Übernehmen des Besitzes von Dateien und Objekten

  • Artikel

Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Übernehmen des Besitzes von Dateien und Objekten beschrieben.

Referenzen

Durch diese Richtlinieneinstellung wird bestimmt, welche Benutzer Besitzrechte für ein sicherungsfähiges Objekt im Gerät übernehmen können. Dazu gehören Active Directory-Objekte, NTFS-Dateien und -Ordner, Drucker, Registrierungsschlüssel, Dienste, Prozesse und Threads.

Jedes Objekt hat einen Besitzer, unabhängig davon, ob es sich auf einem NTFS-Volume oder in einer Active Directory-Datenbank befindet. Der Besitzer steuert, wie Berechtigungen für das Objekt festgelegt und wem sie gewährt werden.

Standardmäßig handelt es sich bei dem Besitzer um die Person oder den Prozess, die bzw. der das Objekt erstellt hat. Besitzer können Berechtigungen für Objekte jederzeit ändern, auch wenn der Zugriff auf das Objekt insgesamt verweigert wurde.

Konstante: SeTakeOwnershipPrivilege

Mögliche Werte

  • Benutzerdefinierte Liste von Konten

  • Nicht definiert

Bewährte Methoden

  • Die Zuweisung dieses Benutzerrechts kann ein Sicherheitsrisiko darstellen. Da Besitzer von Objekten die vollständige Kontrolle über Objekte haben, sollte dieses Benutzerrecht nur vertrauenswürdigen Benutzern zugewiesen werden.

Ort

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten

Standardwerte

Auf Domänencontrollern und eigenständigen Servern lautet die standardmäßige Einstellung „Administratoren“.

In der folgenden Tabelle sind die tatsächlichen und effektiven Standardrichtlinienwerte aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.

Servertyp oder Gruppenrichtlinienobjekt Standardwert

Standarddomänenrichtlinie

Nicht definiert

Standardrichtlinie für Domänencontroller

Administratoren

Standardeinstellungen für eigenständige Server

Administratoren

Effektive Standardeinstellungen für Domänencontroller

Administratoren

Effektive Standardeinstellungen für Mitgliedsserver

Administratoren

Effektive Standardeinstellungen für Clientcomputer

Administratoren

 

Richtlinienverwaltung

In diesem Abschnitt werden die Features, Tools und Verfahren beschrieben, die Sie bei der Verwaltung dieser Richtlinie unterstützen.

Ein Neustart des Geräts ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.

Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.

Folgende Benutzer/Gruppe können Besitzrechte erhalten:

  • Ein Administrator. Der Gruppe „Administratoren“ wird standardmäßig das Benutzerrecht Besitz von Dateien und Objekten übernehmen erteilt.

  • Jeder Benutzer bzw. jede Gruppe mit dem Benutzerrecht Besitzrechte übernehmen für das Objekt.

  • Ein Benutzer mit dem Benutzerrecht Dateien und Verzeichnisse wiederherstellen.

Die Besitzrechte können wie folgt übertragen werden:

  • Der aktuelle Besitzer kann das Benutzerrecht Besitzrechte übernehmen auf einen anderen Benutzer übertragen, falls dieser einer Gruppe angehört, die im Zugriffstoken des aktuellen Besitzers verzeichnet ist. Der Benutzer muss Besitzrechte übernehmen, um die Übertragung abzuschließen.

  • Ein Administrator kann Besitzrechte übernehmen.

  • Ein Benutzer mit dem Benutzerrecht Dateien und Verzeichnisse wiederherstellen kann auf Andere Benutzer und Gruppen doppelklicken und einen Benutzer oder eine Gruppe auswählen, dem bzw. der Besitzrechte zugeordnet werden.

Gruppenrichtlinie

Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:

  1. Lokale Richtlinieneinstellungen

  2. Websiterichtlinieneinstellungen

  3. Domänenrichtlinieneinstellungen

  4. OE-Richtlinieneinstellungen

Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.

Sicherheitsaspekte

In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.

Sicherheitsrisiko

Alle Benutzer mit dem Benutzerrecht Besitz von Dateien und Objekten übernehmen können mit oder ohne Berechtigung die Steuerung beliebiger Objekte übernehmen und das Objekt nach ihren Vorstellungen ändern. Solche Änderungen können dazu führen, dass Daten offengelegt oder beschädigt oder Denial-of-Service-Zustände bewirkt werden.

Gegenmaßnahme

Stellen Sie sicher, dass nur die lokale Administratorgruppe über das Benutzerrecht Besitz von Dateien und Objekten übernehmen verfügt.

Mögliche Auswirkung

Keine. Die Einschränkung des Benutzerrechts Besitz von Dateien und Objekten übernehmen auf die lokale Administratorgruppe entspricht der Standardkonfiguration.

Verwandte Themen

Zuweisen von Benutzerrechten