嗨想知道这两者之间的差异,当我们设置对象(文件夹)的权限。
我要说的是Sam说了一个稍微不同的方式,因为我认为它可能会更清晰,然后我会给你一些有关权限考虑的“bloopers”。
“已authentication用户”不是可以更改成员资格的组。 相反,通过服务器知晓的任何方式进行身份validation的任何用户(其“本地用户和组”数据库,服务器join的域中的域控制器,受域名信任的域中的域控制器服务器连接到,等),用户有“身份validation用户”添加到他们的安全令牌。
通常,“访客”帐户在服务器上未启用,因此所有用户都是“已validation用户”的成员。 如果要在服务器上(或服务器join的域中,或服务器join的域所信任的域中)启用“访客”帐户,则可以使用“访客”访问该服务器,证书(即任何不authentication的证书)。 如果您要检查通过这种访问创build的安全令牌,您会发现它不包含“Authenticated Users”。 (最简单的方法是临时启用“Guest”帐户,并使用临时共享的权限进行演示,很难看到客户连接为其创build的安全令牌,但很容易观察到这种行为。 )
“用户”是一个普通的旧组,您可以添加和删除成员。 它恰好是一个“众所周知的安全标识符”组,也就是说,在安装操作系统时创build的组,并且具有已知的相对安全标识符。 想象一下,它是操作系统中的“股票”组。 默认情况下,添加到服务器“本地用户和组”的用户将成为“用户”的成员,但是如果您愿意,可以从该组中删除这些用户。
当您将服务器join到域中时,“DOMAIN \ Domain Users”组将嵌套到服务器的“用户”组中,从而为授予“用户”的“DOMAIN \ Domain Users”的成员授予相同的权限。
在许多情况下,如果您认为应该将其应用于“组织中的每个人”,则需要考虑是否意味着“每个将由此服务器的”本地用户和组“进行身份validation的人员,此域或任何受信任的域中“或”此服务器的“本地用户和组”中的任何人或此域中的任何人“。 这是您的“已validation用户”和“用户”/“域\域用户”之间的决定点。
我看到一个组织(医院)必须在他们所有的文件服务器计算机上启动大规模的权限重新devise,因为他们最初在各处都使用了“Users”和“DOMAIN \ Domain Users”权限,之后又join了一个更大的“医院协会“,并与其他医院的领域build立了信任关系。 “TRUSTED_DOMAIN \ Domain Users”组中的任何人都无法访问“Users”或“DOMAIN \ Domain Users”可用的资源,因为没有将“TRUSTEDDOMAIN”组自动嵌套到“DOMAIN”组中,您也不能嵌套组或从其他域的用户到“域\域用户”(即它是一个全球本地安全组)。 如果第一家医院在使用“用户”或“域\域用户”的情况下使用“身份validation用户”,他们在添加信任关系时不会有任何问题。
我见过的另一个常见问题是在权限中使用“Users”/“DOMAIN \ Domain Users”和“Authenticated Users”,可能它们可能会在将来的应用程序中过度使用。 有几次,当客户决定给承包商一个用户帐户时,我不得不重新devise权限,但是不希望承包商能够访问服务器上的任何资源,除了一些特定的项目相关项目。
如果客户在许多权限中使用“用户”和/或“DOMAIN \域用户”,则此承包scheme将相当容易 – 从“用户”(或者,如果它是域帐户)移除他们的帐户“DOMAIN \ Domain Users “)组,并将它们放到其他组中(因为用户必须是单个”主“组的成员,至less为了POSIX兼容性)。
但是,如果客户在许多权限中使用了“已authentication的用户”,那么这个承包商的情况就变得混乱了。 没有组可以让承包商退出,这将使他们不是 “authentication用户”的成员。 我坚持重新devise使用“身份validation用户”的所有权限,或者启用“访客”帐户,而不是为承包商创build帐户,而是让他们只使用“访客”凭据。 这会使我感到不舒服,无论是作为承包商还是作为系统pipe理员,因为承包商的行为在“客户”configuration中变得不可审计。
在承包商的情况下,在客户使用“Authenticated Users”的任何地方,最好是使用“DOMAIN \ Company Employee Users”组,这样承包商就不会被制造出来“DOMAIN \ Company Employee Users”的成员。 在所有权限层次结构的devise阶段,这种情况需要一些预先思考,但在多个客户站点出现“承包商”问题之后,我试图越来越多地考虑这种情况。
考虑一下你在命名“Authenticated Users”,“Users”和“DOMAIN \ Domain Users”时的意思,你的状态会很好。 如果你盲目地使用它们,那么在这个道路上,你会发现自己在一个可怕的许可下重新devise沼泽。
(现在谁来问“每个人”小组呢?嘿嘿…)
已authentication的用户组是一个计算组,任何对计算机或域进行正确authentication的人都会自动添加到该组中,不能手动将用户添加到该组中。
用户组是您可以控制成员资格的组,并决定您希望成为其成员的用户。 默认情况下,Authenticated Users组是这个组的成员,但它不一定是。 此组中的用户可以执行诸如运行应用程序,使用本地和networking打印机,closures计算机和locking计算机等任务。
用户是一个正常的组,因此您可以检查并查看该组的成员。 您在域和本地组上find此组。
经过身份validation的用户只是通过身份validation的用户。 这个组不在你的服务器上,而在域中。 这是您想要在您的组织中公开使用的组。 不要使用“每个人”,除非你真的想让每个人都开放
检查这篇文章Windows操作系统中众所周知的安全标识符
从文章:
SID: S-1-5-11 Name: Authenticated Users Description: A group that includes all users whose identities were authenticated when they logged on. Membership is controlled by the operating system. SID: S-1-5-32-545 Name: Users Description: A built-in group. After the initial installation of the operating system, the only member is the Authenticated Users group. When a computer joins a domain, the Domain Users group is added to the Users group on the computer. 检查这篇文章http://www.morgantechspace.com/2013/08/authenticated-users-vs-domain-users.html
以下列表显示属于已validation用户组的成员
1.All the domain users and users who are in trusted domain. 2.Local computers. 3.Built-in system accounts.