Смена владельцев файлов и других объектов

Область применения

  • Windows 10

В этой статье описываются рекомендации, расположение, значения, управление политиками и рекомендации по обеспечению безопасности для параметра политики безопасности "Взять в собственность файлы или другие объекты ".

Справочные материалы

Этот параметр политики определяет, какие пользователи могут владеть любым защищаемым объектом на устройстве, включая объекты Active Directory, файлы и папки NTFS, принтеры, разделы реестра, службы, процессы и потоки.

У каждого объекта есть владелец, независимо от того, находится ли он в томе NTFS или базе данных Active Directory. Владелец определяет, как задаются разрешения для объекта и кому предоставляются разрешения.

По умолчанию владельцем является пользователь или процесс, создавший объект . Владельцы всегда могут изменять разрешения на объекты, даже если им запрещен доступ к объекту.

Константа: SeTakeOwnershipPrivilege

Возможные значения

  • Определяемый пользователей список учетных записей
  • Не определено

Рекомендации

  • Назначение этого права пользователя может быть угрозой безопасности. Так как владельцы объектов имеют полный контроль над ними, назначьте это право только доверенным пользователям.

Location

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

Значения по умолчанию

По умолчанию этот параметр имеет значение Администраторы на контроллерах домена и на автономных серверах.

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также можно найти на странице свойств политики.

Тип сервера или объект групповой политики Значение по умолчанию
Default Domain Policy Не определено
Политика контроллера домена по умолчанию Администраторы
Параметры по умолчанию для автономного сервера Администраторы
Действующие параметры по умолчанию для контроллера домена Администраторы
Действующие параметры по умолчанию для рядового сервера Администраторы
Действующие параметры по умолчанию для клиентского компьютера Администраторы

Управление политикой

В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой.

Перезапуск устройства не требуется, чтобы этот параметр политики вступил в силу.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.

Владение может быть взято на себя:

  • Администратор. По умолчанию группе Администраторы предоставляется право пользователя На владение файлами или другими объектами .
  • Любой пользователь или любая группа, у которых есть право владельца на объекте.
  • Пользователь, имеющий право на восстановление файлов и каталогов .

Владение может быть передано следующими способами:

  • Текущий владелец может предоставить право владения другому пользователю, если он является членом группы, определенной в маркере доступа текущего владельца. Чтобы завершить передачу, пользователь должен стать владельцем.
  • Администратор может взять на себя ответственность.
  • Пользователь с правом восстановления файлов и каталогов может дважды щелкнуть Другие пользователи и группы и выбрать любого пользователя или группу, которым будет назначено право владения.

Групповая политика

Параметры применяются в следующем порядке через объект групповая политика , который перезаписывает параметры на локальном компьютере при следующем обновлении групповая политика:

  1. Параметры локальной политики
  2. Параметры политики сайта
  3. Параметры политики домена
  4. Параметры политики подразделения

Если локальный параметр выделен серым цветом, он указывает, что объект групповой политики в настоящее время управляет этим параметром.

Вопросы безопасности

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.

Уязвимость

Любые пользователи с правом пользователя Взять в собственность файлы или другие объекты могут управлять любым объектом, независимо от разрешений на этот объект, а затем внести любые изменения, которые они хотят внести в этот объект. Такие изменения могут привести к раскрытию данных, повреждению данных или отказу в обслуживании.

Противодействие

Убедитесь, что только локальная группа администраторов имеет право пользователя Взять на себя ответственность за файлы или другие объекты .

Возможное влияние

Нет. По умолчанию для локальной группы администраторов используется ограничение права пользователя " Взять на себя права владения файлами или другими объектами ".

Статьи по теме