您好,想知道当我们为对象(文件夹)设置权限时,这两者之间的区别。
答案1
我将以稍微不同的方式来表达 Sam 所说的话,因为我认为这样可能更清楚,然后我会给你几个与权限相关的“失误”来思考。
“经过身份验证的用户”不是可以更改其成员资格的组。相反,任何通过服务器所知的任何方式(其“本地用户和组”数据库、服务器加入的域中的域控制器、服务器加入的域所信任的域中的域控制器等)进行身份验证的用户都会将“经过身份验证的用户”添加到其安全令牌中。
通常情况下,服务器上不会启用“Guest”帐户,因此全部用户是“经过身份验证的用户”的成员。如果您要在服务器上启用“Guest”帐户(或在服务器加入的域中,或在服务器加入的域所信任的域中,等等),则可以使用“Guest”凭据(即任何未经身份验证的凭据)访问该服务器。如果您要检查此类访问创建的安全令牌,您会发现它不包含“经过身份验证的用户”。(最简单的方法是临时启用“Guest”帐户并尝试使用临时共享的权限。很难看到来宾连接为其创建的安全令牌,但很容易观察行为。)
“用户”是一个普通的群组,你可以添加或删除其中的成员。它只是“知名安全标识符”组——即在安装操作系统时创建的组,具有已知的相对安全标识符。可以将其视为操作系统中的“常备”组。默认情况下,添加到服务器“本地用户和组”的用户将成为“用户”的成员,但如果您愿意,也可以将他们从该组中删除。
当您将服务器加入域时,“DOMAIN\Domain Users”组将嵌套到服务器的“Users”组中,从而向“DOMAIN\Domain Users”的成员授予与“Users”相同的权限。
在许多情况下,当您设置您认为应该适用于“组织中的每个人”的权限时,您需要考虑您指的是“将由此服务器的‘本地用户和组’、此域中的任何域控制器或任何受信任域进行身份验证的每个人”还是“此服务器的‘本地用户和组’中的每个人或此域中的任何人”。这是您在“经过身份验证的用户”和“用户”/“域\域用户”之间的决策点。
我曾见过一家组织(一家医院)不得不对其所有文件服务器计算机进行大规模权限重新设计,因为他们最初在所有权限中使用“用户”和“域\域用户”,后来加入了一个更大的“医院协会”,并与其他医院的域建立了信任关系。“TRUSTED_DOMAIN\域用户”组中的任何人都无法访问“用户”或“域\域用户”可用的资源,因为“TRUSTEDDOMAIN”组不会自动嵌套到“域”组中,您也无法将其他域的组或用户嵌套到“域\域用户”(因为它是一个全球本地安全组)。如果第一家医院在使用“用户”或“域\域用户”的地方使用“经过身份验证的用户”,那么他们在添加信任关系时就不会遇到任何问题。
我发现在权限中使用“用户”/“域\域用户”和“经过身份验证的用户”的另一个常见问题是,它们可能对未来的应用程序来说过于宽泛。有好几次,当客户决定为某个承包商提供用户帐户,但又不希望该承包商能够访问时,我不得不回过头来重新设计权限任何服务器上的资源(某些特定的项目相关项目除外)。
如果客户在许多权限中使用“用户”和/或“域\域用户”,则此承包商场景将相当简单 - 从“用户”(或者,如果是域帐户,则为“域\域用户”)组中删除他们的帐户,并将其放入其他组(因为用户必须至少成为单个“主要”组的成员,以实现 POSIX 兼容性)。
但是,如果客户在许多权限中使用了“经过身份验证的用户”,那么这种承包商情况就会变得一团糟。没有哪个组可以让我把承包商从中除名,让他们不是“经过身份验证的用户”的成员。我要么重新设计使用“经过身份验证的用户”的所有权限,要么启用“来宾”帐户,而不是为承包商创建帐户,而是让他们只使用“来宾”凭据。这会让我感到不舒服,无论是作为承包商还是系统管理员,因为在启用“来宾”的配置中,承包商的行为变得不可审计。
对于承包商来说,客户最好在所有使用“经过身份验证的用户”的站点上使用“DOMAIN\Company Employee Users”组,这样承包商就可以不是成为“DOMAIN\Company Employee Users”的成员。这种情况需要在设计所有权限层次结构时进行一些预先思考,但在多个客户站点发生此“承包商”问题后,我尝试越来越多地考虑这种情况。
想想你意思是当您在权限中命名“经过身份验证的用户”、“用户”和“域\域用户”时,您的情况就会很好。如果您盲目使用它们,那么将来您可能会陷入可怕的权限重新设计泥潭。
(现在,谁会问起“所有人”组?呵呵……)
答案2
经过身份验证的用户组是一个计算组,任何通过计算机或域正确身份验证的人都会自动添加到此组,您无法手动向其中添加用户。
用户组是一个您可以控制成员资格并决定您希望哪些用户成为其成员的组。默认情况下,Authenticated Users 组是此组的成员,但并非必须如此。此组中的用户可以执行诸如运行应用程序、使用本地和网络打印机、关闭计算机以及锁定计算机等任务。
答案3
用户是一个普通组,因此您可以检查并查看谁是该组的成员。您可以在域组和本地组中找到此组。
经过身份验证的用户只是通过域身份验证的用户。此组不在您的服务器中,而是在域中。这是您要在共享中使用的组,该组在您的组织中应该是公开的。除非您真的想让它对所有人开放,否则切勿使用“所有人”每个人
答案4
查看这篇文章http://www.morgantechspace.com/2013/08/authenticated-users-vs-domain-users.html
以下列表显示了属于经过身份验证的用户组的成员
1.All the domain users and users who are in trusted domain.
2.Local computers.
3.Built-in system accounts.