Как получить доступ к файлам, папкам, разделам реестра в windows 10, 8, 7 и vista

Добавление команды смены владельца объекта в контекстное меню проводника

Для упрощения процедуры смены владельца вы можете добавить соответствующий пункт в контекстное меню проводника.В предлагаемом варианте также используются утилиты командной строки takeown и icacls с определенными параметрами, а полученная команда установит текущего пользователя владельцем объекта, на котором будет применяться.

Вы можете скачать готовые файлы реестра для импортирования по этой ссылке: TakeOwnership.zip

Содержимое архива:

  1. Add_Take_Ownership_RU.reg — для добавления пункта меню смены владельца в русской версии Windows
  2. Add_Take_Ownership_EN.reg — для добавления пункта меню смены владельца в английской версии Windows
  3. Add_Take_Ownership_with_Pause_RU.reg — для добавления пункта меню смены владельца, при использовании которого окно выполнения команды не закрывается автоматически после обработки. В окне выполнения команды выводится результат обработки. Файл используется добавления пункта меню в русской версии Windows.
  4. Add_Take_Ownership_with_Pause_EN.reg — для добавления пункта меню смены владельца в английской версии Windows. Окно выполнения команды не закрывается автоматически, так же как и для файла №3.
  5. Remove_Take_Ownership.reg — для удаления пункта меню смены владельца независимо от языка системы и используемого файла для его добавления.

Подробнее о применении твиков реестра вы можете прочитать здесь: Применение твиков реестра

Примечание. Если ранее вами был добавлен другой пункт контекстного меню с использованием такого же метода (запись в раздел реестра HKEY_CLASSES_ROOT\*\shell\runas), то он будет заменен.

Описание файлов реестра, содержащихся в архиве:

  • Для добавления пункта меню «Смена владельца» в русской версии Windows примените этот твик реестра:
  • Для добавления пункта меню «Take Ownership» в английской версии Windows примените этот твик реестра:
  • Для удаления этого пункта меню (независимо от языка системы) можете использовать следующий твик реестра:

Добавление команды смены владельца объекта в контекстное меню проводника

Для упрощения процедуры смены владельца вы можете добавить соответствующий пункт в контекстное меню проводника.В предлагаемом варианте также используются утилиты командной строки takeown и icacls с определенными параметрами, а полученная команда установит текущего пользователя владельцем объекта, на котором будет применяться.

Вы можете скачать готовые файлы реестра для импортирования по этой ссылке: TakeOwnership.zip

Содержимое архива:

  1. Add_Take_Ownership_RU.reg — для добавления пункта меню смены владельца в русской версии Windows
  2. Add_Take_Ownership_EN.reg — для добавления пункта меню смены владельца в английской версии Windows
  3. Add_Take_Ownership_with_Pause_RU.reg — для добавления пункта меню смены владельца, при использовании которого окно выполнения команды не закрывается автоматически после обработки. В окне выполнения команды выводится результат обработки. Файл используется добавления пункта меню в русской версии Windows.
  4. Add_Take_Ownership_with_Pause_EN.reg — для добавления пункта меню смены владельца в английской версии Windows. Окно выполнения команды не закрывается автоматически, так же как и для файла №3.
  5. Remove_Take_Ownership.reg — для удаления пункта меню смены владельца независимо от языка системы и используемого файла для его добавления.

Подробнее о применении твиков реестра вы можете прочитать здесь: Применение твиков реестра

Примечание. Если ранее вами был добавлен другой пункт контекстного меню с использованием такого же метода (запись в раздел реестра HKEY_CLASSES_ROOT\*\shell\runas), то он будет заменен.

