web-dev-qa-db-ja.com

Windowsグループと権限:Authenticated Usersグループの意味

Windowsの「Authenticated Users」グループの目的は何ですか? Linuxでは存在せず、これはWindowsオペレーティングシステムの別の特異性または過剰設計であると私は考え始めています。

理由は次のとおりです。

ディスクC:\でユーザーMikeが持っている権利を知りたい場合は、次のように入力します。

Net User mike

返されます:

User name                    mike
Full Name                    
Comment                      
User's comment               
Country code                 000 (System Default)
Account active               Yes
Account expires              Never

Password last set            7/13/2013 7:55:45 AM
Password expires             Never
Password changeable          7/13/2013 7:55:45 AM
Password required            Yes
User may change password     Yes

Workstations allowed         All
Logon script                 
User profile                 
Home directory               
Last logon                   7/13/2013 7:53:58 AM

Logon hours allowed          All

Local Group Memberships      *Users            
Global Group memberships     *None

したがって、ユーザーmikeはグループUsersのみに属していると想定しているため、ディスクCを右クリックしてセキュリティタブを確認すると、「Users」グループに属しているユーザーはディスクcを変更できないが、読み取るだけであることがわかります。

驚きサプライズ、ただし、ユーザーマイクはC:\に書き込むことができます。どうして?コマンドnetはそれを認識できませんが、mikeはAuthenticated Usersグループに属しているため、C:に書き込む権利があります。

誰かが上記の話を確認し、それが理にかなっているかコメントすることはできますか、私が疑わしいと思うのは、過度のエンジニアリングのケースであり、この背後にある理由について詳しく説明できますか?

編集:

新しいグループを作成してユーザーmikeを追加すると、netコマンドがグループを正しく表示することに注意してください。

 net localgroup testgroup /add
 net localgroup testgroup mike 
 Net User mike

戻り値

[*]
Local Group Memberships      *Users     *testgroup       
Global Group memberships     *None
12
dendini

Windowsにはいくつかの特別なグループがあります。これらの中には、Authenticated UsersInteractive UsersEveryoneなどが含まれます。最近では、EveryoneAuthenticated Usersはほとんどの目的で実質的に同等ですが、 2003年より前のドメインレベルのドメインは真実ではありませんでした。

いずれにしても、これらのグループのメンバーシップを監視する方法はありません。ある意味では、メンバーシップはSACLまたはDACLが処理されるときに計算されます。

とはいえ、認証されたユーザー、特にC:\にファイルシステムのアクセス許可を割り当てるのは奇妙に思えます。より適切な設定はInteractive Users、またはワークステーションをロックダウンしている場合は読み取り専用です。

Microsoftによると、これら2つの技術的な定義は次のとおりです。

認証済みユーザー:

ログオンプロセスを通じてシステムにアクセスするすべてのユーザーは、Authenticated Users IDを持っています。このIDにより、組織内のすべてのワーカーがアクセスできる共有フォルダー内のファイルなど、ドメイン内の共有リソースにアクセスできます。

全員:

対話型、ネットワーク、ダイヤルアップ、および認証済みのすべてのユーザーは、Everyoneグループのメンバーです。この特別なIDグループは、システムリソースへの幅広いアクセスを提供します。

これらは、他のすべてと一緒に、ここで見つけることができます: http://technet.Microsoft.com/en-us/magazine/dd637754.aspx

8
David Hoelzer

認証されたユーザーとは、システムに認証された-anyおよびallユーザーを意味します。これは、ローカルシステムのanyグループのメンバーであるすべてのユーザーです。

Mikeはユーザーのメンバーであるため、本質的に認証されたユーザーです。

ドメイン環境では、これはanyドメインのanyグループのメンバーであるユーザーになります。

2
Tim Brigham