在 Windows 上,“用户”组的成员和不属于任何组的成员之间有什么区别?

在 Windows 上,“用户”组的成员和不属于任何组的成员之间有什么区别?

“用户”组成员和非 Windows 域上任何组的成员之间有什么区别?我搜索了一下,没有找到任何相关内容。

答案1

在 AD 中,根本不存在不属于任何组的用户。

用户 [SID S-1-5-32-545,本地域]

该组的成员可以执行大多数常见任务,例如运行应用程序、使用本地和网络打印机以及锁定服务器。默认情况下,Domain Users 组、Authenticated Users 和 Interactive 是该组的成员。因此,在域中创建的任何用户帐户都将成为该组的成员。

域用户 [SID S-1-5-21-Domain-513,全局]

此组包含所有域用户。默认情况下,在域中创建的任何用户帐户都会自动成为此组的成员。此组可用于代表域中的所有用户。例如,如果您希望所有域用户都有权访问打印机,则可以将打印机的权限分配给此组(或将域用户组添加到打印服务器上具有打印机权限的本地组)。

以下是完整列表:http://support.microsoft.com/kb/243330/en-us


至于本地用户组,​​这是我在未加入域的 Server 2012 计算机上进行的测试:

C:\Users\Administrator>net user Andy Pass.1234 /add
C:\Users\Administrator>runas /user:Andy Cmd.exe

出现新的 Cmd 窗口,我现在是 Andy。

C:\Users\Andy>whoami /groups
...
Everyone
BUILTIN\Users
NT AUTHORITY\INTERACTIVE
...

关闭该窗口,返回到我的管理员窗口。

C:\Users\Administrator>net localgroup users Andy /delete
The command completed successfully.

C:\Users\Administrator>runas /user:Andy cmd

回到安迪:

C:\Users\Andy>whoami /groups
...
Everyone
BUILTIN\Users (Still there)
NT AUTHORITY\INTERACTIVE
...

现在回到管理员。

C:\Users\Administrator>net localgroup users andy /delete
System error 1377 has occurred.
The specified account name is not a member of the group.

有趣的!

C:\Users\Administrator>net localgroup Users

Members
-------
NT AUTHORITY\Authenticated Users
NT AUTHORITY\INTERACTIVE

但没有安迪。

我仍然可以以 Andy 的身份启动进程,但如果我注销机器,我就无法以 Andy 的身份登录。登录屏幕上甚至没有显示 Andy 的帐户作为可能的登录帐户。只有管理员。

让我们仔细看看本地用户组:

PS C:\Scripts> Get-WmiObject Win32_Group | ? { $_.Name -EQ 'Users' } | Select *

Status           : OK
Name             : Users
Caption          : SRV01\Users
Description      : Users are prevented from making accidental or intentional system-wide changes and can run most applications
Domain           : SRV01
InstallDate      :
LocalAccount     : True
SID              : S-1-5-32-545
SIDType          : 4
Scope            : System.Management.ManagementScope
....

SIDType 为 4?这意味着它是一个别名 SID。(SidTypeAlias)

相关内容