如何授予某人“取得所有权”的特权?

我有一台Windows 2008 R2机器。 我的机器本身不是域控制器,而是join到域中。

在本地安全策略中,在安全设置>本地策略>用户权限分配下,授予用户DOMAIN \ jane.doe具有“取得文件或其他对象的所有权”权限。

我重新启动机器并login为DOMAIN \ jane.doe。 打开命令提示符并执行/ takeown /fc:\test\testfile.txt 。 它给了我“访问被拒绝”的错误

该文件由DOMAIN \ administrator创build。 因此,所有者被设置为pipe理员组。 确认没有其他GPO应用于机器。

出于testing目的,我从文件中取出所有的DACL,然后授予DOMAIN \ jane.doe通过DACL拥有“取得所有权”权限。 然后,以DOMAIN \ jane.doelogin并再次运行takeown /fc:\test\testfile.txt 。 如果通过DACL将“获取所有权”权限授予DOMAIN \ jane.doe,我可以成功取得所有权。

我的问题是为什么用户DOMAIN \ jane.doe无法获得文件的所有权,即使我授予她的特权? 这是因为takeown.exe不尊重Windows特权,但只有DACL? 我使用Windows资源pipe理器的安全属性页面进行了类似的testing。 DOMAIN \ jane.doe即使被授予通过DACL的“取得所有权”权限被授予拥有“取得文件或其他对象的所有权”权限的权限。

我只是找出答案。 这是因为我有UAC打开。 如果我closuresUAC,takeown.exe和explorer.exe安全属性按预期工作。 DOMAIN \ jane.doe可以按照预期获得所有权。