我以管理员身份登录,右键单击文件夹,然后转到属性,然后转到安全选项卡,然后转到高级选项卡,然后转到所有者选项卡。我不在域中。
我看到该文件夹的所有权组为管理员。
我将此项及其所有子项的所有权更改为用户管理员。我已验证,所有子项现在确实拥有管理员的所有权。
但随后我尝试在该文件夹中创建一个新的 txt 文件,当我查看其所有权时,发现是管理员。我期望新所有权从其父项继承所有权,或者从我(登录用户管理员)手中接管。
我可以做些什么来解决这个问题,以便我以管理员身份登录时创建的新文件将以管理员而不是管理员的所有者身份创建?
答案1
更新:从 Vista/Server 2008 开始此 GP 设置不再可用。 https://support.microsoft.com/en-us/kb/947721
运行 Windows Server 2008 的计算机上的安全策略设置列表中没有组策略设置
症状当您尝试在运行 Windows Vista 或更高版本的计算机上访问“系统对象:管理员组成员所创建对象的默认所有者”组策略设置时,此设置在安全策略设置列表中不可用。当此设置存在于您的安全组策略中时,Windows Vista 和更高版本的域成员将忽略它。
原因Windows Vista、Windows 7、Windows Server 2008 和 Windows Server 2008 R2 不再支持此设置。启用后,用户帐户控制 (UAC) 将确保用户帐户被用作本地创建的所有对象的所有者。对于远程访问,将使用管理员组,网络会话没有受限令牌。
由于不再支持该设置,系统安全策略“系统对象:管理员组成员创建的对象的默认所有者”设置在安全模板用户界面中不再可用。
在组策略中查看设置“系统对象:管理员组成员创建的对象的默认所有者”。它位于:
- 计算机配置
- Windows 设置
- 安全设定
- 当地政策
- 安全选项
- 当地政策
- 安全设定
- Windows 设置
当启用此设置时,“管理员”组的成员将把他们创建的对象设置为所有者“管理员”。
说实话,我目前还不确定微软采取这种行为的理由,只能说它将允许所有“管理员”拥有一种共同的能力,即重置对象的权限而无需取得所有权。我猜这就是他们的意图。我很想知道是否有人能提供微软关于此设置的明确目的声明的链接。
我注意到,Windows XP 和 Windows Server 2003 中的此设置的默认设置有所不同(微软有一篇文章介绍此设置http://support.microsoft.com/kb/318825),但我仍然没有看到你希望以某种方式而不是另一种方式设置事物的目的陈述。
答案2
XP 和 Vista/7 默认所有权设置之间的差异与 UAE(更好的安全性)的引入有关。在 UAE 下,管理员实际上被降级为受限用户帐户,从而限制任何管理员帐户更改不属于其的文件的操作系统设置的能力。当 UAE 检测到需要管理权限的更改时,它会提示用户将帐户的安全令牌升级到帐户作为管理员的角色所提供的更高权限。您可以拒绝或接受 UAE 请求。不幸的是,即使在使用 UAE 运行时,降级的管理帐户仍然可以通过更改其拥有的文件来影响操作系统设置。资源的所有权授予对此资源的完全访问权限,即使其他权限设置不授予。为了规避这个安全漏洞,任何特定管理员创建的 Vista/7 文件现在都归管理员组所有。因此,单个管理员在未先被提升到管理员组的情况下无法再更改任何文件。
在 Vista/7 中推出 UAE 之前,您可以使用名为“Drop My Rights”的程序有效地模拟此方案。它由 MS 工程师开发并由 MS 免费分发。但是,在安装该程序之前,您需要更改注册表设置以将默认管理员所有者设置为管理员组,以便将来的程序安装将管理员组设置为所有者,并使用 subinacl.exe 实用程序更改 Windows 和 Program File 目录中文件的文件所有权,以将现有文件的所有权更改为管理员组。
除非您想引入安全漏洞,否则我不会更改默认所有者设置。