Описание файлов реестра, содержащихся в архиве:

  • Для добавления пункта меню «Смена владельца» в русской версии Windows примените этот твик реестра:
  • Для добавления пункта меню «Take Ownership» в английской версии Windows примените этот твик реестра:
  • Для удаления этого пункта меню (независимо от языка системы) можете использовать следующий твик реестра:

Что такое TakeOwnershipEx

Программа TakeOwnershipEx служит для получения прав доступа к файлам и папкам вашего компьютера. Как известно, в современных версиях Windows доступ к системным файлам ограничен на уровне NTFS. Владельцем файлов является TrustedInstaller, и у всех пользователей есть доступ лишь на чтение (в большинстве случаев). TakeOwnershipEx позволяет пользователям, состоящим в группе «Администраторы», становиться владельцами файлов или папок. В качестве владельца файла/папки выставляется группа «Администраторы», и им выдается право полного доступа.

Программа предполагает следующую модель работы:

  • Запустили TakeOwnershipEx, получили права на объект файловой системы.
  • Выполнили необходимые действия над объектом.
  • Запустили TakeOwnershipEx, восстановили оригинальные права, разрешения и владельца.

Собственно, описанная модель и раскрывает главное отличие TakeOwnershipEx от ей подобных программ — она позволяет восстановить оригинальные разрешения, вернув права NTFS «как было». Я лично не знаю более ни одной программы, которая имела бы такую возможность.

Taking Ownership of a File/Folder Manually

Step 1: Go to Properties of the File/Folder

Open File Explorer and locate the file or folder you want to take ownership of. Then right-click on it and select Properties.

In the Properties window, navigate to the Security tab and click the Advanced button.

In the Advanced Security Settings window, click on the Change link located next to the label of the current owner.

Step 4: Select New Owner

The new window has a textbox at the bottom, in which you enter the name of the account you want to give ownership to (yours, in this case). You can type the name yourself, but if you don’t know the exact name of the account, there’s an easy way to find it: click the Advanced button, and in the new window that opens select Find Now to display a list of all available accounts. Then select the account of your choice from the list and click OK to enter it to the textbox.

When the new account is entered in the textbox, you can click Check Names to see if the name you entered is valid or not (an error message will appear if it’s not valid). Finally, hit OK in all open windows to change owner and save changes.

Optional If you took ownership of a folder and also want to take ownership of the files and subfolders included in that folder as well, then in the Advanced Security Settings window check the Replace owner on subcontainers and objects option.

Способ 2. Использование утилит командной строки takeown и icacls

Примечание. Этот способ можно применить только для получения доступа к файлам или папкам, но не к разделам реестра.

Использование утилиты командной строки takeown для изменения владельца объектов

  1. Откройте командную строку (cmd) от имени администратораПримечание. Запуск от имени администратора в данном случае обязателен независимо от того, какими правами обладает учетная запись, в которой вы работаете в данный момент. Исключение может составлять только случай, когда вы работаете во встроенной учетной записи Администратор, которая по умолчанию отключена.
  2. Для назначения текущего пользователя владельцем файла выполните команду takeown /f «<полный путь к файлу>». Пример:
  3. Для назначения текущего пользователя владельцем папки и всего ее содержимого выполните команду takeown /f «<полный путь к папке>» /r /d y. Пример: Параметры, используемые в команде:
    • /f — шаблон для имени файла или папки, поддерживает подстановочные символы, например takeown /f %windir%\*.txt
    • /r — рекурсия: обрабатываются все файлы и подкаталоги в указанной папке
    • /d — применяется совместно с /r для подавления запроса получения доступа к каждому файлу или подкаталогу
    • y — применяется совместно с /d для подтверждения смены владельца каждого файла или подкаталога
  4. Для назначения группы Администраторы владельцем файла или папки используются такие же команды, но с параметром /a. Примеры:

    Полный синтаксис утилиты командной строки takeown вы можете получить командой takeown /?

Использование утилиты командной строки icacls для изменения разрешений объектов

  1. Для изменения разрешений файла используется команда icacls <полный путь к файлу> /grant <имя пользователя или группы>:F /c /l. Пример: Параметры, используемые в команде:
    • /grant — предоставление указанных разрешений
    • :F — предоставление полного доступа указанной учетной записи или группе
    • /c — продолжение обработки при файловых ошибках, ошибки выводятся на экран
    • /l — используется для обработки символьных ссылок, с этим параметром обрабатывается сама ссылка, а не ее целевой объект

    В примере группе Администраторы предоставлены разрешения Полный доступ.

