Назад | Перейти на главную страницу

В чем разница между членом группы «Пользователи» и не членом какой-либо группы в Windows?

В чем разница между членом группы «Пользователи» и не членом какой-либо группы в домене Windows? Я искал и просто не нашел ничего подходящего.

В AD не существует такого понятия, как пользователь, который вообще не является членом какой-либо группы.

Пользователи [SID S-1-5-32-545, локальный домен]

Члены этой группы могут выполнять наиболее распространенные задачи, такие как запуск приложений, использование локальных и сетевых принтеров и блокировка сервера. По умолчанию членами этой группы являются группа «Пользователи домена», «Прошедшие проверку» и «Интерактивные». Таким образом, любая учетная запись пользователя, созданная в домене, становится членом этой группы.

Пользователи домена [SID S-1-5-21-Domain-513, Global]

В эту группу входят все пользователи домена. По умолчанию любая учетная запись пользователя, созданная в домене, автоматически становится членом этой группы. Эта группа может использоваться для представления всех пользователей в домене. Например, если вы хотите, чтобы все пользователи домена имели доступ к принтеру, вы можете назначить разрешения для принтера этой группе (или добавить группу «Пользователи домена» в локальную группу на сервере печати, у которой есть разрешения для принтера) .

Вот почти полный список: http://support.microsoft.com/kb/243330/en-us

Что касается локальной группы пользователей, вот тест, который я провел на машине Server 2012, не присоединенной к домену:

C:\Users\Administrator>net user Andy Pass.1234 /add
C:\Users\Administrator>runas /user:Andy Cmd.exe

Появится новое окно Cmd, теперь я Энди.

C:\Users\Andy>whoami /groups
...
Everyone
BUILTIN\Users
NT AUTHORITY\INTERACTIVE
...

Убейте это окно, вернитесь в окно моего администратора.

C:\Users\Administrator>net localgroup users Andy /delete
The command completed successfully.

C:\Users\Administrator>runas /user:Andy cmd

Вернемся к Энди:

C:\Users\Andy>whoami /groups
...
Everyone
BUILTIN\Users (Still there)
NT AUTHORITY\INTERACTIVE
...

Теперь вернемся к Администратору.

C:\Users\Administrator>net localgroup users andy /delete
System error 1377 has occurred.
The specified account name is not a member of the group.

Интересный!

C:\Users\Administrator>net localgroup Users

Members
-------
NT AUTHORITY\Authenticated Users
NT AUTHORITY\INTERACTIVE

Но нет Энди.

Я все еще могу запускать процессы как Энди, но если я выйду из системы, я не смогу войти в систему как Энди. Мне даже не показана учетная запись Энди как возможная учетная запись для входа на экране входа в систему. Только администратор.

Итак, давайте подробнее рассмотрим локальную группу пользователей:

PS C:\Scripts> Get-WmiObject Win32_Group | ? { $_.Name -EQ 'Users' } | Select *

Status           : OK
Name             : Users
Caption          : SRV01\Users
Description      : Users are prevented from making accidental or intentional system-wide changes and can run most applications
Domain           : SRV01
InstallDate      :
LocalAccount     : True
SID              : S-1-5-32-545
SIDType          : 4
Scope            : System.Management.ManagementScope
....

SIDType из 4? Это означает, что это псевдоним SID. (SidTypeAlias)