Acabei de descobrir a resposta. É porque eu tinha o UAC ligado. Se eu desligar o UAC, as propriedades de segurança takeown.exe e explorer.exe funcionarão conforme o esperado. DOMAIN \ jane.doe pode assumir a propriedade como esperado.
Eu tenho uma máquina com o Windows 2008 R2. Minha máquina em si não é um controlador de domínio, mas está associada a um domínio.
Na Política de segurança local, em Configurações de segurança > Políticas locais > Atribuição de direitos de usuário, conceda ao usuário DOMAIN \ jane.doe que tenha privilégio "Apropriar-se de arquivos ou outros objetos".
Eu reiniciei a máquina e entrei como DOMAIN \ jane.doe. Abra o prompt de comando e faça takeown /f c:\test\testfile.txt . Isso me dá um erro "Acesso negado"
O arquivo foi criado por DOMAIN \ administrator. Portanto, o proprietário foi definido para o grupo Administradores. Confirmado que não há outro GPO aplicado à máquina.
Para fins de teste, retiro todas as DACL do arquivo e, depois, concedo DOMAIN \ jane.doe para ter a permissão "Obter propriedade" por meio de DACL. Em seguida, faça o login como DOMAIN \ jane.doe e execute o takeown /f c:\test\testfile.txt novamente. Eu poderia obter a propriedade se a permissão "Obter propriedade" for concedida a DOMAIN \ jane.doe via DACL.
Minha pergunta é por que o usuário DOMAIN \ jane.doe falha ao obter a propriedade do arquivo, mesmo que eu tenha concedido a ela o privilégio? É porque takeown.exe não honra o privilégio do Windows, mas apenas DACL? Fiz testes semelhantes usando a página de propriedades de segurança do Windows Explorer. DOMAIN \ jane.doe não pode assumir a propriedade, embora ela tenha permissão para ter a propriedade "Assuma a propriedade" por meio da DACL e para ter privilégio "Apropriar-se de arquivos ou outros objetos".
Acabei de descobrir a resposta. É porque eu tinha o UAC ligado. Se eu desligar o UAC, as propriedades de segurança takeown.exe e explorer.exe funcionarão conforme o esperado. DOMAIN \ jane.doe pode assumir a propriedade como esperado.