本文由机器翻译。若要查看英语原文,请勾选“英语”复选框。 也可将鼠标指针移到文本上,在弹出窗口中显示英语原文。
翻译
英语

获得文件或其他对象的所有权

 

适用对象:Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

介绍本安全策略参考主题面向 IT 专业人员的最佳实践、 位置、 值、 策略管理和有关此策略设置的安全注意事项。

此策略设置确定哪些用户可以在计算机中,包括 Active Directory 对象、 NTFS 文件和文件夹、 打印机、 注册表项、 服务、 进程和线程执行任何安全对象的对象的所有权。

每个对象具有一个所有者,无论该对象驻留在 NTFS 卷或 Active Directory 数据库中。 所有者控制如何设置权限的对象上并向其授予权限。

默认情况下,所有者是用户创建对象的进程或用户。 即使在被拒绝访问对象的所有权限,所有者始终可以为对象,更改权限。

此策略设置中指定的 Windows 的版本上支持应用于本主题开头的列表。

常量:SeTakeOwnershipPrivilege

  • 用户定义的帐户的列表

  • 未定义

  1. 指派此用户权限可能会带来安全风险。 因为对象的所有者可以完全控制,仅此用户将权限分配给受信任的用户。

G p o\Computer Configuration\Windows 设置 \ 安全设置 \ 本地策略 \ 用户权限分配

默认情况下此设置是管理员在域控制器和独立服务器上。

下表列出最新的受支持版本的 Windows 的实际和有效的默认策略值。 默认值还会列出该策略的属性页上。

服务器类型或 GPO

默认值

默认域策略

未定义

默认域控制器策略

Administrators

独立服务器默认设置

Administrators

域控制器有效默认设置

Administrators

成员服务器有效默认设置

Administrators

客户端计算机有效默认设置

Administrators

在此策略设置中指定的 Windows 的受支持版本之间的工作的方式没有差别应用于本主题开头的列表。

本部分介绍的功能、 工具和指南来帮助你管理此策略。

重新启动计算机不需要为此策略设置才能生效。

该帐户的所有者在下次登录的时,帐户用户权限分配到的任何更改才会生效。

可以通过取得所有权:

  • 管理员。 默认情况下,管理员组被授权者提供取得文件或其他对象的所有权用户权限。

  • 任何人或者具有任何组取得所有权对象上的权限的用户。

  • 用户有还原文件和目录用户权限。

可以通过以下方式转移所有权:

  • 当前所有者可授予取得所有权从右到另一个用户如果该用户是当前所有者的访问令牌中定义的组成员的用户。 用户必须获得所有权来完成传输。

  • 管理员可以取得所有权。

  • 用户有还原文件和目录用户权利的用户可以双击其他用户和组和选择要向其分配所有权任何用户或组。

按以下顺序通过组策略对象 (GPO),这将覆盖在下一步的组策略更新本地计算机上的设置应用设置:

  1. 本地策略设置

  2. 网站策略设置

  3. 域策略设置

  4. OU 策略设置

当本地设置灰显时,它表示一个 GPO 当前控制该设置。

本部分将介绍攻击如何利用一项功能或其配置中,如何实现对策一样,以及可能的对策实现的负面后果。

与任何用户取得文件或其他对象的所有权的用户权限可以采取的任何对象,而不考虑对该对象的权限控制,然后进行他们想要对该对象执行的任何更改。 此类更改可能导致暴露数据、 损坏的数据或拒绝服务条件。

确保只为本地 Administrators 组具有取得文件或其他对象的所有权用户权限。

无。 限制取得文件或其他对象的所有权从右到本地 Administrators 组的用户是默认配置。

显示: