Windows Server 2008（或 2003）中的“经过身份验证的用户”和“用户”组有什么区别？

Question 1

我将以稍微不同的方式来表达 Sam 所说的话，因为我认为这样可能更清楚，然后我会给你几个与权限相关的“失误”来思考。

“经过身份验证的用户”不是可以更改其成员资格的组。相反，任何通过服务器所知的任何方式（其“本地用户和组”数据库、服务器加入的域中的域控制器、服务器加入的域所信任的域中的域控制器等）进行身份验证的用户都会将“经过身份验证的用户”添加到其安全令牌中。

通常情况下，服务器上不会启用“Guest”帐户，因此全部用户是“经过身份验证的用户”的成员。如果您要在服务器上启用“Guest”帐户（或在服务器加入的域中，或在服务器加入的域所信任的域中，等等），则可以使用“Guest”凭据（即任何未经身份验证的凭据）访问该服务器。如果您要检查此类访问创建的安全令牌，您会发现它不包含“经过身份验证的用户”。（最简单的方法是临时启用“Guest”帐户并尝试使用临时共享的权限。很难看到来宾连接为其创建的安全令牌，但很容易观察行为。）

“用户”是一个普通的群组，你可以添加或删除其中的成员。它只是“知名安全标识符”组——即在安装操作系统时创建的组，具有已知的相对安全标识符。可以将其视为操作系统中的“常备”组。默认情况下，添加到服务器“本地用户和组”的用户将成为“用户”的成员，但如果您愿意，也可以将他们从该组中删除。

当您将服务器加入域时，“DOMAIN\Domain Users”组将嵌套到服务器的“Users”组中，从而向“DOMAIN\Domain Users”的成员授予与“Users”相同的权限。

在许多情况下，当您设置您认为应该适用于“组织中的每个人”的权限时，您需要考虑您指的是“将由此服务器的‘本地用户和组’、此域中的任何域控制器或任何受信任域进行身份验证的每个人”还是“此服务器的‘本地用户和组’中的每个人或此域中的任何人”。这是您在“经过身份验证的用户”和“用户”/“域\域用户”之间的决策点。

我曾见过一家组织（一家医院）不得不对其所有文件服务器计算机进行大规模权限重新设计，因为他们最初在所有权限中使用“用户”和“域\域用户”，后来加入了一个更大的“医院协会”，并与其他医院的域建立了信任关系。“TRUSTED_DOMAIN\域用户”组中的任何人都无法访问“用户”或“域\域用户”可用的资源，因为“TRUSTEDDOMAIN”组不会自动嵌套到“域”组中，您也无法将其他域的组或用户嵌套到“域\域用户”（因为它是一个全球本地安全组）。如果第一家医院在使用“用户”或“域\域用户”的地方使用“经过身份验证的用户”，那么他们在添加信任关系时就不会遇到任何问题。

我发现在权限中使用“用户”/“域\域用户”和“经过身份验证的用户”的另一个常见问题是，它们可能对未来的应用程序来说过于宽泛。有好几次，当客户决定为某个承包商提供用户帐户，但又不希望该承包商能够访问时，我不得不回过头来重新设计权限任何服务器上的资源（某些特定的项目相关项目除外）。

如果客户在许多权限中使用“用户”和/或“域\域用户”，则此承包商场景将相当简单 - 从“用户”（或者，如果是域帐户，则为“域\域用户”）组中删除他们的帐户，并将其放入其他组（因为用户必须至少成为单个“主要”组的成员，以实现 POSIX 兼容性）。

但是，如果客户在许多权限中使用了“经过身份验证的用户”，那么这种承包商情况就会变得一团糟。没有哪个组可以让我把承包商从中除名，让他们不是“经过身份验证的用户”的成员。我要么重新设计使用“经过身份验证的用户”的所有权限，要么启用“来宾”帐户，而不是为承包商创建帐户，而是让他们只使用“来宾”凭据。这会让我感到不舒服，无论是作为承包商还是系统管理员，因为在启用“来宾”的配置中，承包商的行为变得不可审计。

对于承包商来说，客户最好在所有使用“经过身份验证的用户”的站点上使用“DOMAIN\Company Employee Users”组，这样承包商就可以不是成为“DOMAIN\Company Employee Users”的成员。这种情况需要在设计所有权限层次结构时进行一些预先思考，但在多个客户站点发生此“承包商”问题后，我尝试越来越多地考虑这种情况。

想想你意思是当您在权限中命名“经过身份验证的用户”、“用户”和“域\域用户”时，您的情况就会很好。如果您盲目使用它们，那么将来您可能会陷入可怕的权限重新设计泥潭。

（现在，谁会问起“所有人”组？呵呵……）

Answer