  2. Для изменения разрешений папки используется команда icacls <полный путь к папке> /grant <имя пользователя или группы>:F /t /c /l /q. Пример: Параметры, используемые в команде:
    • /grant — предоставление указанных разрешений
    • :F — предоставление полного доступа указанной учетной записи или группе
    • /t — обрабатываются все файлы и подкаталоги в указанной папке
    • /c — продолжение обработки при файловых ошибках, ошибки выводятся на экран
    • /l — используется для обработки символьных ссылок, с этим параметром обрабатывается сама ссылка, а не ее целевой объект
    • /q — подавляются все сообщения об успешной обработке, сообщения об ошибках будут выводиться на экран

    Полный синтаксис утилиты командной строки takeown вы можете получить командой takeown /?

More Windows 10 resources

For more help articles, coverage, and answers on Windows 10, you can visit the following resources:

  • Windows 10 on Windows Central – All you need to know
  • Windows 10 help, tips, and tricks
  • Windows 10 forums on Windows Central

On A Roll

Surface Duo’s November system update is live for AT&T and unlocked

Surface Duo is getting its latest monthly update today. The November update is rolling out now for unlocked devices, with AT&T models expected to receive the update in the coming days.

Yes and no and yes

Is Xbox Series S more powerful than Xbox One X?

With the Xbox Series S «Lockhart» finally out in the open, many of you have been asking if it’s actually a definitive upgrade from the Xbox One X. The answer is complicated.

Hope you like the taste of inert Vex radiolaria…

How to get a secret Europa loot chest in Destiny 2: Beyond Light

Destiny 2: Beyond Light’s Europa location is full of secrets, including a special chest that you can only access by killing a specific enemy and then completing a puzzle. Here’s how you can get your hands on it.

Touchdown!

The NFL is back! Check out these must-have Windows apps for football fans

After months of waiting through a unique offseason and no preseason games, the NFL is finally back this week. With these Windows 10 apps, you won’t miss a snap of the NFL action.

Добавление команды смены владельца объектов на TrustedInstaller в контекстное меню проводника

Для изменения владельца файлов и папок на TrustedInstaller вы также можете добавить контекстное меню проводника.В предлагаемом варианте используется утилита командной строки icacls.

Готовые файлы реестра для добавления и удаления этого пункта меню: RestoreOwnerShip.zip

  • Для добавления пункта ‘Сменить владельца на TrustedInstaller’ в контекстное меню файлов и папок используйте следующий твик реестра:
  • Для удаления этого пункта меню используйте следующий твик реестра:

Обратите внимание, что для реализации любого пункта контекстного меню (для назначения владельцем текущего пользователя и для добавления пункта изменения владельца на TrustedInstaller) используются одинаковые разделы реестра и параметры. В связи с этим добавление обоих пунктов одновременно, в рассматриваемом варианте, невозможно.В следующей главе статьи мы рассмотрим варианты одновременного сосуществования этих двух пунктов контекстного меню

Добавление каскадного меню с пунктами смены владельца на текущего пользователя и на TrustedInstaller

В прошлых примерах мы использовали подраздел реестра runas, команды по умолчанию из которого запускаются с запросом повышения прав, то есть по сути выполняется запуск от имени администратора. Добавление каскадного меню с несколькими пунктами не дает такого преимущества, но запуск команд от имени администратора необходим для их выполнения.

Есть несколько путей решения этой проблемы, но использование сторонней утилиты для запуска команды с повышением привилегий все-таки является самым быстрым и простым в данном случае.

Таких утилит несколько, каждая из них обладает своими преимуществами, но большинство из них являются проектами энтузиастов и не поддерживаются и не дорабатываются уже довольно долгое время.

Исключение составляют NirCmd от известного разработчика полезных утилит Nir Sofer и PsExec Марка Руссиновича.

Я остановил свой выбор на NirCmd ввиду того, что уже использую эту утилиту для других задач, а PsExec все более узкоспециализированная утилита.

