Windows Server 2008(または2003)の「AuthenticatedUser」グループと「user」グループの違いは何ですか?
こんにちは、オブジェクト(フォルダー)のアクセス許可を設定するときに、これら2つの違いを知りたいと思います。
サムが言ったことはもっとはっきりしていると思うので少し違う方法で言います。それから、考えるべき許可に関連するいくつかの「NG集」を紹介します。
「認証済みユーザー」は、メンバーシップを変更できるグループではありません。むしろ、サーバーが認識している何らかの方法で認証されたユーザー(「ローカルユーザーとグループ」データベース、サーバーが参加しているドメインのドメインコントローラー、ドメインによって信頼されているドメインのドメインコントローラー)サーバーが参加しているなど)、そのユーザーのセキュリティトークンに「AuthenticatedUsers」が追加されています。
通常、「Guest」アカウントはサーバーで有効になっていないため、allユーザーは「AuthenticatedUsers」のメンバーです。サーバー(またはサーバーが参加しているドメイン、またはサーバーが参加しているドメインによって信頼されているドメインなど)で「ゲスト」アカウントを有効にする場合、「ゲスト」を使用してそのサーバーにアクセスできます。資格情報(つまり、認証されない資格情報)。このようなアクセスによって作成されたセキュリティトークンを調べると、「認証されたユーザー」が含まれていないことがわかります。 (これは、「ゲスト」アカウントを一時的に有効にし、一時的な共有のアクセス許可を試すことによって実証するのが最も簡単です。ゲスト接続が作成したセキュリティトークンを確認するのはかなり難しいですが、動作を簡単に確認できます。 )
「ユーザー」は、メンバーを追加および削除できる単純な古いグループです。たまたまそれが "既知のセキュリティ識別子" グループ-、つまり、OSのインストール時に作成され、既知の相対的なセキュリティ識別子を持つグループです。これは、オペレーティングシステムの「ストック」グループであると考えてください。デフォルトでは、サーバーの「ローカルユーザーとグループ」に追加されたユーザーは「ユーザー」のメンバーになりますが、必要に応じてそのグループから削除できます。
サーバーをドメインに参加させると、「DOMAIN\DomainUsers」グループがサーバーの「Users」グループにネストされ、「Users」に付与されるのと同じ権限が「DOMAIN\DomainUsers」のメンバーに付与されます。
「組織の全員」に適用する必要があると思われる権限を設定している多くの場合、「このサーバーの「ローカルユーザーとグループ」によって認証されるすべてのユーザー、このドメイン、または任意の信頼できるドメイン」または「このサーバーの「ローカルユーザーとグループ」の全員またはこのドメインの全員」。これが、「認証済みユーザー」と「ユーザー」/「DOMAIN\Domainユーザー」の間の決定ポイントです。
ある組織(病院)が、すべてのファイルサーバーコンピューターで大規模なアクセス許可のリエンジニアリングを開始する必要があるのを見ました。最初はすべての場所でアクセス許可に「Users」と「DOMAIN\DomainUsers」を使用し、その後、より大きな「病院連合」と他の病院のドメインへの信頼関係を作成しました。 「TRUSTEDDOMAIN」グループの「DOMAIN」グループへのネストは自動的に行われないため、「TRUSTED_DOMAIN\DomainUsers」グループの誰も「Users」または「DOMAIN\DomainUsers」が利用できるリソースにアクセスできません。また、グループをネストしたり、他のドメインのユーザーを「DOMAIN\DomainUsers」に移動します(グローカルセキュリティグループであるため)。最初の病院が「Users」または「DOMAIN\DomainUsers」を使用する「AuthenticatedUsers」を使用していれば、信頼関係を追加しても問題はありませんでした。
権限で「Users」/「DOMAIN\DomainUsers」と「AuthenticatedUsers」の両方を使用することに関連して私が見たもう1つの一般的な問題は、将来のアプリケーションでは広すぎる可能性があることです。お客様がいくつかの請負業者にユーザーアカウントを与えることを決めたが、その請負業者が一部を除いてサーバー上のanyリソースにアクセスできるようにしたくない場合、何度か戻って権限を再設計する必要がありました特定のプロジェクト関連のアイテム。
