Смена владельцев файлов и других объектов Take ownership of files or other objects

Область применения Applies to

В этой статье описываются лучшие методики, расположение, значения, **** управление политиками и вопросы безопасности, которые необходимо учитывать при настройке политики безопасности «Владение файлами или другими объектами». Describes the best practices, location, values, policy management, and security considerations for the Take ownership of files or other objects security policy setting.

Справочные материалы Reference

Этот параметр политики определяет, какие пользователи могут стать владельцем любого защищаемого объекта на устройстве, включая объекты Active Directory, файлы и папки NTFS, принтеры, ключи реестра, службы, процессы и потоки. This policy setting determines which users can take ownership of any securable object in the device, including Active Directory objects, NTFS files and folders, printers, registry keys, services, processes, and threads.

У каждого объекта есть владелец, который находится в томе NTFS или базе данных Active Directory. Every object has an owner, whether the object resides in an NTFS volume or Active Directory database. Владелец управляет тем, как устанавливаются разрешения для объекта и кому даны разрешения. The owner controls how permissions are set on the object and to whom permissions are granted.

По умолчанию владельцем является лицо, создавший объект, или процесс. By default, the owner is the person who or the process which created the object. Владельцы всегда могут изменять разрешения для объектов, даже если им отказано во всем доступе к объекту. Owners can always change permissions to objects, even when they are denied all access to the object.

Константа: SeTakeOwnershipPrivilege Constant: SeTakeOwnershipPrivilege

Возможные значения Possible values

• Определяемый пользователей список учетных записей User-defined list of accounts
• Не определено Not defined

Рекомендации Best practices

• Назначение этого права пользователя может быть угрозой безопасности. Assigning this user right can be a security risk. Так как владельцы объектов имеют полный контроль над ними, назначьте это право только доверенным пользователям. Because owners of objects have full control of them, only assign this user right to trusted users.

Location Location

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

Значения по умолчанию Default values

По умолчанию этот параметр является администратором на контроллерах домена и на автономных серверах. By default this setting is Administrators on domain controllers and on stand-alone servers.

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. The following table lists the actual and effective default policy values. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.

Тип сервера или объект групповой политики Server type or GPO	Значение по умолчанию Default value
Default Domain Policy Default Domain Policy	Не определено Not defined
Политика контроллера домена по умолчанию Default Domain Controller Policy	Администраторы Administrators
Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings	Администраторы Administrators
Действующие параметры по умолчанию для контроллера домена Domain Controller Effective Default Settings	Администраторы Administrators
Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings	Администраторы Administrators
Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings	Администраторы Administrators

Управление политикой Policy management

В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой. This section describes features, tools, and guidance to help you manage this policy.

Перезапуск устройства не требуется для того, чтобы этот параметр политики был эффективным. A restart of the device is not required for this policy setting to be effective.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись. Any change to the user rights assignment for an account becomes effective the next time the owner of the account logs on.

Владельцем может быть: Ownership can be taken by:

• Администратор. An administrator. По умолчанию группе администраторов предоставляется право владельца файлов или других объектов. By default, the Administrators group is given the Take ownership of files or other objects user right.
• Любой пользователь или любая группа, у которых есть права владельца объекта. Anyone or any group who has the Take ownership user right on the object.
• Пользователь, у которого есть право на восстановление файлов и каталогов. A user who has the Restore files and directories user right.

Владение может быть передано следующими способами: Ownership can be transferred in the following ways:

• Текущий владелец может **** предоставить право владельца другому пользователю, если он является членом группы, определенной в маркере доступа текущего владельца. The current owner can grant the Take ownership user right to another user if that user is a member of a group defined in the current owner’s access token. Для завершения переноса пользователь должен стать владельцем. The user must take ownership to complete the transfer.
• Администратор может стать владельцем. An administrator can take ownership.
• Пользователь, у **** которого есть право на восстановление файлов и каталогов, может дважды щелкнуть «Другие пользователи и группы» и выбрать любого пользователя или группу для назначения прав владельца. A user who has the Restore files and directories user right can double-click Other users and groups and choose any user or group to assign ownership to.

Групповая политика Group Policy

Параметры применяются в следующем порядке с помощью объекта групповой политики (GPO), который будет перезаписывать параметры на локальном компьютере при следующем обновлении групповой политики: Settings are applied in the following order through a Group Policy Object (GPO), which will overwrite settings on the local computer at the next Group Policy update:

1. Параметры локальной политики Local policy settings
2. Параметры политики сайта Site policy settings
3. Параметры политики домена Domain policy settings
4. Параметры политики подразделения OU policy settings

Если локальный параметр затеняется, это означает, что в настоящее время этот параметр контролируется GPO. When a local setting is greyed out, it indicates that a GPO currently controls that setting.

Вопросы безопасности Security considerations

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Уязвимость Vulnerability

Любые пользователи, которые имеют право на владение файлами или другими объектами, могут управлять любым объектом независимо от разрешений для этого объекта, а затем вносить любые изменения, которые они хотят внести в этот объект. **** Any users with the Take ownership of files or other objects user right can take control of any object, regardless of the permissions on that object, and then make any changes that they want to make to that object. Такие изменения могут привести к экспозиции данных, повреждениям данных или условию отказа в обслуживании. Such changes could result in exposure of data, corruption of data, or a denial-of-service condition.

Противодействие Countermeasure

Убедитесь, что право на **** владение файлами или другими объектами есть только у локальной группы администраторов. Ensure that only the local Administrators group has the Take ownership of files or other objects user right.

Возможное влияние Potential impact

Нет. None. Настройка по умолчанию ограничивает права владельца файлов или других объектов локальной группой администраторов. Restricting the Take ownership of files or other objects user right to the local Administrators group is the default configuration.