Весь процесс добавления пунктов меню и создания каскадных меню уже был рассмотрен на страницах блога.

  1. Cкачайте NirCmd x86 (для 32-разрядных систем) или NirCmd x64 (для 64-разрядных систем)
  2. Скопируйте файл nircmd.exe из архива в папку WindowsВы можете этого не делать, но в таком случае вам придется модифицировать предложенные файлы реестра и указать полный путь к nircmd.exe
  3. Скачайте архив Take_OwnerShip_Restore_Owner_Cascade.zip и извлеките reg-файлы из него в отдельную папку
  4. Запустите файл Add_Take_Ownership_Restore_Owner.reg для добавления меню

Для удаления этого меню используйте файл Remove_Take_Ownership_Restore_Owner.reg

How to add a ‘Take Ownership’ option to the right-click context menu

Important: Before you go through this guide, you should know that modifying the registry is risky, and it can cause irreversible damage to your installation if you don’t do it correctly. It’s recommended to make a full backup of your device before proceeding. Alternatively, you can create a system restore point, which will also help you to revert the changes you make using this guide.

To add a «Take Ownership» option to the right-click menu, do the following:

  1. Open Notepad.
  2. Copy and paste the following registry code into the text file:

    Windows Registry Editor Version 5.00
    
    
    @="Take Ownership"
    "NoWorkingDirectory"=""
    
    
    @="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
    "IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
    
    
    @="Take Ownership"
    "NoWorkingDirectory"=""
    
    
    @="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
    "IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
    
  3. Click File.
  4. Click Save As.
  5. Under «Save as type,» select All Files, and name your file anything you want with the .reg extension.
  6. Click Save.
  7. Double-click your new .reg file to merge into the registry.
  8. Click Yes.
  9. Click OK.

Reference

This policy setting determines which users can take ownership of any securable object in the device, including Active Directory objects, NTFS files and folders, printers, registry keys, services, processes, and threads.

Every object has an owner, whether the object resides in an NTFS volume or Active Directory database. The owner controls how permissions are set on the object and to whom permissions are granted.

By default, the owner is the person who or the process which created the object. Owners can always change permissions to objects, even when they are denied all access to the object.

Constant: SeTakeOwnershipPrivilege

Best practices

Assigning this user right can be a security risk. Because owners of objects have full control of them, only assign this user right to trusted users.

Default values

By default this setting is Administrators on domain controllers and on stand-alone servers.

The following table lists the actual and effective default policy values. Default values are also listed on the policy’s property page.

Server type or GPO Default value
Default Domain Policy Not defined
Default Domain Controller Policy Administrators
Stand-Alone Server Default Settings Administrators
Domain Controller Effective Default Settings Administrators
Member Server Effective Default Settings Administrators
Client Computer Effective Default Settings Administrators

Как установить службу TrustedInstaller владельцем файлов и папок

Владельцем многих системных файлов и папок является служба TrustedInstaller. В случае изменения владельца таких файлов или папок, система будет работать нестабильно, а многие задачи обслуживания системы перестанут работать.

В случае если вы изменили владельца системной папки для удаления или записи файлов, или файла для его замены или редактирования, после выполнения необходимых действий требуется назначить владельца по умолчанию, то есть TrustedInstaller.

Использование графического интерфейса Windows

  1. Выполните шаги инструкции изменения владельца файлов и папок
  2. Напечатайте в поле ‘Имена выбираемых объектов’ имя службы NT Service\TrustedInstaller и нажмите кнопку OK.

    Если вы назначаете TrustedInstaller владельцем папки, не рекомендуется устанавливать флажок на параметре ‘Заменить владельца подконтейнеров и объектов’. Дело в том, что при этом будет заменен владелец всех подкаталогов и файлов, содержащихся в папке, что также может привести к нестабильной работе системы из-за отсутствия разрешений у других пользователей. Например, по умолчанию владельцем папки \Windows\ является TrustedInstaller, но владельцем папки \Windows\SoftwareDistribution\ является Система.

