我以管理员身份登录,然后右键单击一个文件夹,然后转到属性,然后是安全选项卡,然后是高级,然后是所有者选项卡。我不在域上。
我看到该文件夹具有管理员的组所有权。
我将此项目和所有子项目的所有权更改给用户管理员。我验证并且所有子项现在确实确实具有管理员的所有权。
但后来我尝试在该文件夹中创建一个新的 txt 文件,当我去查看它的所有权时,它是管理员。我希望新的所有权从它的父项继承所有权,或者从我登录的用户管理员那里获取所有权。
可以做些什么来解决这个问题,以便我在以管理员身份登录时创建的新文件将使用管理员所有者而不是管理员来创建它们?
更新:从 Vista/Server 2008 开始,此 GP 设置不再可用。 https://support.microsoft.com/en-us/kb/947721
查看组策略中的设置“系统对象:管理员组成员创建的对象的默认所有者”。它位于:
启用此设置后,“管理员”组的成员将使用所有者“管理员”设置他们创建的对象。
老实说,我不能立即确定微软这种行为的基本原理,只是说它允许一种通用的能力来重置对象的权限,而无需所有“管理员”拥有所有权。我猜这就是意图。我很想看看是否有人有指向 Microsoft 对此设置的明确目的声明的链接。
我注意到此设置的默认设置在 Windows XP 和 Windows Server 2003 之间有所不同(这里有一篇来自 Microsoft 的文章http://support.microsoft.com/kb/318825),但我仍然没有看到原因背后的目的声明你会希望事情以一种方式而不是另一种方式设置。
XP 和 Vista/7 默认所有权设置之间的区别与阿联酋的引入(更好的安全性)有关。在阿联酋,管理员实际上被降级为受限用户帐户,从而限制了任何管理员帐户更改不属于它的文件的操作系统设置的能力。当阿联酋检测到需要管理权限的更改时,它会提示用户将帐户的安全令牌升级为帐户作为管理员角色提供的增强权限。您可以拒绝或接受阿联酋的请求。不幸的是,即使在阿联酋运行时,降级的管理帐户仍然可以通过更改其拥有的文件来影响操作系统设置。即使其他权限设置没有,资源的所有权也会授予对该资源的完全访问权限。为了规避这个安全漏洞,由任何特定管理员创建的 Vista/7 文件现在归管理员组所有。因此,单个管理员在没有首先被提升到管理员组之前不能再更改任何文件。
在 Vista/7 中的阿联酋之前,您可以使用名为“Drop My Rights”的程序有效地模拟此方案。它由 MS 工程师开发并由 MS 免费分发。但是,在安装程序之前,您需要更改注册表设置以将默认管理员所有者设置为管理员组,因此未来的程序安装会将管理员组设置为所有者,以及更改文件的文件所有权。 Windows 和 Program File 目录使用 subinacl.exe 实用程序将现有文件的所有权更改为 Administrators 组。
除非您希望引入安全漏洞,否则我不会更改默认所有者设置。