ファイルとその他のオブジェクトの所有権の取得

適用対象

  • Windows 11
  • Windows 10

[ファイルまたはその他のオブジェクトの所有権を取得する] セキュリティ ポリシー設定に関するベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。

リファレンス

このポリシー設定は、Active Directory オブジェクト、NTFS ファイルとフォルダー、プリンター、レジストリ キー、サービス、プロセス、スレッドなど、デバイス内のセキュリティ保護可能なオブジェクトの所有権を取得できるユーザーを決定します。

オブジェクトが NTFS ボリュームまたは Active Directory データベースに存在するかどうかに関係なく、すべてのオブジェクトに所有者があります。 所有者は、オブジェクトに対するアクセス許可の設定方法と、アクセス許可を付与するユーザーを制御します。

既定では、所有者はオブジェクトを作成したユーザーまたはプロセスです。 所有者は、オブジェクトへのすべてのアクセスが拒否された場合でも、常にオブジェクトへのアクセス許可を変更できます。

定数: SeTakeOwnershipPrivilege

  • アカウントのユーザー定義リスト
  • 未定義

ベスト プラクティス

  • このユーザー権限を割り当てることは、セキュリティ 上のリスクになる可能性があります。 オブジェクトの所有者はそれらを完全に制御できるため、このユーザー権限を信頼されたユーザーにのみ割り当てます。

場所

[コンピューターの構成] > [Windows の設定] > [セキュリティの設定] > [ローカル ポリシー] > [ユーザー権利の割り当て]

既定値

既定では、この設定はドメイン コントローラーとスタンドアロン サーバーの管理者です。

次の表に、実際のポリシー値と有効な既定のポリシー値を示します。 既定値は、このポリシーのプロパティ ページにも表示されます。

サーバーの種類または GPO 既定値
既定のドメイン ポリシー 未定義
既定のドメイン コントローラー ポリシー 管理者
スタンドアロン サーバーの既定の設定 管理者
ドメイン コントローラーの有効な既定の設定 管理者
メンバー サーバーの有効な既定の設定 管理者
クライアント コンピューターの有効な既定の設定 管理者

ポリシー管理

このセクションでは、このポリシーの管理に役立つ機能、ツール、ガイダンスについて説明します。

このポリシー設定を有効にするには、デバイスの再起動は必要ありません。

アカウントのユーザー権利の割り当てに行った変更は、そのアカウントの所有者が次回ログオンすると有効になります。

所有権は次の方法で取得できます。

  • 管理者。 既定では、Administrators グループには、 ファイルまたはその他のオブジェクトの所有権を取得 する権限が与えられます。
  • オブジェクトの 所有権 取得ユーザー権限を持つすべてのユーザーまたは任意のグループ。
  • [ ファイルとディレクトリの復元 ] ユーザー権限を持つユーザー。

所有権は、次の方法で転送できます。

  • 現在の所有者は、そのユーザーが現在の所有者のアクセス トークンで定義されているグループのメンバーである場合、別のユーザーに 所有権 の取得ユーザー権限を付与できます。 転送を完了するには、ユーザーが所有権を取得する必要があります。
  • 管理者は所有権を取得できます。
  • [ ファイルとディレクトリの復元 ] ユーザー権限を持つユーザーは、[ その他のユーザーとグループ ] をダブルクリックして、所有権を割り当てる任意のユーザーまたはグループを選択できます。

グループ ポリシー

設定は、次のグループ ポリシー更新時にローカル コンピューターの設定を上書きするグループ ポリシー オブジェクト (GPO) を使用して次の順序で適用されます。

  1. ローカル ポリシー設定
  2. サイト ポリシーの設定
  3. ドメイン ポリシー設定
  4. OU ポリシー設定

ローカル設定が灰色表示されている場合は、GPO が現在その設定を制御していることを示します。

セキュリティに関する考慮事項

このセクションでは、攻撃者が機能や構成をどのように悪用するかと、対抗策の実装方法、対抗策を実施した結果として生じる可能性のある悪影響について説明します。

脆弱性

ファイルまたはその他のオブジェクトの所有権を取得する権限を持つすべてのユーザーは、そのオブジェクトに対するアクセス許可に関係なく、任意のオブジェクトを制御し、そのオブジェクトに対して行う変更を行うことができます。 このような変更により、データの公開、データの破損、またはサービス拒否条件が発生する可能性があります。

対抗策

ローカルの Administrators グループのみが、 ファイルまたはその他のオブジェクトの所有権を取得 する権限を持っていることを確認します。

潜在的な影響

なし。 [ ファイルまたはその他のオブジェクトの所有権 を取得する] ユーザー権限をローカルの Administrators グループに制限することは、既定の構成です。