Использование утилиты командной строки icacls

  1. Для изменения владельца файла или папки на TrustedInstaller откройте командную строку (cmd) от имени администратора
  2. Выполните следующую команду команду: В результате ее выполнения владельцем папки C:\System Volume Information будет установлен TrustedInstaller.

Command-line help:

To know the complete usage information for Takeown.exe and ICacls.exe, run these commands from a Command Prompt window.

takeown /?
icacls /?

Easier Methods for Taking Ownership

Command Script

To further simplify the process of taking ownership, Tim Sneath of Microsoft provides a .CMD file (Windows Command Script) which takes ownership and assigns Full Control Permissions to Administrators for the directory which is passed as a parameter to the CMD file. For more information, read Tim’s post Secret #11: Deleting the Undeletable.

Add «Take Ownership» command to the right-click menu

This again uses the special runas verb in Windows Vista and higher, which I’ve covered earlier (REF RunAs).

via WinMatrix.com

takeown_context.regMergeYesTake OwnershipSHIFT

^^ You can read more about the tweak in article Take Ownership of File or Folder via Right-click Context Menu in Windows.

Revert back the Ownership to TrustedInstaller

Sometimes, to fix an issue you may need to alter a data file such as XML or a registry key that’s owned by TrustedInstaller. For that, you need to take ownership of the file, folder or the registry key, alter the files or settings.

After modifying the files or settings, you need to revert the ownership back to TrustedInstaller, if TrustedInstaller was the previous or original owner. To set the ownership back to TrustedInstaller, use these steps:

The Windows Modules Installer service or TrustedInstaller enables installation, modification, and removal of Windows updates and optional components. By default, TrustedInstaller is also the owner of many critical registry keys and system files.

1. Right-click on a file or registry key, and click Permissions.

2. Click Advanced to open the Advanced Security Settings dialog.

3. Near “Owner:”, click Change.

4. In the Select User or Group dialog, type “” and press ENTER.

5. Click Apply, OK.

This changes the ownership of the object (file, folder or registry key) to TrustedInstaller or Windows Modules Installer.

Using Command-line to set TrustedInstaller as the owner of a file

From an elevated Command Prompt window, use the following command-line syntax:

icacls "path\filename" /setowner "NT Service\TrustedInstaller"

Example:

icacls "C:\Windows\PolicyDefinitions\WindowsStore.admx" /setowner "NT Service\TrustedInstaller"

TrustedInstaller now owns the file WindowsStore.admx. That’s it!

One small request: If you liked this post, please share this?

One «tiny» share from you would seriously help a lot with the growth of this blog.

Some great suggestions:

Pin it!
Share it to your favorite blog + Facebook, Reddit
Tweet it!

So thank you so much for your support, my reader. It won’t take more than 10 seconds of your time. The share buttons are right below. 🙂

About the author

Ramesh Srinivasan founded Winhelponline.com back in 2005. He is passionate about Microsoft technologies and he has been a Microsoft Most Valuable Professional (MVP) for 10 consecutive years from 2003 to 2012.

Способ 2. Использование утилит командной строки takeown и icacls

Примечание. Этот способ можно применить только для получения доступа к файлам или папкам, но не к разделам реестра.

Использование утилиты командной строки takeown для изменения владельца объектов

  1. Откройте командную строку (cmd) от имени администратораПримечание. Запуск от имени администратора в данном случае обязателен независимо от того, какими правами обладает учетная запись, в которой вы работаете в данный момент. Исключение может составлять только случай, когда вы работаете во встроенной учетной записи Администратор, которая по умолчанию отключена.
  2. Для назначения текущего пользователя владельцем файла выполните команду takeown /f «<полный путь к файлу>». Пример:
  3. Для назначения текущего пользователя владельцем папки и всего ее содержимого выполните команду takeown /f «<полный путь к папке>» /r /d y. Пример: Параметры, используемые в команде:
    • /f — шаблон для имени файла или папки, поддерживает подстановочные символы, например takeown /f %windir%\*.txt
    • /r — рекурсия: обрабатываются все файлы и подкаталоги в указанной папке
    • /d — применяется совместно с /r для подавления запроса получения доступа к каждому файлу или подкаталогу
    • y — применяется совместно с /d для подтверждения смены владельца каждого файла или подкаталога
  4. Для назначения группы Администраторы владельцем файла или папки используются такие же команды, но с параметром /a. Примеры:

    Полный синтаксис утилиты командной строки takeown вы можете получить командой takeown /?

