フィードバック

ファイルとその他のオブジェクトの所有権の取得

  • [アーティクル]

適用対象

  • Windows 10

[ファイルまたは他のオブジェクトの所有権を取得する] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する 考慮事項について説明 します。

リファレンス

このポリシー設定は、Active Directory オブジェクト、NTFS ファイルとフォルダー、プリンター、レジストリ キー、サービス、プロセス、スレッドなど、デバイス内のセキュリティ保護可能なオブジェクトの所有権を取得できるユーザーを決定します。

オブジェクトが NTFS ボリュームまたは Active Directory データベースに存在するかどうかに関して、すべてのオブジェクトに所有者が存在します。 所有者は、オブジェクトに対するアクセス許可の設定方法と、アクセス許可を付与するユーザーを制御します。

既定では、所有者はオブジェクトを作成したユーザーまたはプロセスです。 所有者は、オブジェクトへのすべてのアクセスが拒否された場合でも、オブジェクトへのアクセス許可を常に変更できます。

定数: SeTakeOwnershipPrivilege

  • ユーザー定義のアカウント一覧
  • 未定義

ベスト プラクティス

  • このユーザー権利の割り当ては、セキュリティ リスクになる可能性があります。 オブジェクトの所有者はオブジェクトの完全な制御を持つため、信頼できるユーザーにのみこのユーザー権限を割り当てる必要があります。

Location

コンピューターの構成\Windows 設定\セキュリティ 設定\Local Policies\User Rights Assignment

既定値

既定では、この設定は、ドメイン コントローラーとスタンドアロン サーバーの Administrators です。

次の表に、実際のポリシー値と有効な既定のポリシー値を示します。 既定値は、このポリシーのプロパティ ページにも表示されます。

サーバーの種類または GPO 既定値
既定のドメイン ポリシー 未定義
既定のドメイン コントローラー ポリシー 管理者
Stand-Alone サーバーの既定の設定 管理者
ドメイン コントローラーの有効な既定の設定 管理者
メンバー サーバーの有効な既定の設定 管理者
クライアント コンピューターの有効な既定設定 管理者

ポリシー管理

このセクションでは、このポリシーの管理に役立つ機能、ツール、およびガイダンスについて説明します。

このポリシー設定が有効になるには、デバイスの再起動は必要ありません。

アカウントのユーザー権限の割り当ての変更は、次回アカウントの所有者がログオンすると有効になります。

所有権は、次の方法で取得できます。

  • 管理者。 既定では、Administrators グループには、ファイルまたは他のオブジェクトの所有権を取得 するユーザー権利が 与えられる。
  • オブジェクトに対して所有権の取得ユーザー 持つすべてのユーザーまたは任意のグループ。
  • ファイルとディレクトリの復元 ユーザー権限を持つ ユーザー。

所有権は、次の方法で転送できます。

  • 現在の所有者は、その**** ユーザーが現在の所有者のアクセス トークンで定義されているグループのメンバーである場合、所有権の取得ユーザーに別のユーザーに権限を付与できます。 ユーザーは、転送を完了するために所有権を取得する必要があります。
  • 管理者は所有権を取得できます。
  • [ファイルとディレクトリの復元]ユーザー権限を持つユーザーは****、[その他のユーザーとグループ] をダブルクリックし、所有権を割り当てる任意のユーザーまたはグループを選択できます。

グループ ポリシー

設定グループ ポリシー オブジェクト (GPO) を使用して次の順序で適用され、次のグループ ポリシー更新プログラムでローカル コンピューターの設定が上書きされます。

  1. ローカル ポリシー設定
  2. サイト ポリシーの設定
  3. ドメイン ポリシーの設定
  4. OU ポリシー設定

ローカル設定が灰色で表示されている場合、GPO が現在その設定を制御しています。

セキュリティに関する考慮事項

このセクションでは、攻撃者が機能や構成をどのように悪用するかと、対抗策の実装方法、対抗策を実施した結果として生じる可能性のある悪影響について説明します。

脆弱性

[ファイルまたは他**** のオブジェクトの所有権を取得する] ユーザー権限を持つユーザーは、そのオブジェクトに対するアクセス許可に関係なく、任意のオブジェクトを制御し、そのオブジェクトに対して行う変更を行うことができます。 このような変更により、データが露出したり、データが破損したり、サービス拒否状態が発生する可能性があります。

対抗策

ローカルの Administrators グループだけがファイルまたは他のオブジェクトの所有権を持 つユーザー権利を持っている必要 があります。

潜在的な影響

なし。 [ファイルまたは他 のオブジェクトの所有権を 取得する] ユーザー権限をローカルの Administrators グループに制限すると、既定の構成になります。

関連トピック