web-dev-qa-db-ja.com

Windowsの「Everything」セキュリティ識別子には正確に何が含まれていますか(たとえば、DOMAIN \ MACHINE $などのコンピューターアカウントが含まれていますか)?

これは、私が最初にコンピュータアカウントについて尋ねた質問の一般化です。私は尋ねた:

「Everyone」にWindowsのアクセス許可を設定すると、これらのアクセス許可はMYDOMAIN\MYMACHINE $などのコンピューターアカウント(別名マシンアカウント)に適用されますか?それとも、たとえば、通常のユーザー/グループにのみ適用されますか?

しかし、Everyoneが何を意味するのかという質問は、完全で一般的な答えに値します。理想的には、Windowsのアクセス許可に関する深い専門家ではない人にとって意味のある質問です。 (今日の時点で、Googleの結果の最初の数ページを調べても、Everyoneをよく理解するのは難しいと感じています。)

少なくともいくつかの微妙な点があるようです。たとえば、デフォルトでは、「匿名」ネットワーク接続はすべてのユーザーに含まれていません。

6
Chris

コンピュータアカウントについて:

これに関する明確なドキュメントを見つけるのに苦労したので、私の経験から答える必要があります。そして私の経験では、はい、Everyone権限doはコンピューターアカウントに適用されます。 (たとえば、共有への書き込みアクセスをEveryoneに許可すると、マシンアカウントMYDOMAIN\MYMACHINE $はその共有への書き込みアクセスを取得します。)

多くの人はこれを明白に感じるでしょうが、ネットワークリソースにアクセスするいくつかのケースについて明確にしています:最もよく知られている組み込みIDのいくつか-例:ネットワークサービス-ネットワークリソース(ネットワーク共有など)にアクセスするときに、コンピューターアカウント(DOMAIN\MACHINE $など)として識別します。コンピュータアカウントはEveryoneにあるため、ネットワークリソースにアクセスする目的で、たとえばNETWORKSERVICEで実行されているプロセスもEveryoneと見なされることがわかります。 (理論的にはIISアプリプールIDはローカルコンピューターアカウントとしてリモートマシンに対してもIDである必要がありますが、 明らかに人々はこれに問題を抱えています 。対照的に、ローカルサービスアカウントitがリソースにアクセスする場合、ローカルサービスはマシンアカウントとしてではなく匿名でリモートサーバーを識別するため、Everyoneとしてカウントされません。)

(私の実験のほとんどは、Windows Storage Server 2008をファイルサーバーとして使用し、Windows Server 2008(標準)またはWindows 7 Proからアクセスしようとしたものです。クライアントマシンからのアクセスは、認証を行うNETWORKSERVICEで実行されているプロセスによって行われました。クライアントマシンのマシンアカウントとしてリモートで。)

3
Chris