这是我最初问过的有关计算机帐户的一个问题的概括。我问:
当为“所有人”设置 Windows 权限时,这些权限是否适用于计算机帐户(又称机器帐户),例如 MYDOMAIN\MYMACHINE$?或者说,它们仅适用于普通用户/组?
但是“Everyone”的含义确实值得一个完整、普遍的答案——理想情况下,这个答案应该让那些不是 Windows 权限专家的人也能理解。(截至今天,我发现很难通过浏览 Google 搜索结果的前几页来很好地了解“Everyone”。)
似乎至少存在一些微妙之处——例如默认情况下,“匿名”网络连接不包括在“所有人”中。
答案1
关于计算机帐户:
我很难找到关于此问题的任何明确文档,所以我必须根据我的经验来回答。根据我的经验,是的,每个人的权限做适用于计算机帐户。(例如,如果您向 Everyone 授予共享的写访问权限,则计算机帐户 MYDOMAIN\MYMACHINE$ 将获得该共享的写访问权限。)
许多人会发现这一点很明显,但要明确几种访问网络资源的情况:一些最著名的内置身份——例如 NETWORK SERVICE——在访问网络资源(例如网络共享)时会标识为计算机帐户(例如 DOMAIN\MACHINE$)。由于计算机帐户属于 Everyone,因此我们知道,在 NETWORK SERVICE 下运行的进程在访问网络资源时也被视为属于 Everyone。(理论上,IIS 应用程序池身份也应该将远程计算机标识为本地计算机帐户,但显然人们对此有困难相比之下,如果它访问资源——因为本地服务以匿名方式识别远程服务器,而不是机器帐户。
(我的大部分实验都涉及将 Windows Storage Server 2008 作为文件服务器,并尝试从 Windows Server 2008(标准版)或 Windows 7 Pro 访问它。从客户端计算机的访问是由在 NETWORK SERVICE 下运行的进程进行的,该进程以客户端计算机的计算机帐户的身份进行远程身份验证。)