擁有

說明

來源安全主體可能建立了目標物件，因此它是宣告的目標物件所有者。所有者擁有隱含的權限，即「讀取控制」和「寫入 DACL」，所以他們可以為自己或其他人取得額外的權限，並最終入侵目標物件。

利用

入侵來源安全主體的攻擊者只需使用本機 Windows 命令 (例如「dsacls」)、PowerShell (例如「Set-ACL」)、管理工具 (例如「Active Directory 使用者和電腦」) 或專用的駭客工具 (例如 PowerSploit) 編輯目標物件的安全性描述元。

建立物件時，如果是低權限使用者 (例如，標準服務台技術人員) 建立並擁有物件 ，然後將此物件提升到更高的權限 (例如，管理員)，則存在特權提升風險。原來的所有者仍然存在，並且現在可以入侵具有新權限的物件，以利用它的權限。

修復

如果來源安全主體不是目標物件的合法所有者，則必須予以變更。

如要變更目標物件的所有者：

1. 在「Active Directory 使用者和電腦」中，右鍵按一下「屬性」>「安全性」>「進階」。

2. 在頂端的「所有者」行中，按一下「更改」。

大多數敏感 Active Directory 物件預設使用的安全目標物件所有者為：

• 網域分割區中的物件：「管理員」或「網域管理員」

• 設定分割區中的物件：「企業管理員」

• 架構分割區中的物件：「架構管理員」

另請參閱

• 新增金鑰憑證

• 新增成員

• 允許行動

• 允許委派

• 屬於 GPO

• DCSync

• 授權允許行動

• 有 SID 歷程記錄

• 隱含接管

• 繼承 GPO

• 連結的 GPO

• 成員隸屬於

• 重設密碼

• RODC 管理

• 寫入 DACL

• 寫入所有者