web-dev-qa-db-ja.com

管理者による新しいファイルのファイル所有権-なぜグループ管理者に所有権を与えるのですか?

管理者としてログインし、フォルダを右クリックして、[プロパティ]、[セキュリティ]タブ、[詳細設定]、[所有者]タブの順に移動します。ドメインに参加していません。

フォルダには管理者のグループ所有権があるようです。
このアイテムとすべてのサブアイテムの所有権をユーザー管理者に変更します。確認したところ、すべてのサブアイテムに管理者の所有権があります。

しかし、そのフォルダ内に新しいtxtファイルを作成しようとすると、その所有権が何であるかを確認すると、管理者になります。新しい所有権は、その親アイテムから所有権を継承するか、ログオンしているユーザー管理者から取得することを期待していました。

この問題を解決して、管理者でログオンしたときに作成した新しいファイルが、管理者ではなく管理者の所有者で作成されるようにするにはどうすればよいですか?

permissionsfilesystemsntfsaccess-control-list
6
Brian R. Bondy

更新:このGP設定は、Vista/Server 2008以降では使用できなくなりました。 https://support.Microsoft.com/en-us/kb/947721

グループポリシー設定は、Windows Server2008を実行しているコンピューターのセキュリティポリシー設定リストでは使用できません。

症状

Windows Vista以降を実行しているコンピューターで[システムオブジェクト:Administratorsグループのメンバーによって作成されたオブジェクトの既定の所有者]グループポリシー設定にアクセスしようとすると、この設定はセキュリティポリシー設定リストで使用できません。設定がセキュリティグループポリシーに存在する場合、Windows Vista以降のドメインメンバーはその設定を無視します。

原因

Windows Vista、Windows 7、Windows Server 2008、およびWindows Server 2008 R2では、この設定はサポートされなくなりました。有効にすると、ユーザーアカウント制御(UAC)により、ローカルで作成されたすべてのオブジェクトの所有者としてユーザーアカウントが使用されます。リモートアクセスの場合、管理者グループが使用され、ネットワークセッション用の制限されたトークンはありません。

この設定のサポートが削除されたため、システムセキュリティポリシーの[システムオブジェクト:Administratorsグループのメンバーによって作成されたオブジェクトのデフォルトの所有者]設定は、セキュリティテンプレートのユーザーインターフェイスでは使用できなくなりました。

グループポリシーで、「システムオブジェクト:Administratorsグループのメンバーによって作成されたオブジェクトのデフォルトの所有者」の設定を確認してください。それは下にあります:

  • コンピューターの構成
    • Windowsの設定
      • セキュリティ設定
        • ローカルポリシー
          • セキュリティオプション

この設定を有効にすると、「Administrators」グループのメンバーは、作成したオブジェクトに所有者「Administrators」が設定されます。

正直に言うと、この動作に対するMicrosoftの論理的根拠はすぐにはわかりませんが、すべての「管理者」が所有権を取得せずにオブジェクトのアクセス許可をリセットする共通の機能が許可されると言う場合を除きます。それが目的だったと思います。マイクロソフトからのこの設定に関する目的の明示的なステートメントへのリンクがあるかどうかを確認したいと思います。

この設定のデフォルトがWindows XPとWindowsServer 2003の間で異なることに気づきました(これはMicrosoftからの記事です http://support.Microsoft.com/kb/318825 =)、しかし、物事をある方法で他の方法と比較して設定する理由の背後にある目的の説明はまだわかりません。

8
Evan Anderson

XPとVista/7のデフォルトの所有権設定の違いは、UAEの導入(セキュリティの向上)に関連しています。UAEでは、管理者は制限されたユーザーアカウントに効果的に降格され、それにより、管理者アカウント所有していないファイルのOS設定を変更する機能UAEは、管理者権限を必要とする変更を検出すると、アカウントのセキュリティトークンを、管理者としてのアカウントの役割によって提供される増加した権限にエスカレートするようにユーザーに求めます。拒否するか、受け入れることができます。残念ながら、UAEで実行している場合でも、降格された管理者アカウントは、所有するファイルを変更することでOS設定に影響を与える可能性があります。リソースの所有権は、他のアクセス許可設定では許可されていない場合でも、このリソースへのフルアクセスを許可します。このセキュリティホールを回避するには、特定の管理者が作成したVista/7ファイルは現在、管理者グループが所有しています。したがって、個々の管理者は、最初に管理者グループに昇格されます。

Vista/7のUAE以前は、「Drop My Rights」と呼ばれるプログラムを使用して、このスキームを効果的にシミュレートできました。これはMSエンジニアによって開発され、MSによって自由に配布されました。ただし、プログラムをインストールする前に、レジストリ設定を変更してデフォルトのAdministrator所有者をAdministratorsグループに設定する必要がありました。今後のプログラムのインストールでは、Administratorsグループを所有者として設定するだけでなく、 subinacl.exeユーティリティを使用して既存のファイルの所有権をAdministratorsグループに変更するWindowsおよびプログラムファイルディレクトリ。

セキュリティの脆弱性を導入したくない限り、デフォルトの所有者設定を変更しません。

4
WhisperingChaos