我有一台 Windows 2008 R2 计算机。我的计算机本身不是域控制器,但已加入域。
在本地安全策略中的安全设置 > 本地策略 > 用户权限分配下,授予用户 DOMAIN\jane.doe 具有“获取文件或其他对象的所有权”权限。
我重启了机器并以 DOMAIN\jane.doe 身份登录。打开命令提示符并执行takeown /f c:\test\testfile.txt。它给了我“访问被拒绝”错误
该文件由 DOMAIN\administrator 创建。因此所有者被设置为管理员组。已验证该计算机未应用其他 GPO。
为了测试目的,我从文件中删除所有 DACL,然后仅通过 DACL 授予 DOMAIN\jane.doe “取得所有权”权限。然后,以 DOMAIN\jane.doe 身份登录并再次运行takeown /f c:\test\testfile.txt。如果通过 DACL 向 DOMAIN\jane.doe 授予“取得所有权”权限,我就可以成功取得所有权。
我的问题是,为什么用户 DOMAIN\jane.doe 无法获得文件所有权,即使我授予了她权限?是不是因为 takeown.exe 不遵守 Windows 权限,而只遵守 DACL?我使用 Windows 资源管理器中的安全属性页进行了类似的测试。DOMAIN\jane.doe 无法获得所有权,即使她被授予通过 DACL 获得的“获得所有权”权限和她被授予“取得文件或其他对象的所有权”的特权。
答案1
我刚刚找到了答案。这是因为我打开了 UAC。如果我关闭 UAC,takeown.exe 和 explorer.exe 安全属性都会按预期工作。DOMAIN\jane.doe 可以按预期获得所有权。