Использование утилиты командной строки icacls для изменения разрешений объектов

  1. Для изменения разрешений файла используется команда icacls <полный путь к файлу> /grant <имя пользователя или группы>:F /c /l. Пример: Параметры, используемые в команде:
    • /grant — предоставление указанных разрешений
    • :F — предоставление полного доступа указанной учетной записи или группе
    • /c — продолжение обработки при файловых ошибках, ошибки выводятся на экран
    • /l — используется для обработки символьных ссылок, с этим параметром обрабатывается сама ссылка, а не ее целевой объект

    В примере группе Администраторы предоставлены разрешения Полный доступ.

  2. Для изменения разрешений папки используется команда icacls <полный путь к папке> /grant <имя пользователя или группы>:F /t /c /l /q. Пример: Параметры, используемые в команде:
    • /grant — предоставление указанных разрешений
    • :F — предоставление полного доступа указанной учетной записи или группе
    • /t — обрабатываются все файлы и подкаталоги в указанной папке
    • /c — продолжение обработки при файловых ошибках, ошибки выводятся на экран
    • /l — используется для обработки символьных ссылок, с этим параметром обрабатывается сама ссылка, а не ее целевой объект
    • /q — подавляются все сообщения об успешной обработке, сообщения об ошибках будут выводиться на экран

    Полный синтаксис утилиты командной строки takeown вы можете получить командой takeown /?

СинтаксисSyntax

ПараметрыParameters

ПараметрParameter ОписаниеDescription
ключ /s Указывает имя или IP-адрес удаленного компьютера (не используйте символы обратной косой черты).Specifies the name or IP address of a remote computer (do not use backslashes). Значением по умолчанию является локальный компьютер.The default value is the local computer. Этот параметр применяется ко всем файлам и папкам, указанным в команде.This parameter applies to all of the files and folders specified in the command.
/u /u Запускает скрипт с разрешениями указанной учетной записи пользователя.Runs the script with the permissions of the specified user account. По умолчанию используется значение системные разрешения.The default value is system permissions.
/p /p Указывает пароль учетной записи пользователя, указанной в параметре /u .Specifies the password of the user account that is specified in the /u parameter.
/f /f Указывает имя файла или шаблон имени каталога.Specifies the file name or directory name pattern. При указании шаблона можно использовать подстановочный знак .You can use the wildcard character when specifying the pattern. Также можно использовать синтаксис .You can also use the syntax .
/a/a Предоставляет права владения группе администраторов вместо текущего пользователя.Gives ownership to the Administrators group instead of the current user. Если этот параметр не указан, владение файлом назначается пользователю, который в данный момент вошел в систему компьютера.If you don’t specify this option, file ownership is given to the user who is currently logged on to the computer.
/r/r Выполняет рекурсивную операцию для всех файлов в указанном каталоге и подкаталогах.Performs a recursive operation on all files in the specified directory and subdirectories.
/d /d Подавляет запрос подтверждения, отображаемый, когда текущий пользователь не имеет разрешения на список папок в указанном каталоге, а использует указанное значение по умолчанию.Suppresses the confirmation prompt that is displayed when the current user does not have the List Folder permission on a specified directory, and instead uses the specified default value. Допустимые значения параметра /d :Valid values for the /d option are:
  • Y — смена владельца каталога.Y — Take ownership of the directory.
  • N — пропустить каталог.N — Skip the directory.

    ПРИМЕЧАНИЕ.NOTEЭтот параметр следует использовать вместе с параметром /r .You must use this option in conjunction with the /r option.

/?/? Отображение справки в командной строке.Displays help at the command prompt.

Policy management

This section describes features, tools, and guidance to help you manage this policy.

