propriedade de arquivo para novos arquivos com o administrador - por que ele está dando propriedade aos administradores do grupo?

6

Estou logado como administrador e clico com o botão direito do mouse em uma pasta e, em seguida, vou para propriedades, depois para a guia de segurança, depois para avançada e, em seguida, para a guia do proprietário. Eu não estou em um domínio.

Eu vejo que a pasta tem uma propriedade de grupo dos administradores.
Eu altero essa propriedade deste item e todos os subitens para o administrador do usuário. Eu verifiquei e todos os subitens agora possuem a propriedade do administrador.

Mas, em seguida, tento criar um novo arquivo txt dentro dessa pasta e, quando vou ver qual é a propriedade dela, são os administradores. Eu esperava que a nova propriedade herdasse a propriedade de seu item pai ou tirasse de mim o administrador de usuário conectado.

O que pode ser feito para resolver esse problema para que os novos arquivos que eu criar quando conectado com o administrador os criem com um proprietário de administrador em vez de administradores?

    
por Brian R. Bondy 04.06.2009 / 02:29

2 respostas

8

Atualização: esta configuração do GP não está mais disponível a partir do Vista / Server 2008. link

A Group Policy setting is not available in the security policy settings list on a computer that is running Windows Server 2008

SYMPTOMS

When you try to access the "System objects: Default owner for objects created by members of the Administrators group" Group Policy setting on a computer that is running Windows Vista or newer, this setting is not available in the security policy settings list. When the setting is present in your security group policy, it will be ignored by Windows Vista and newer domain members.

CAUSE

Windows Vista, Windows 7, Windows Server 2008 and Windows Server 2008 R2 do not support this setting any longer. When enabled, User Account Control (UAC) will ensure the user account is being used as owner for all objects created locally. For remote access, the administrators group will be used there is no restricted token for network sessions.

Since the support for the setting was removed, the system security policy "System objects: Default owner for objects created by members of the Administrators group" setting is not available in the Security Templates user interface anymore.

Dê uma olhada na Diretiva de Grupo para a configuração "Objetos do sistema: proprietário padrão para objetos criados por membros do grupo Administradores". Está localizado em:

  • Configuração do computador
    • Configurações do Windows
      • Configurações de segurança
        • Políticas locais
          • Opções de segurança

Quando essa configuração é ativada, os membros do grupo "Administradores" terão objetos criados por eles configurados com o proprietário "Administradores".

Para ser honesto, não tenho certeza imediata sobre a justificativa da Microsoft para esse comportamento, exceto para dizer que isso permitiria uma capacidade comum de redefinir as permissões em objetos sem apropriar-se de todos os "Administradores". Eu acho que essa foi a intenção. Eu estaria interessado em ver se alguém tem um link para uma declaração explícita de propósito sobre essa configuração da Microsoft.

Percebi que o padrão dessa configuração é diferente entre o Windows XP e o Windows Server 2003 (aqui está um artigo da Microsoft sobre o link ), mas eu ainda não vejo uma declaração de propósito por trás porque você gostaria que as coisas fossem definidas de um jeito contra o outro.

    
por 04.06.2009 / 02:59
4

A diferença entre as configurações de propriedade padrão do XP e do Vista / 7 está relacionada à introdução dos EAU (melhor segurança). No EAU, um administrador é efetivamente rebaixado para uma conta de usuário limitada, restringindo, assim, a capacidade de qualquer conta de administrador de alterar as configurações do sistema operacional para arquivos que não são de sua propriedade. Quando o Emirados Árabes Unidos detecta uma alteração que exige privilégios administrativos, ele solicita ao usuário a escalada do token de segurança da conta para os privilégios aumentados oferecidos pela função da conta como administrador. Você pode recusar ou aceitar a solicitação dos EAU. Infelizmente, mesmo quando rodando com Emirados Árabes Unidos, uma conta administrativa rebaixada ainda pode afetar as configurações do sistema operacional alterando os arquivos de sua propriedade. A propriedade de um recurso concede acesso total a esse recurso mesmo quando outras configurações de permissão não. Para contornar essa falha de segurança, os arquivos do Vista / 7 criados por qualquer administrador específico pertencem agora ao grupo Administradores. Portanto, os administradores individuais não podem mais alterar nenhum arquivo sem primeiro serem promovidos para o grupo de administradores.

Antes dos Emirados Árabes Unidos no Vista / 7 você poderia efetivamente simular este esquema usando um programa chamado "Drop My Rights". Foi desenvolvido por um engenheiro de MS e distribuído gratuitamente pela MS. No entanto, antes de instalar o programa, era necessário alterar as configurações do registro para estabelecer o proprietário do Administrador padrão como o grupo Administradores, para que as futuras instalações do programa definissem o grupo Administradores como o proprietário, bem como alterassem a propriedade dos arquivos no arquivo. Diretórios Windows e Programa de Arquivos usando o utilitário subinacl.exe para alterar a propriedade dos arquivos existentes para o grupo Administradores.

Eu não alteraria a configuração do proprietário padrão, a menos que você queira introduzir uma vulnerabilidade de segurança.

    
por 25.08.2010 / 21:30