“用户”组的成员与Windows域上的任何组的成员之间有什么区别? 我搜查了一下,根本找不到任何相关的东西。
在AD中根本不是任何一个群体的成员,都没有这样的东西。
用户[SID S-1-5-32-545,本地域]
该组的成员可以执行最常见的任务,例如运行应用程序,使用本地和networking打印机以及locking服务器。 默认情况下,Domain Users组,Authenticated Users和Interactive是该组的成员。 因此,在该域中创build的任何用户帐户都将成为该组的成员。
域用户[SID S-1-5-21-Domain-513,Global]
该组包含所有域用户。 默认情况下,在该域中创build的任何用户帐户都将自动成为该组的成员。 该组可以用来表示域中的所有用户。 例如,如果您希望所有域用户都可以访问打印机,则可以将打印机的权限分配给该组(或将Domain Users组添加到本地组,在打印服务器上具有打印机权限) 。
这几乎是完整的列表: http : //support.microsoft.com/kb/243330/en-us
至于本地用户组,这是我在一个非域joinServer 2012机器上做的testing:
C:\Users\Administrator>net user Andy Pass.1234 /add C:\Users\Administrator>runas /user:Andy Cmd.exe 新的Cmd窗口出现,我现在是安迪。
C:\Users\Andy>whoami /groups ... Everyone BUILTIN\Users NT AUTHORITY\INTERACTIVE ...
杀死那个窗口,回到我的pipe理员窗口。
C:\Users\Administrator>net localgroup users Andy /delete The command completed successfully. C:\Users\Administrator>runas /user:Andy cmd
回到安迪:
C:\Users\Andy>whoami /groups ... Everyone BUILTIN\Users (Still there) NT AUTHORITY\INTERACTIVE ...
现在回到pipe理员。
C:\Users\Administrator>net localgroup users andy /delete System error 1377 has occurred. The specified account name is not a member of the group.
有趣!
C:\Users\Administrator>net localgroup Users Members ------- NT AUTHORITY\Authenticated Users NT AUTHORITY\INTERACTIVE
但没有安迪。
我仍然可以像Andy一样启动stream程,但是如果我注销机器,则无法以Andy身份login。 我甚至没有把Andy的账号作为一个可能的帐号login到login屏幕。 只有pipe理员。
所以我们来仔细看看本地用户组:
PS C:\Scripts> Get-WmiObject Win32_Group | ? { $_.Name -EQ 'Users' } | Select * Status : OK Name : Users Caption : SRV01\Users Description : Users are prevented from making accidental or intentional system-wide changes and can run most applications Domain : SRV01 InstallDate : LocalAccount : True SID : S-1-5-32-545 SIDType : 4 Scope : System.Management.ManagementScope ....
SIDType为4? 这意味着它是一个别名SID。 (SidTypeAlias)