Смена владельцев файлов и других объектов

Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Смена владельцев файлов и других объектов.

Справочные материалы

Этот параметр политики определяет, какие пользователи могут становиться владельцами любого защищаемого объекта на устройстве, включая объекты Active Directory, файлы и папки NTFS, принтеры, разделы реестра, службы, процессы и потоки.

Каждый объект имеет владельца независимо от того, где он находится — на томе NTFS или в базе данных Active Directory. Владелец управляет разрешениями для этого объекта и тем, кому предоставляются эти разрешения.

По умолчанию владелец — это пользователь или процесс, который создает объект. Владельцы всегда могут менять разрешения на объекты, даже если им отказано в любом доступе к этому объекту.

Константа: SeTakeOwnershipPrivilege

Возможные значения

  • Пользовательский список учетных записей

  • Не определено

Рекомендации

  • Назначение этого права пользователя может представлять риск для безопасности. Так как владельцы объектов полностью управляют ими, назначайте это право пользователя только доверенным пользователям.

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя

Значения по умолчанию

Значение по умолчанию для этого параметра на контроллерах домена и автономных серверах — «Администраторы».

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.

Тип сервера или объект групповой политикиЗначение по умолчанию

Политика домена по умолчанию

Не определено

Политика контроллера домена по умолчанию

Администраторы

Параметры автономного сервера по умолчанию

Администраторы

Действующие параметры контроллера домена по умолчанию

Администраторы

Действующие параметры рядового сервера по умолчанию

Администраторы

Действующие параметры клиентского компьютера по умолчанию

Администраторы

 

Управление политикой

В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой.

Чтобы этот параметр политики вступил в силу, перезагружать устройство не требуется.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.

Право стать владельцем имеют следующие пользователи:

  • Администратор. По умолчанию группа «Администраторы» обладает правом пользователя Смена владельцев файлов и других объектов.

  • Любой пользователь или любая группа, обладающие правом Смена владельца для соответствующего объекта.

  • Пользователь, обладающий правом Восстановление файлов и каталогов.

Право на владение объекта может быть передано следующими способами.

  • Текущий владелец может предоставить право пользователя Смена владельца другому пользователю, если последний является членом группы, указанной в маркере доступа текущего владельца. Для завершения передачи права пользователь должен принять свой статус владельца.

  • Администратор может стать владельцем.

  • Пользователь, обладающий правом Восстановление файлов и каталогов, может дважды щелкнуть пункт Прочие пользователи и группы и выбрать любого пользователя или группу, которым следует передать право владельца.

Групповая политика

Параметры применяются к объекту групповой политики (GPO) в следующем порядке, что переопределяет параметры на локальном компьютере при следующем обновлении групповой политики.

  1. Параметры локальной политики

  2. Параметры политики сайта

  3. Параметры политики домена

  4. Параметры политики подразделений

Если локальный параметр неактивен (выделен серым цветом), это значит, что в настоящий момент его контролирует объект групповой политики.

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.

Уязвимость

Любые пользователи, обладающие правом Смена владельцев файлов и других объектов, могут получить контроль над любым объектом независимо от разрешений на этот объект и внести в этот объект какие угодно изменения. Такие изменения могут привести к раскрытию данных, повреждению данных или отказу в обслуживании.

Меры противодействия

Убедитесь, что только локальная группа «Администраторы» обладает правом пользователя Смена владельцев файлов и других объектов.

Возможные последствия

Нет. Ограничение права пользователя Смена владельцев файлов и других объектов только локальной группой «Администраторы» является конфигурацией по умолчанию.

Связанные разделы

Назначение прав пользователя

 

 

Показ: