寫入所有者

說明

來源安全主體擁有變更目標物件所有者的權限，包括將自己指派為所有者的權限。所有者擁有隱含的權限，即「讀取控制」和「寫入 DACL」，所以他們可以為自己或其他人取得額外的權限，並最終入侵目標物件。

如需詳細資訊，請參閱 擁有 關係。

刺探利用

入侵來源安全主體的攻擊者可使用本機 Windows 命令 (例如「dsacls /takeownership」)、PowerShell (例如「Set-ACL」)、管理工具 (例如「Active Directory 使用者和電腦」) 或專用的駭客工具 (如 PowerSploit) 將自己指派為目標所有者。

然後，他們可以使用類似的方法編輯目標物件的安全性描述元。

修復

如果來源安全主體不具備變更目標物件所有者的合法權限，則您必須移除此權限。

如要修改目標物件的安全性描述元：

1. 在「Active Directory 使用者和電腦」中，用右鍵按一下此物件，然後選取「屬性」>「安全性」>「進階」。

2. 移除來源安全主體的「修改所有者」權限。

注意：物件可從 Active Directory 樹系中較高層級的物件繼承這一權限。

另請參閱

• 新增金鑰憑證

• 新增成員

• 允許行動

• 允許委派

• 屬於 GPO

• DCSync

• 授權允許行動

• 有 SID 歷程記錄

• 隱含接管

• 繼承 GPO

• 連結的 GPO

• 成員隸屬於

• 擁有

• 重設密碼

• RODC 管理

• 寫入 DACL