propiedad del file para los nuevos files con el administrador – ¿por qué está dando la propiedad a los administradores del grupo?

Estoy conectado como administrador y hago clic derecho en una carpeta y luego ir a properties, a continuación, la pestaña de security, a continuación, avanzado, a continuación, la ficha propietario. No estoy en un dominio.

Veo que la carpeta tiene una propiedad de grupo de administradores.
Cambio la propiedad de este elemento y de todos los subitems al administrador del usuario. He verificado y todos los subitems de hecho ahora tienen la propiedad de administrador.

Pero entonces bash crear un nuevo file del txt dentro de esa carpeta, y cuando voy a ver cuál es la propiedad en él, él es administradores. Esperaba que la nueva propiedad henetworkingara la propiedad de su elemento principal o la tomara de mí el administrador de usuario conectado.

¿Qué se puede hacer para resolver este problema para que los nuevos files que crear cuando se inicia la session con el administrador se crean con un propietario de administrador en lugar de los administradores?

Actualización: Esta configuration de GP ya no está disponible a partir de Vista / Server 2008. https://support.microsoft.com/en-us/kb/947721

Una configuration de directiva de grupo no está disponible en la list de configuration de directiva de security en un equipo que ejecuta Windows Server 2008

SÍNTOMAS

Cuando intenta tener acceso a la configuration de directiva de grupo "Objetos de sistema: propietario pnetworkingeterminado para objects creados por miembros del grupo Administradores" en un equipo que ejecuta Windows Vista o posterior, esta configuration no está disponible en la list de configuration de directiva de security. Cuando la configuration está presente en su directiva de grupo de security, será ignorada por Windows Vista y miembros de dominio más recientes.

PORQUE

Windows Vista, Windows 7, Windows Server 2008 y Windows Server 2008 R2 ya no admiten esta configuration. Cuando está activado, el Control de counts de usuario (UAC) garantizará que la count de usuario se utilice como propietario de todos los objects creados localmente. Para el acceso remoto, el grupo de administradores se utilizará no hay token restringido para las sesiones de networking.

Dado que se eliminó el soporte para la configuration, la configuration de la directiva de security del sistema "Objetos del sistema: propietario pnetworkingeterminado para objects creados por miembros del grupo Administradores" ya no está disponible en la interfaz de usuario Plantillas de security.

Eche un vistazo en la directiva de grupo para la configuration "Objetos del sistema: propietario pnetworkingeterminado de los objects creados por miembros del grupo Administradores". Se encuentra en:

  • Configuracion de Computadora
    • Configuración de Windows
      • Configuraciones de security
        • Políticas Locales
          • Opciones de security

Cuando esta opción está habilitada, los miembros del grupo "Administradores" tendrán los objects que crean establecidos con el propietario "Administradores".

Para ser honesto, no estoy seguro de la razón de Microsoft para este comportamiento, excepto para decir que permitiría una habilidad común para restablecer los permissions en objects sin tomar posession de todos los "Administradores". Supongo que esa era la intención. Me gustaría ver si alguien tiene un enlace a una statement explícita de propósito en esta configuration de Microsoft.

He notado que el valor pnetworkingeterminado de esta configuration varía entre Windows XP y Windows Server 2003 (aquí hay un artículo de Microsoft en http://support.microsoft.com/kb/318825 ), pero todavía no veo una statement de propósito detrás de por qué usted quisiera que las cosas fijaran una manera contra la otra.

La diferencia entre XP y Vista / 7 configuration de propiedad por defecto se refiere a la introducción de los Emiratos Árabes Unidos (mejor security). Bajo Emiratos Árabes Unidos, un administrador es rebajado efectivamente a una count de usuario limitada, restringiendo así la capacidad de cualquier count de administrador para cambiar la configuration del SO para files que no son propiedad de él. Cuando UAE detecta un cambio que requiere privilegios administrativos, pide al usuario que escalen el token de security de la count a los privilegios incrementados que ofrece el rol de la count como administrador. Puede rechazar o aceptar la request de los Emiratos Árabes Unidos. Desafortunadamente, incluso cuando se ejecuta con Emiratos Árabes Unidos, una count administrativa degradada puede afectar la configuration del SO al cambiar los files que posee. La propiedad de un recurso concede acceso completo a este recurso incluso cuando no hay otra configuration de permissions. Para evitar este agujero de security, los files de Vista / 7 creados por cualquier administrador específico pertenecen ahora al grupo Administradores. Por lo tanto, los administradores individuales ya no pueden cambiar ningún file sin haber sido promovidos primero al grupo de administradores.

Antes de los Emiratos Árabes Unidos en Vista / 7 podría simular eficazmente este esquema mediante el uso de un progtwig llamado "Drop My Rights". Fue desarrollado por un ingeniero MS y distribuido libremente por MS. Sin embargo, antes de instalar el progtwig, necesita cambiar la configuration del logging para establecer que el propietario pnetworkingeterminado del Administrador sea el grupo Administradores, de modo que las futuras instalaciones del progtwig establezcan el grupo Administradores como propietario y modifiquen la propiedad de los files en el file Windows y files de progtwig con la utilidad subinacl.exe para cambiar la propiedad de los files existentes al grupo de administradores.

No cambiaría la configuration pnetworkingeterminada del propietario a less que desee introducir una vulnerabilidad de security.