“用户”组成员和非 Windows 域上任何组的成员之间有什么区别?我搜索了一下,没有找到任何相关内容。
答案1
在 AD 中,根本不存在不属于任何组的用户。
用户 [SID S-1-5-32-545,本地域]
该组的成员可以执行大多数常见任务,例如运行应用程序、使用本地和网络打印机以及锁定服务器。默认情况下,Domain Users 组、Authenticated Users 和 Interactive 是该组的成员。因此,在域中创建的任何用户帐户都将成为该组的成员。
域用户 [SID S-1-5-21-Domain-513,全局]
此组包含所有域用户。默认情况下,在域中创建的任何用户帐户都会自动成为此组的成员。此组可用于代表域中的所有用户。例如,如果您希望所有域用户都有权访问打印机,则可以将打印机的权限分配给此组(或将域用户组添加到打印服务器上具有打印机权限的本地组)。
以下是完整列表:http://support.microsoft.com/kb/243330/en-us
至于本地用户组,这是我在未加入域的 Server 2012 计算机上进行的测试:
C:\Users\Administrator>net user Andy Pass.1234 /add
C:\Users\Administrator>runas /user:Andy Cmd.exe
出现新的 Cmd 窗口,我现在是 Andy。
C:\Users\Andy>whoami /groups
...
Everyone
BUILTIN\Users
NT AUTHORITY\INTERACTIVE
...
关闭该窗口,返回到我的管理员窗口。
C:\Users\Administrator>net localgroup users Andy /delete
The command completed successfully.
C:\Users\Administrator>runas /user:Andy cmd
回到安迪:
C:\Users\Andy>whoami /groups
...
Everyone
BUILTIN\Users (Still there)
NT AUTHORITY\INTERACTIVE
...
现在回到管理员。
C:\Users\Administrator>net localgroup users andy /delete
System error 1377 has occurred.
The specified account name is not a member of the group.
有趣的!
C:\Users\Administrator>net localgroup Users
Members
-------
NT AUTHORITY\Authenticated Users
NT AUTHORITY\INTERACTIVE
但没有安迪。
我仍然可以以 Andy 的身份启动进程,但如果我注销机器,我就无法以 Andy 的身份登录。登录屏幕上甚至没有显示 Andy 的帐户作为可能的登录帐户。只有管理员。
让我们仔细看看本地用户组:
PS C:\Scripts> Get-WmiObject Win32_Group | ? { $_.Name -EQ 'Users' } | Select *
Status : OK
Name : Users
Caption : SRV01\Users
Description : Users are prevented from making accidental or intentional system-wide changes and can run most applications
Domain : SRV01
InstallDate :
LocalAccount : True
SID : S-1-5-32-545
SIDType : 4
Scope : System.Management.ManagementScope
....
SIDType 为 4?这意味着它是一个别名 SID。(SidTypeAlias)