INFO: Alterar propriedade de um objecto de passível de ser protegido

Este artigo explica o direito de acesso padrão em WRITE_OWNER e os privilégios para manipular o proprietário de um descritor de segurança associado a um objecto passível de ser protegido no Microsoft Windows NT, Microsoft Windows 2000 e Microsoft Windows XP.

Se o utilizador chamado tiver o WRITE_OWNER padrão direito de acesso concedido na lista discricionária acesso controlo (DACL), o sistema concederá acesso de escrita proprietário.

Um proprietário de objecto implicitamente tem acesso WRITE_OWNER o objecto, mesmo se a DACL não tiver um acesso explícito concedido. O proprietário pode ter controlo total sobre o objecto passível de ser protegido correspondente do Windows NT. Se a propriedade do objecto for modificada, o utilizador chamado torna-se no novo proprietário. Isto substitui o proprietário do objecto original.

O direito de acesso padrão em escrever proprietário permite que um utilizador tome posse de um objecto passível de ser protegido do Windows NT, mas não permite que o utilizador alterar a propriedade de um objecto passível de ser protegido do Windows NT para uma conta diferente.

Quando for especificado um identificador de segurança (SID) que corresponde a uma conta que seja diferente do utilizador da chamada, a função SetSecurityDescriptorOwner terá êxito. Se o descritor de segurança está associado a um objecto passível de ser protegido de Windows NT, tais como ficheiros que utilizam a função SetFileSecurity ou SetPrinter para impressoras, respectivamente, a API falhará. A função correspondente falha com um valor devolvido de FALSE e, quando a aplicação chamar a função GetLastError , a função devolve 1307 (ERROR_INVALID_OWNER).

Grupos de utilizadores, tais como administradores e operadores de cópia de segurança, tem a certeza poderosos privilégios concedidos para substituir este comportamento predefinido.

Se o utilizador chamado que está a executar o programa for um administrador, por predefinição têm (SE_TAKE_OWNERSHIP) "Obter propriedade de ficheiros ou outros objectos" utilizador direita concedidas no Gestor de utilizadores. O processo de chamada pode "Activar" este privilégio SE_TAKE_OWNERSHIP no token de processo e definir próprio como o proprietário do objecto. Este processo pode ser executado independentemente dos direitos de acesso concedidos na DACL do objecto passível de ser protegido.

Se o utilizador chamado que está a executar o programa for um administrador ou um operador de cópia de segurança, por predefinição ele ou ela tem (SE_RESTORE_NAME) "restaurar ficheiros e directórios" utilizador direita concedidas no Gestor de utilizadores. O processo de chamada pode "Activar" este privilégio SE_RESTORE_NAME no token de processo e pode definir qualquer utilizador válido ou SID de grupo como proprietário de um objecto. Isto permite que um administrador ou um operador de cópia de segurança alterar a propriedade de um objecto passível de ser protegido do Windows NT.