顧客が多くの権限で「ユーザー」や「DOMAIN\DomainUsers」を使用した場合、この請負業者のシナリオはかなり簡単です。「Users」からアカウントを削除します(ドメインアカウントの場合は「DOMAIN\DomainUsers」)。 ")グループを作成し、それらを他のグループに配置します(ユーザーでなければならないは、POSIX互換性のために、少なくとも1つの「プライマリ」グループのメンバーであるためです)。
ただし、顧客が多くの権限で「認証済みユーザー」を使用した場合、この請負業者のシナリオは混乱します。私が請負業者を連れて行くことができるグループはありません、それはそれらを[〜#〜]しない[〜#〜]を「認証済みユーザー」のメンバーにします。 「AuthenticatedUsers」が使用されているすべての権限をリエンジニアリングするか、「Guest」アカウントを有効にして請負業者のアカウントを作成せず、「Guest」資格情報のみを使用できるようにします。これは、請負業者としてもシステム管理者としても、「ゲスト」対応の構成では請負業者のアクションを監査できなくなるため、私を不快にさせます。
請負業者の場合、顧客が「Authenticated Users」を使用していたすべての場所で「DOMAIN\Company Employee Users」グループを使用し、請負業者が「DOMAIN\CompanyEmployeeUsers」のメンバーになりません。これは、すべての許可階層の設計段階で事前に考える必要がある状況ですが、この「請負業者」の問題が複数の顧客サイトで発生した後、私はますます考えようとしました。
権限で「AuthenticatedUsers」、「Users」、「DOMAIN\Domain Users」に名前を付けるときは、意味を考えてください。そうすれば、体調が良くなります。盲目的にそれらを使用する場合、道を進むと、恐ろしい許可の再設計の沼に自分がいる可能性があります。
(さて、誰が「みんな」グループについて尋ねるつもりですか?へーへー...)
Authenticated usersグループは計算されたグループであり、コンピューターに対して正しく認証されたユーザー、またはドメインがこのグループに自動的に追加されます。ユーザーを手動で追加することはできません。
ユーザーグループは、メンバーシップを制御し、そのメンバーにしたいユーザーを決定できるグループです。デフォルトでは、Authenticated Usersグループはこのグループのメンバーですが、そうである必要はありません。このグループのユーザーは、アプリケーションの実行、ローカルプリンターとネットワークプリンターの使用、コンピューターのシャットダウン、コンピューターのロックなどのタスクを実行できます。
この記事を確認してください Windowsオペレーティングシステムでよく知られているセキュリティ識別子
記事から:
SID: S-1-5-11
Name: Authenticated Users
Description: A group that includes all users whose identities were authenticated when they logged on. Membership is controlled by the operating system.
SID: S-1-5-32-545
Name: Users
Description: A built-in group. After the initial installation of the operating system, the only member is the Authenticated Users group. When a computer joins a domain, the Domain Users group is added to the Users group on the computer.
この記事を確認してください http://www.morgantechspace.com/2013/08/authenticated-users-vs-domain-users.html
次のリストは、AuthenticatedUsersグループに分類されるメンバーを示しています。
1.All the domain users and users who are in trusted domain.
2.Local computers.
3.Built-in system accounts.
ユーザーは通常のグループであるため、そのグループのメンバーを確認できます。このグループは、ドメインとローカルグループの両方で見つかります。
認証されたユーザーは、ドメインに対して認証されたユーザーのみです。このグループはサーバーではなくドメインにあります。これは、組織で公開されることになっている共有で使用するグループです。本当にオープンにしたい場合を除いて、「Everyone」は絶対に使用しないでくださいeveryone