーまたはグループを選択できます。

グループ ポリシー

設定は、グループ ポリシー オブジェクト (GPO) を通じて次の順番で適用されます。これにより、次回のグループ ポリシーの更新時にローカル コンピューターの設定が上書きされます。

  1. ローカル ポリシー設定

  2. サイト ポリシー設定

  3. ドメイン ポリシー設定

  4. OU ポリシー設定

ローカル設定が灰色表示されている場合は、GPO が現在その設定を制御していることを示します。

セキュリティに関する考慮事項

このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。

脆弱性

[ファイルとその他のオブジェクトの所有権の取得] ユーザー権利を持つユーザーは、オブジェクトに設定されているアクセス許可にかかわらず、任意のオブジェクトの制御を取得して、そのオブジェクトに自由に変更を加えることができます。このような変更の結果、データが漏えいまたは破損したり、サービス拒否状態が発生したりすることがあります。

対策

[ファイルとその他のオブジェクトの所有権の取得] ユーザー権利は、ローカルの Administrators グループ以外には付与しないようにします。

潜在的な影響

なし。既定の構成では、[ファイルとその他のオブジェクトの所有権の取得] ユーザー権利はローカルの Administrators グループに限定されています。

関連トピック

ユーザー権利の割り当て