Übernehmen des Besitzes bei Dateien und Objekten
Betrifft:
- Windows 11
- Windows 10
Beschreibt bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsüberlegungen für die Sicherheitsrichtlinieneinstellung Besitz von Dateien oder anderen Objekten übernehmen .
Verweis
Diese Richtlinieneinstellung bestimmt, welche Benutzer den Besitz von sicherungsfähigen Objekten auf dem Gerät übernehmen können, einschließlich Active Directory-Objekten, NTFS-Dateien und -Ordnern, Druckern, Registrierungsschlüsseln, Diensten, Prozessen und Threads.
Jedes Objekt verfügt über einen Besitzer, unabhängig davon, ob sich das Objekt in einem NTFS-Volume oder in einer Active Directory-Datenbank befindet. Der Besitzer steuert, wie Berechtigungen für das Objekt festgelegt werden und wem Berechtigungen erteilt werden.
Standardmäßig ist der Besitzer die Person, die das Objekt erstellt hat, oder der Prozess, der das Objekt erstellt hat. Besitzer können die Berechtigungen für Objekte jederzeit ändern, auch wenn ihnen jeglicher Zugriff auf das Objekt verweigert wird.
Konstante: SeTakeOwnershipPrivilege
Mögliche Werte
- Benutzerdefinierte Liste von Konten
- Nicht definiert
Bewährte Methoden
- Das Zuweisen dieses Benutzerrechts kann ein Sicherheitsrisiko darstellen. Da Besitzer von Objekten die vollständige Kontrolle über sie haben, weisen Sie dieses Benutzerrecht nur vertrauenswürdigen Benutzern zu.
Position
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisung von Benutzerrechten
Standardwerte
Standardmäßig ist diese Einstellung Administratoren auf Domänencontrollern und auf eigenständigen Servern.
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardrichtlinienwerte aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgeführt.
| Servertyp oder GPO | Standardwert |
|---|---|
| Standarddomänenrichtlinie | Nicht definiert |
| Standarddomänencontroller-Richtlinie | Administratoren |
| Standardeinstellungen für eigenständige Server | Administratoren |
| Effektive Standardeinstellungen für Domänencontroller | Administratoren |
| Effektive Standardeinstellungen für Mitgliedsserver | Administratoren |
| Effektive Standardeinstellungen für Clientcomputer | Administratoren |
Richtlinienverwaltung
In diesem Abschnitt werden die Features, Tools und Verfahren beschrieben, die Sie bei der Verwaltung dieser Richtlinie unterstützen.
Ein Neustart des Geräts ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.
Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.
Der Besitz kann wie folgt übernommen werden:
- Ein Administrator. Standardmäßig erhält die Gruppe Administratoren das Benutzerrecht Besitz von Dateien oder anderen Objekten übernehmen.
- Jeder oder jede Gruppe, die über das Benutzerrecht Besitz übernehmen für das Objekt verfügt.
- Ein Benutzer, der über das Benutzerrecht Dateien und Verzeichnisse wiederherstellen verfügt.
Der Besitz kann auf folgende Weise übertragen werden:
- Der aktuelle Besitzer kann einem anderen Benutzer das Benutzerrecht übernehmen gewähren, wenn dieser Benutzer Mitglied einer Gruppe ist, die im Zugriffstoken des aktuellen Besitzers definiert ist. Der Benutzer muss den Besitz übernehmen, um die Übertragung abzuschließen.
- Ein Administrator kann den Besitz übernehmen.
- Ein Benutzer, der über das Benutzerrecht Dateien und Verzeichnisse wiederherstellen verfügt, kann auf Andere Benutzer und Gruppen doppelklicken und einen beliebigen Benutzer oder eine Gruppe auswählen, denen der Besitz zugewiesen werden soll.
Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:
- Lokale Richtlinieneinstellungen
- Websiterichtlinieneinstellungen
- Domänenrichtlinieneinstellungen
- OE-Richtlinieneinstellungen
Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.
Sicherheitsüberlegungen
In diesem Abschnitt wird beschrieben, wie ein Angreifer eine Funktion oder deren Konfiguration ausnutzen könnte, wie die geeigneten Schutzmaßnahmen implementiert werden und welche negativen Auswirkungen die Implementierung geeigneter Schutzmaßnahmen haben kann.
Sicherheitsrisiko
Alle Benutzer mit dem Benutzerrecht Besitz an Dateien oder anderen Objekten übernehmen können unabhängig von den Berechtigungen für dieses Objekt die Kontrolle über jedes Objekt übernehmen und dann alle Änderungen vornehmen, die sie an diesem Objekt vornehmen möchten. Solche Änderungen können zur Offenlegung von Daten, zur Beschädigung von Daten oder zu einer Denial-of-Service-Bedingung führen.
Gegenmaßnahme
Stellen Sie sicher, dass nur die lokale Administratorgruppe das Benutzerrecht Besitz von Dateien oder anderen Objekten übernehmen hat.
Mögliche Auswirkung
Keine Die Standardkonfiguration ist das Einschränken des Benutzerrechtes Übernehmen des Besitzes von Dateien oder anderen Objekten auf die lokale Administratorgruppe.