(常见)问题:
通常有(共同的)答案:
不是所有的Windows都有公认的安全标识符的内置用户和组帐户吗?
这些内置帐户不能用于这个?
编辑1(稍后添加)域上下文:
假设我想从工作组计算机共享文件。
要么
(1)到工作组计算机。
或者
(2)join域计算机。
(1)和(2)之间是否有区别?
如果没有区别,那么最好避免将讨论/考虑偏离到域计算机。
Edit2(稍后添加)关于安全:
工作组计算机缺乏安全性。
添加帐户或不添加。
我没有看到添加帐户的安全增加的任何变化。
所以,问题是:为什么要添加帐户?
Edit3(更多问题),8/4/2010:
好吧,我根本没有评论空间。
嗨,laurent-rpnet!
我不太明白“域中的所有机器只有一个域帐户”。
问题是关于在工作组计算机上共享文件,并从工作组计算机(也就是非join到域的计算机,只要他们在工作组中不能成为域的一部分)访问它们。
1)是否有可能与域(或LDAP或ADAM)帐户共享工作组(即未join到域)计算机中的文件?
2)是否有可能从工作组(非join域)计算机访问与域帐户权限文件共享(再次使用域帐户)?
我早些时候在其他论坛上提过,我理解这种可能性是消极/不可能的
Edit4,viii / 6/2010:
事实上,我不能给出超过1个答案,我真的更关心自己的理解+实用的方便,而不是向世界表明正确或错误(答案和态度)。 这应该是简单的系统pipe理员,有权访问资源(包括域pipe理),但我是开发人员,即contaxt是工作组(为了完全pipe理)+访问域(我没有访问pipe理)。
嗨,laurent-rpnet!
我也理解你的答案2)我的Edit3作为从工作组计算机到域帐户的文件/文件夹共享的可能性,通过在工作组计算机上创build用户名+密码与域用户重合的用户。
正确?
为评论1和评论2添加第二个答案:
1)是的,是有区别的,不同的是讨论的重点。
如果您在工作组计算机上共享文件,则他们具有对帐户或组的访问权限。
如果您没有域,则这些帐户是本地计算机,因此即使您使用组,每个用户也需要共享计算机上的帐户,但只能在该组中添加本地帐户。
如果您拥有域,则帐户和组对于域是全局的,因此您不需要在本地计算机上共享文件的帐户,对域中的所有计算机只有一个域帐户。 区别在于域是一个中央authentication系统(所有机器上的所有用户都有一台服务器),而工作组是一个本地authentication系统(每台机器都有自己的用户,可以是不同的)。 当你想访问一个Workgroup机器时,你的计算机会发送它的凭据(你使用的login名/密码),并且必须和远程机器上现有的一样,才能使你的连接被接受。 在一个域上,它们总是和“由服务器检查”一样,而不是本地机器。
2)没有什么能够阻止你在所有计算机和所有用户上使用相同的login,但是你不能使用没有账号的窗口(或者我知道的任何现代操作系统)。 当你安装它,它已经有一个帐户(这是一个pipe理员帐户)。 如果你只有一个用户而没有密码,windows不会要求用户/密码,而是单独进入,但是它将使用该帐户。
有了帐户,你可以有安全性,如果你使用它像使用户的文件私人,使用有限的帐户,而不是由pipe理员帐户使用的Windows(与pipe理员,病毒或坏的用户可以访问整个计算机和networking,如果你有相同的所有机器上的帐户),每个帐户都有自己的Outlookconfiguration,而不是同一个收件箱中的所有用户。
您也可以使用Windows帐户访问远程软件,例如数据库服务器,而无需用户login。 如果您拥有相同的帐户,则所有人都拥有相同的数据库权限。
最后但并非最不重要的,以防止访问者使用该机器作为pipe理员。
这些是我写作时想到的原因,但我相信还有更多。
编辑3从OP的评论(缺乏空间… :))
“域中所有机器只有一个域帐户”是您的评论的答案的一部分1询问是否将文件夹共享到工作组或域计算机之间存在差异,所以如果不是,我们可以将域名退出讨论。
现在,编辑3:对于1):从始至终的通用答案(如往常一样)是,如果您在工作组计算机上使用与LDAP帐户相同的login名/密码创build帐户。 我每天都从一台linux机器上使用这个linux机器上的openLDAP来访问在XP Home独立机器上共享的文件和打印机(这是XP Home不能进入域的唯一方法)。
2):情况是不可能的,你不能在未join域的机器上使用域帐户。 你可以做的是,再次,在工作组机器上有一个相同的login名/密码作为一个域帐户的帐户,是的,如果您已经“复制”的域帐户,您将访问具有域组权限的域共享上的文件。在你机器上是在正确的组,即使你的机器不在域上。 几年前,我有这种情况,因为我有一个笔记本,并不想每次login时更改configuration,所以我有我的域名帐户在笔记本电脑上login相同的login,并使用它与一个正常的login(无域)在networking上进行连接,并且与连接到域的桌面完全一样。
我所说的是,普遍的答案是完全正确的,如果你想build立一个“真实”的networking(例如像互联网连接共享那样简单的networking),你只有三种可能:
假设你在“workgroup”的所有机器上用相同的内置用户login(比如说“Administrator”),你可以使用内置的“Administrator”用户,“Administrators”组和其他内置组,以透明地向“工作组”中的远程计算机进行身份validation。 如果您使用不同的密码,身份validation将不会透明 – 访问远程计算机时将提示用户input凭据。
仅使用内置用户和组的问题是没有内置的“标准用户”帐户(“访客”也是特殊的),使用“pipe理员”通常是次优的。 因此,您最终需要立即创build其他不属于内置用户的帐户。
编辑:
当多个用户共享一台个人电脑时,在工作组PC上使用多个用户帐户是很好的,因为他们得到不同的用户configuration文件。 它与安全无关,但很好。
如果您将用户帐户添加到作为“pipe理员”组成员的工作组PC,则使用单个用户帐户是完全没有必要的。
如果你没有在对等基础上做任何共享资源,那么在工作组PC上创build个人用户帐户可能也是不必要的。
另一方面,如果限制用户启动另一个操作系统的能力,在物理上反汇编计算机,并在工作组PC上给予他们非pipe理员帐户,那么从理论上讲,您可以在对等 – 同辈networking。 存储在工作组PC的硬盘驱动器上的文件的NTFS ACL将被应用,并且如果用户不能以某种方式颠覆可信计算机基础,那么实际上就会有相当体面的点对点安全性(虽然以繁琐的手动凭据同步问题为代价)。
众所周知的安全标识符不是用户,而是组,不能作为一个组login。 正如Evan Anderson所说,所有窗口中唯一的内置用户是Administrator和Guest。 避免在所有机器上创build相同的用户的唯一方法是使用pipe理员或build立一个域,但你将需要一个Windows服务器(或Linux /桑巴/ LDAD机)和其他Windows版本不能是家庭版不要连接DOMAIN)。