Chr*_*ris 6 windows permissions access-control-list
这是我最初询问的有关计算机帐户的问题的概括。我问:
当为“所有人”设置 Windows 权限时,这些权限是否适用于诸如 MYDOMAIN\MYMACHINE$ 之类的计算机帐户(又名机器帐户)?还是说,它们仅适用于普通用户/组?
但是,“每个人”是什么意思这个问题确实值得一个完整的、一般性的答案——理想情况下,这个答案对于不是 Windows 权限方面的深入专家的人来说是有意义的。(截至今天,我发现通过浏览谷歌搜索结果的前几页很难对每个人有一个很好的了解。)
似乎至少有一些微妙之处——例如,默认情况下,“所有人”中不包含“匿名”网络连接。
关于计算机帐户:
我很难找到任何关于此的明确文档,所以我必须根据我的经验来回答。根据我的经验,是的,每个人权限确实适用于计算机帐户。(例如,如果您向“Everyone”授予对共享的写入权限,则计算机帐户 MYDOMAIN\MYMACHINE$ 将获得对该共享的写入权限。)
许多人会发现这是显而易见的,但要明确一些访问网络资源的情况:一些最著名的内置身份 - 例如网络服务 - 标识为计算机帐户(例如 DOMAIN\MACHINE$)当他们访问网络资源(例如网络共享)时。由于计算机帐户位于“每个人”中,因此我们知道在“网络服务”下运行的进程也被视为位于“每个人”中,以便访问网络资源。(理论上,IIS 应用程序池标识也应该将远程计算机标识为本地计算机帐户,但显然人们在这方面遇到了麻烦。相反,如果本地服务帐户访问资源,则绝对不会算作“每个人” ——因为本地服务帐户服务以匿名方式识别远程服务器,而不是作为计算机帐户。)
(我的大部分实验涉及使用 Windows Storage Server 2008 作为文件服务器,并尝试从 Windows Server 2008(标准版)或 Windows 7 Pro 访问该文件服务器。客户端计算机的访问是由在 NETWORK SERVICE 下运行的进程进行的,该进程对远程作为客户端计算机的计算机帐户。)
| 归档时间: |
|
| 查看次数: |
3419 次 |
| 最近记录: |