Статьи Изменяем доступ к файлам, папкам, разделам реестра в Windows

Кирилл

на форумах довольно часто встает вопрос о том как получить доступ к какому либо объекту Windows.
рассмотрим возможные варианты.

внимание!
обязательно создайте точку восстановления перед манипуляциями на доступом к ресурсам/файлам
инструкция

1)
Откройте проводник (или редактор реестра) и перейдите к папке/файлу/разделу реестра, к которому необходимо получить доступ.

для файла или папки

Нажмите правую клавишу мыши и выберите в контекстном меню Свойства
Перейдите на вкладку Безопасность
Нажмите кнопку Дополнительно
Перейдите на вкладку Владелец
Нажмите кнопку Изменить

Установите курсор на группу Администраторы или на имя своей учетной записи и нажмите ОК. В случае с папкой также, вероятно, вам понадобится отметка параметра «Заменить владельца подконтейнеров и объектов«.

Для раздела реестра.

Нажмите правую клавишу мыши на подразделе реестра (в левой части редактора реестра) и выберите пункт Разрешения
Нажмите кнопку Дополнительно
Перейдите на вкладку Владелец
Нажмите кнопку Изменить
Теперь, вы можете выставить разрешения своей учетной записи.
На вкладке Безопасность нажмите кнопку Изменить под списком пользователей и групп
Нажмите кнопку Добавить
Выставьте разрешения на объект добавленной учетной записи

Способ 2.
Использование утилит командной строки takeown и icacls (применим только к файлам, папкам и дискам)
для windows xp -команда cacls

Нажмите Пуск — в строке поиска введите cmd – на найденном файле нажмите правую клавишу мыши и выберите пункт
Запуск от имени администратора

Примечание.
Запуск от имени администратора в данном случае обязателен независимо от того, какими правами обладает учетная запись, в которой вы работаете в данный момент. Исключение может составлять только случай, когда вы работаете во встроенной учетной записи Администратор, которая по умолчанию отключена.

вариант А
используем команду takeown

Команда takeown использует следующий синтаксис:
takeown /f [/s ] [/u ] [/p ]

рассмотрим возможные параметры команды.

параметр /f
Используется для указания файла, который принимается во владение. Можно использовать символ

параметр /s
Используется для предоставления имени или адреса IP удаленного компьютера, на котором будет запущена команда. По умолчанию команда будет запущена на локальной системе.

парметр /u
Используется для запуска команды от имени другого пользователя. Это может потребоваться, когда команда запускается на изолированной системе от имени локального администратора.

параметр /p
Используется для указания пароля учетной записи пользователя, если предоставлен параметр /u.

пример:
Чтобы принять на себя владения всеми файлами в каталоге D:\Game введите такую команду:

Чтобы принять на себя владения файлом pesenka.mp3 на удаленном компьютере nya.xxxxx.com:

takeown /f «D:\pesenka.mp3» /s nya.xxxxx.com

внимание!
Сразу после принятия на себя владения файлом или папкой администратор может получать доступ к файлу. Если к папке должны получать доступ множество пользователей, не забудьте обновить права доступа для папки с помощью команды cacls или с помощью Проводника Windows (Windows Explorer).

Полный синтаксис утилиты вы можете получить по команде takeown /?

утилита icacls (для windows xp cacls)

синтаксис команды icacls выглядит следующим образом:

icacls папка\файл /setowner Пользователь параметры

Посмотрим несколько конкретных примеров, как можно изменить владельца файла или папки.

icacls «C:\Program Files (x86)\UltraISO\UltraISO.exe» /setowner Administrator /C /L /Q

icacls «C:\Program Files (x86)\UltraISO\UltraISO.exe» /setowner «NT SERVICE\TrustedInstaller» /C /L /Q

icacls «C:\Program Files (x86)\UltraISO\» /setowner Medvedev /T /C /L /Q

icacls «C:\Program Files (x86)\UltraISO\» /setowner Putin /T /C /L /Q
Теперь разберемся, что это за параметры используются в каждой команде.

/Q – сообщение об успешном выполнении команды не выводится;
/L – команда выполняется непосредственно над символической ссылкой, а не конкретным объектом;
/C – выполнение команды будет продолжаться несмотря на файловые ошибки; при этом сообщения об ошибках все равно будут отображаться;
/T – команда используется для всех файлов и каталогов, которые которые расположены в указанном каталоге;

А вот как можно изменять разрешения для файла или папки:

icacls папка_или_файл /grant:r пользователь:разрешение

Список разрешений выглядит следующим образом:

D – удаление;
F – полный доступ;
M – изменение;
RX – чтение и выполнение;
R – чтение;
W – запись.
В качестве примера можно привести следующие команды:

icacls «C:\Program Files (x86)\UltraISO\UltraISO.exe» /grant:r Putin:F

icacls «C:\Program Files (x86)\UltraISO\UltraISO.exe» /grant:r Putin:M

icacls «C:\Program Files (x86)\UltraISO\» /grant:r Putin:F

icacls «C:\Program Files (x86)\UltraISO\» /grant:r Putin:RX /T

Чтобы узнать больше, введите в командной строке команду icacls /? и вы получите полный перечень ее команд.

Пункт смены владельца объекта в контекстном меню проводника.

Для упрощения процедуры смены владельца вы можете добавить соответствующий пункт в контекстное меню проводника.
В предлагаемом варианте также используются утилиты командной строки takeown и icacls с определенными параметрами, а полученная команда установит владельцем объекта, на котором будет применяться пункт меню, группу Администраторы (или Administrators в английской версии ОС).

Для добавления пункта меню «Смена владельца» примените этот твик реестра: