Здравствуйте!

Этот вопрос, может быть, неоднократно задавался, но... можно еще раз и в других формулировках. :)

Задача важная: запретить всем, кому нельзя менять владельца файла. Есть папка, к которой имеет полный доступ группа, в которую входит ряд пользователей. Администратор в эту группу не входит. Как запретить администратору копаться в папке? Звучит, может быть, глупо, но тем не менее. Я хочу, чтобы полные права, в том числе на смену владельца файла, принадлежали исключительно членам вышеуказанной группы. И не кому бы то ни было еще. Ни администратору, ни system, а только группе. Групповые политики, разумеется, не работают. Даже если разрешить менять владельца одной лишь system, админ плевал на system - он царь и Б-г винды. Полумеры вроде "отключи вкладку" не подходят, ввиду того, что боремся с Администратором. Так как же выйти из этого положения в условиях рабочей группы?

боремся с Администратором »
Сизифов труд. Вал логику работы групп менять нужно, а администратор обойдет любые ограничения, так или иначе.

Ну, на самом деле смысл то очень простой. В задачи администрирования не входит анализ рабочей информации. И то, что администратору никак нельзя это ограничить - это просто смешно. Получается вся система прав ntfs на дурачка. Они как бы есть, но толку от них нет никакого, что есть они, что нет. Но больше всего меня интересует почему настройка локальной политики безопасности не работает. Казалось бы, такая простая функция. Разрешить смену владельца только самому владельцу. Стоит ли задать вопрос о неработоспособности этой функции на форуме microsoft?

Права как раз являются границей защищённой зоны (погуглите понятие), а вы все с ног на голову ставите. Задавайте вопрос где угодно, грамотный ответ вам уже дали.

cvfdfgj, то, что у Вас возникла идефикс — никак не относится к модели безопасности, реализованной в файловой системе NTFS и ОС NT.

Vadikan, ну почему же с ног на голову? Вы внимательней прочтите ;) Все же очень просто. Есть пользователь, который создал объект. Он не хочет, чтобы любой другой пользователь имел доступ к этому объекту. Вы считаете это ересью? Что нам говорит файловая система на эту тему? "Никто не будет иметь доступ к твоему объекту, но если это администратор, то он будет иметь доступ к твоему объекту". Вы правы в одном. Грамотный ответ мне был дан. И он звучит так:

администратор обойдет любые ограничения »

Это говорит о том, что злоумышленник, получивший тем или иным образом доступ к системе, обладая правами администратора, получит доступ к любым данным. Следовательно, защитить информацию на уровне файловой системы невозможно. Так ли это?

Есть пользователь, который создал объект. Он не хочет, чтобы любой другой пользователь имел доступ к этому объекту. »
То этот пользователь не страдает фантазиями на тему, а использует шифрование. Особо страждущие используют TrueCrypt и т.п.

Грамотный ответ мне был дан. И он звучит так: »
Именно.

Это говорит о том, что злоумышленник, получивший тем или иным образом доступ к системе, обладая правами администратора, получит доступ к любым данным. »
Закажите внешний аудит безопасности, и Вы увидите, что Ваши сомнения насчёт лояльности администратора — наименьшая головная боль.

и Вы увидите, что Ваши сомнения насчёт лояльности администратора — наименьшая головная боль. »

Да, я понимаю. Меня это просто обескураживает. Локальная политика безопасности не выполняет своей задачи. Честный администратор убирает себя из пункта "Смена владельцев файлов и других объектов", разрешает только владельцу менять владельца. Но это не работает. Админ все равно может менять владельца. В голове не укладывается. Зачем тогда вообще этот пункт нужен, если он и не должен работать?

Это говорит о том, что злоумышленник, получивший тем или иным образом доступ к системе, обладая правами администратора, получит доступ к любым данным. Следовательно, защитить информацию на уровне файловой системы невозможно. »
См. непреложный закон безопасности номер 6 https://technet.microsoft.com/ru-ru/library/cc722487.aspx
Остальные тоже рекомендую настоятельно.

Vadikan, это известно) Все же, если бы имелись штатные возможности защитить систему от самого администратора, то такие меры были бы во много раз результативнее. К примеру, настраиваешь групповые политики, первый и единственный раз. Настроил, принял и все - вносить изменения нельзя. Никому. Ну, а если надо, то придумать какой-нибудь сложный механизм. Ну, это мои фантазии на тему безопасности. На уровне предприятия еще можно что-то изобразить, а вот на уровне маленькой конторки и без hardware уже, получается, почти невозможно. Не представляю ситуации, когда фирма со штатом в 50 человек будет выделять деньги на секурность. Однако, это не говорит о том, что это не нужно в масштабах такой маленькой организации.

cvfdfgj, проблема в том, что Вы, смешивая роли пользователя и администратора, пытаетесь низвести последнего до уровня первого. Но, по известному софизму, «может ли бог создать такой камень…», администратор — может. И создать, и потом поднять. И в этом-то и состоят его должностные обязанности.

Теперь касательно Вашего «хочу». В Вашей трактовке подразумевается, что администратору доверия нет, посему должна быть возможность «запретить ему доступ» для данных некоего пользователя. Но Ваша логика опровергается простым вопросом — а откуда, в Вашей же идеологеме, вдруг возникает доверие к этому некоему пользователю?!

защитить систему от самого администратора »
Бухгалтерию — от главного бухгалтера, кадры — от кадровика, и предприятие в целом — от генерального директора. Запретим главному инженеру на пушечный выстрел подходить к технике, а главному агроному — к полям.

Настроил, принял »
…уволил ;).

В Вашей трактовке подразумевается, что администратору доверия нет »

Не совсем так. Подразумевается, что никакой субъект не может обладать безграничным доверием и абсолютной властью. Президент же не обладает абсолютной властью и безграничным доверием. Его ограничивает политическая идея (право) и ее материальное выражение (закон). Представьте, что бы было, если бы президент каждый раз по своему усмотрению и никого не спрашивая изменял конституцию и, к примеру, наименование государства. Все ваши паспорта в миг превратились бы в недействительные, а вы из граждан - в иностранных граждан со всеми вытекающими последствиями.

Но Ваша логика »

Проста как Божий день. Есть Александр Сергеевич Пушкин, который написал Евгения Онегина. Он является автором (владельцем) этого произведения. Как вы смотрите на то, чтобы, не спрашивая у Александра Сергеевича разрешения, внести по вкусу изменения в оригинальный текст, выписав себе порцию авторского права (сделав себя владельцем ЕГО произведения)? Бред, правда? Но система прав NTFS, в угоду "миру, который еще вот-вот и развалится", наделяет одного субъекта исключительными правами. Сразу и на всё. Чтобы не запутаться ;) Ей не важно, кто автор. Для нее нет политики безопасности (конституции, закона об авторских правах). Ей важна простота. Ей неизвестно, что такое конфиденциальность. Пишите, Александр Сергеевич, а я, будучи вашим Администратором, всегда смогу получить полный доступ к вашим трудам, а еще я их себе присвою :)

И в этом-то и состоят его должностные обязанности. »

Подождите, подождите... Администратор - не Бог. У нас светское общество и демократия :) Администратор призван следить за ПОРЯДКОМ. Сначала порядок устанавливается, а потом принимаются меры по организации соблюдения установленных правил. Должен быть ряд незыблемых правил, которые отменять нельзя. Или должна быть строгая процедура. Если администратор простым несогласованным действием может отменить любое принятое им же правило, то, в таком случае, пользы от него, как от президента, который сегодня объявляет тебе амнистию, а завтра - расстреливает без суда и следствия. Это абсолютная власть. Это безыдейность, товарищи! А без идеи, без принципа не построить ни одну систему. У диспетчера памяти есть код, по которому тот работает. Администратор не логический объект, а физический. У таких тоже должен быть КОД! Но его нет. Это и бесит. Я, конечно, далек от программирования. Но, постойте, разве оно не решает задачи из жизни? Чем думали в мс, когда организовывали роль администратора таким образом? Каким местом? Это все можно прекрасно реализовать. Должны быть сценарии использования ОС для опытных пользователей, которым нет необходимости откатывать базисный функционал к дефолту. Должна быть стандартизация, в конце концов!

Бухгалтерию — от главного бухгалтера, кадры — от кадровика, и предприятие в целом — от генерального директора. »

Secured. :) Законом! Я же не могу сделать стоимость актива меньше, чем в него было фактически вложено. Я же не могу забрать мебель из кабинета ген. директора себе домой. Пусть я и сам ген. директор. Есть правила. У Администратора Windows правил нет. Он может и деньги с лицевого счета переводить безо всякого основания и забрать мягкий стул руководителя к себе домой. Сказать: "Это МОЙ стул! Я, Я, Я - Владелец".

это известно »
Вопрос свидетельствует об обратном.

Ну, это мои фантазии на тему безопасности »
Аминь