ind*_*age 8 windows-server-2008 permissions active-directory
嗨,当我们为对象(文件夹)设置权限时,您好想知道这两者之间的区别。
我将用稍微不同的方式说出 Sam 所说的话,因为我认为它可能会更清楚,然后我会给你一些与权限相关的“浮夸”让你思考。
“经过身份验证的用户”不是您可以更改其成员身份的组。相反,通过服务器知道的任何方式进行身份验证的任何用户(其“本地用户和组”数据库,服务器加入的域中的域控制器,域中受信任的域中的域控制器服务器加入等)该用户已将“经过身份验证的用户”添加到其安全令牌中。
通常,服务器上未启用“来宾”帐户,因此所有用户都是“经过身份验证的用户”的成员。如果您要在服务器上启用“Guest”帐户(或在服务器加入的域中,或在服务器加入的域信任的域中等),则可以使用“Guest”访问该服务器凭据(即任何未通过身份验证的凭据)。如果您要检查由此类访问创建的安全令牌,您会发现它不包含“经过身份验证的用户”。(通过临时启用“访客”帐户并使用临时共享权限来证明这一点最容易。很难看到访客连接为其创建的安全令牌,
“用户”是一个普通的旧组,您可以从中添加和删除成员。碰巧它是一个“众所周知的安全标识符”组——也就是说,一个在安装操作系统时创建的组,并且具有已知的相对安全标识符。认为它是操作系统中的一个“库存”组。默认情况下,添加到服务器“本地用户和组”的用户成为“用户”的成员,但如果您愿意,可以将他们从该组中删除。
当您将服务器加入域时,“DOMAIN\Domain Users”组嵌套在服务器的“Users”组中,从而授予“DOMAIN\Domain Users”成员与授予“用户”相同的权限。
在许多情况下,当您设置您认为应该适用于“组织中的每个人”的权限时,您需要考虑您的意思是否是“将通过此服务器的“本地用户和组”进行身份验证的每个人、任何域控制器此域或任何受信任的域中”或“此服务器的“本地用户和组”中的每个人或此域中的任何人”。这是您在“经过身份验证的用户”和“用户”/“域\域用户”之间的决定点。
我见过一个组织(一家医院)不得不在他们所有的文件服务器计算机上启动大规模的权限重新设计,因为他们最初在任何地方的权限中都使用了“用户”和“域\域用户”,后来又加入了一个更大的“医院协会”,并与其他医院的域建立信任关系。“TRUSTED_DOMAIN\Domain Users”组中的任何人都不能访问“用户”或“DOMAIN\Domain用户”可用的资源,因为“TRUSTEDDOMAIN”组不会自动嵌套到“DOMAIN”组中,也不能嵌套组或用户从其他域进入“域\域用户”(因为它是一个全局安全组)。如果第一家医院使用“经过身份验证的用户”,他们使用“
我看到的另一个与在权限中同时使用“用户”/“域\域用户”和“经过身份验证的用户”相关的常见问题是,它们可能对未来的应用程序过于宽泛。有好几次,当客户决定给某个承包商一个用户帐户时,我不得不返回并重新设计权限,但不希望该承包商能够访问服务器上除某些特定项目相关项目之外的任何资源。
如果客户在许多权限中使用“用户”和/或“域\域用户”,则此承包商方案将相当容易 - 从“用户”中删除他们的帐户(或者,如果是域帐户,则“域\域用户” ") 组并将它们放入其他某个组(因为为了 POSIX 兼容性,用户必须是单个“主要”组的成员,至少)。
但是,如果客户在许多权限中使用“经过身份验证的用户”,这个承包商场景就会变得一团糟。没有我可以将承包商带出的组会使他们不是“经过身份验证的用户”的成员。我陷入困境,要么重新设计使用“经过身份验证的用户”的所有权限,要么启用“访客”帐户而不是为承包商创建帐户,而是让他们只使用“访客”凭据。作为承包商和系统管理员,这会让我感到不舒服,因为承包商的行为在启用“访客”的配置中变得不可审计。
在承包商的情况下,客户最好在他们使用“经过身份验证的用户”的任何地方都使用“域\公司员工用户”组,这样就无法创建承包商“DOMAIN\Company Employee Users”的成员。在所有权限层次结构的设计阶段,这种情况需要一些预先考虑,但在多个客户站点发生此“承包商”问题后,我试图越来越多地考虑这种情况。
想想你是什么意思,当你命名“身份验证的用户”,“用户”和“域\域用户”的权限,你会在良好的状态。如果您盲目地使用它们,那么在接下来的道路上,您可能会发现自己陷入了可怕的许可重新设计沼泽。
(现在,谁会问“所有人”组?嘿嘿……)
小智 0
用户是一个普通组,因此您可以检查并查看谁是该组的成员。您可以在域和本地组中找到该组。
经过身份验证的用户只是通过域身份验证的用户。该组不在您的服务器中,而是在域中。这是您想要在您的股份上使用的组,该组应该在您的组织中公开。永远不要使用“Everyone”,除非你真的想让它向所有人开放
| 归档时间: |
|
| 查看次数: |
12159 次 |
| 最近记录: |