A restart of the device is not required for this policy setting to be effective.

Any change to the user rights assignment for an account becomes effective the next time the owner of the account logs on.

Ownership can be taken by:

  • An administrator. By default, the Administrators group is given the Take ownership of files or other objects user right.
  • Anyone or any group who has the Take ownership user right on the object.
  • A user who has the Restore files and directories user right.

Ownership can be transferred in the following ways:

  • The current owner can grant the Take ownership user right to another user if that user is a member of a group defined in the current owner’s access token. The user must take ownership to complete the transfer.
  • An administrator can take ownership.
  • A user who has the Restore files and directories user right can double-click Other users and groups and choose any user or group to assign ownership to.

Group Policy

Settings are applied in the following order through a Group Policy Object (GPO), which will overwrite settings on the local computer at the next Group Policy update:

  1. Local policy settings
  2. Site policy settings
  3. Domain policy settings
  4. OU policy settings

When a local setting is greyed out, it indicates that a GPO currently controls that setting.

Security considerations

This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Vulnerability

Any users with the Take ownership of files or other objects user right can take control of any object, regardless of the permissions on that object, and then make any changes that they want to make to that object. Such changes could result in exposure of data, corruption of data, or a
denial-of-service condition.

Potential impact

None. Restricting the Take ownership of files or other objects user right to the local Administrators group is the default configuration.

Gaining Full Access to a File/Folder Manually

Step 1: Go to Properties of the File/Folder

Open File Explorer and locate the file or folder you want to take ownership of. Then right-click on it and select Properties.

In the Properties window, navigate to the Security tab and click the Advanced button.

In the Advanced Security Settings window, click the Add button located at the bottom.

In the Permission Entry window click on the Select a principal link located at the top to open a new window.

Step 4: Select New Principal

Enter the name of the account you want to get full access (yours, in this case) in the textbox. Type the name of the account if you want, but it’s easier by doing the following: click the Advanced button, and in the new window that opens click Find to display a list of all available accounts. Then select the account of your choice from the list and click OK to enter it to the textbox.

When the new account is entered in the textbox, you can click Check Names to see if the name you entered is valid or not (an error message will appear if it’s not valid). Then click OK to add the account as a principal.

Step 5: Set Permissions to Full Control

In the Permission Entry window check the Full control box and click OK in all open windows to save changes. That’s it, you now have full access to the file/folder.

Optional If you took ownership of a folder and also want to take ownership of the files and subfolders included in that folder as well, then in the Security Settings window check the «Replace all existing inheritable permissions on all descendants with inheritable permissions from this object» option.

Как установить службу TrustedInstaller владельцем файлов и папок

Владельцем многих системных файлов и папок является служба TrustedInstaller. В случае изменения владельца таких файлов или папок, система будет работать нестабильно, а многие задачи обслуживания системы перестанут работать.

В случае если вы изменили владельца системной папки для удаления или записи файлов, или файла для его замены или редактирования, после выполнения необходимых действий требуется назначить владельца по умолчанию, то есть TrustedInstaller.

Использование графического интерфейса Windows

  1. Выполните шаги инструкции изменения владельца файлов и папок
  2. Напечатайте в поле ‘Имена выбираемых объектов’ имя службы NT Service\TrustedInstaller и нажмите кнопку OK.

    Если вы назначаете TrustedInstaller владельцем папки, не рекомендуется устанавливать флажок на параметре ‘Заменить владельца подконтейнеров и объектов’. Дело в том, что при этом будет заменен владелец всех подкаталогов и файлов, содержащихся в папке, что также может привести к нестабильной работе системы из-за отсутствия разрешений у других пользователей. Например, по умолчанию владельцем папки \Windows\ является TrustedInstaller, но владельцем папки \Windows\SoftwareDistribution\ является Система.

Использование утилиты командной строки icacls

  1. Для изменения владельца файла или папки на TrustedInstaller откройте командную строку (cmd) от имени администратора
  2. Выполните следующую команду команду: В результате ее выполнения владельцем папки C:\System Volume Information будет установлен TrustedInstaller.
Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий