(Общий) вопрос:
обычно имеет (общий) ответ:
Не во всех Windows есть общие встроенные учетные записи пользователей и групп Хорошо известные идентификаторы безопасности?
Нельзя ли для этого использовать эти встроенные учетные записи?
Edit1 (добавлен позже) в контексте домена:
Допустим, я хочу поделиться файлами с компьютера рабочей группы.
Либо
(1) к компьютерам рабочей группы.
или чтобы
(2) на подключенные к домену компьютеры.
Есть ли разница между (1) и (2)?
Если нет разницы, то лучше не переносить обсуждение / рассмотрение на компьютеры домена.
Edit2 (добавлено позже) по безопасности:
Компьютерам рабочих групп не хватает безопасности в целом.
С добавлением аккаунтов или без.
Я не вижу никаких изменений в дополнениях безопасности от добавления учетных записей.
Итак, вопрос: ЗАЧЕМ добавлять аккаунты?
Edit3 (Дополнительные вопросы), 8/4/2010:
Хорошо, мне просто не хватает места в комментариях.
Привет, laurent-rpnet!
Я не совсем понял, что «только одна учетная запись Домена для всех машин в Домене».
Речь идет о совместном использовании файлов на компьютере рабочей группы и доступе к ним с компьютеров рабочей группы (то есть компьютеров, не подключенных к домену, которые не могут быть частью домена, как только они входят в рабочую группу).
1) Можно ли обмениваться файлами на компьютере рабочей группы (иначе говоря, не подключенном к домену) с учетной записью домена (или LDAP, или ADAM)?
2) Можно ли получить доступ к файлам разрешений, совместно используемым с учетной записью домена, с компьютера рабочей группы (не подключенного к домену) (опять же, с использованием учетной записи домена)?
Я спрашивал об этом раньше на других форумах и понял, что такая возможность отрицательная / невозможная
Edit4, viii / 6/2010:
Случилось так, что я не могу отметить более одного ответа, и меня действительно больше волнует собственное понимание + практические удобства, чем объяснение миру, что правильно или неправильно (ответ и отношение). Это должно быть легко для системных администраторов, имеющих доступ к ресурсам (включая администрирование домена), но я разработчик, т.е. contaxt - это рабочая группа (для полного администрирования) + доступ к домену (в котором у меня НЕТ доступа к администрированию).
Привет, laurent-rpnet!
Я также понял ваш ответ 2) на мой Edit3 как возможность совместного использования файлов / папок с компьютера рабочей группы для учетных записей домена путем создания на компьютере рабочей группы пользователей, совпадающих по имени пользователя + паролю с пользователями домена.
Верный?
Предполагая, что вы входите в систему с одним и тем же встроенным пользователем (скажем, «Администратор») с одним и тем же паролем на всех ваших машинах в «рабочей группе», вы, безусловно, можете использовать встроенного пользователя «Администратор», «Администраторы» group и другие встроенные группы для прозрачной аутентификации на удаленных компьютерах в «рабочей группе». Однако, если вы используете другой пароль, аутентификация не будет прозрачной - пользователям будет предложено ввести учетные данные при доступе к удаленным компьютерам.
Проблема с использованием только встроенных пользователей и групп заключается в том, что нет встроенной учетной записи «стандартного пользователя» («Гость» тоже особенный), а использование «Администратора» часто неоптимально. В результате вам придется создавать дополнительные учетные записи пользователей, которые не являются встроенными, почти сразу.
Редактировать:
Использование нескольких учетных записей пользователей на компьютерах рабочей группы, когда один компьютер используется несколькими пользователями, удобно, поскольку они получают отдельные профили пользователей. Это не имеет ничего общего с безопасностью, но приятно.
Если вы добавляете учетные записи пользователей на ПК рабочих групп, которые являются членами группы «Администраторы», то использование индивидуальных учетных записей пользователей совершенно ненужно.
Если вы не используете какие-либо общие ресурсы в одноранговой сети, то создание индивидуальных учетных записей пользователей на ПК рабочей группы, вероятно, также излишне.
С другой стороны, если вы ограничиваете возможность пользователей загружать другую ОС, физически разбираете компьютер и даете им учетные записи без прав администратора на ПК рабочей группы, то теоретически вы можете обеспечить безопасность общих ресурсов, размещенных на одноранговой сети. равноправные сети. Списки контроля доступа NTFS к файлам, хранящимся на жестких дисках ПК рабочей группы, будут применяться, и, если пользователь не может каким-либо образом подорвать доверительную вычислительную базу, у вас действительно будет довольно приличная мера одноранговой сети. безопасность (хотя и за счет обременительной ручной синхронизации учетных данных).
В Хорошо известные идентификаторы безопасности являются не пользователями, а группами, и вы не можете войти в систему как группа. Как сказал Эван Андерсон, единственными встроенными пользователями всех окон являются администратор и гость. Единственный способ избежать создания одинаковых пользователей на всех машинах - это использовать Administrator или создать ДОМЕН, но вам понадобится один сервер Windows (или машина linux / samba / ldap), а другие версии Windows не могут быть HOME (HOME editions не подключайтесь делать DOMAIN).
Добавляем второй ответ к комментариям 1 и 2:
1) да, разница есть и разница - это суть обсуждения.
Если вы предоставляете общий доступ к файлам на компьютере рабочей группы, у них есть разрешения на доступ к учетным записям или группам.
Если у вас нет домена, учетные записи являются локальными для машины, поэтому каждому пользователю потребуется учетная запись на общей машине, даже если вы используете группы, вы можете добавлять только локальные учетные записи в группу.
Если у вас есть домен, учетные записи и группы являются глобальными для этого домена, поэтому вам не нужна учетная запись на локальном компьютере, совместно использующая файлы, только одна учетная запись домена для всех компьютеров в домене. Разница в том, что домен - это центральная система аутентификации (один сервер для всех пользователей на всех машинах), а рабочая группа - это локальная система аутентификации (на каждой машине есть свои собственные пользователи, которые могут быть разными). Когда вы хотите получить доступ к компьютеру рабочей группы, ваш компьютер отправляет свои учетные данные (логин / пароль, которые вы использовали), и они должны быть такими же, как и те, которые существуют на удаленном компьютере, чтобы ваше соединение было принято. В домене они всегда одинаковы, так как они «проверяются сервером», а не локальной машиной.
2) Ничто не мешает вам использовать один и тот же логин на всех компьютерах и для всех пользователей, но вы не можете использовать Windows без учетной записи (или любой современной ОС, которую я знаю). Когда вы устанавливаете его, у него уже есть учетная запись (и это учетная запись администратора). Если у вас есть только один пользователь и без пароля, Windows не будет запрашивать пользователя / пароль и будет входить самостоятельно, но будет использовать учетную запись.
С учетными записями у вас может быть безопасность, если вы используете ее, например, делайте файлы пользователя конфиденциальными, используя ограниченные учетные записи вместо учетной записи администратора, используемой Windows (с администратором, вирусом или плохим пользователем есть доступ ко всему вашему компьютеру И сети, если у вас есть то же самое учетной записи на всех машинах), каждая учетная запись имеет свою собственную конфигурацию Outlook, а не все пользователи в одном почтовом ящике.
Вы также можете использовать учетную запись Windows для доступа к удаленному программному обеспечению, например, к серверу базы данных, без необходимости входа пользователя в систему. Если у вас есть одна и та же учетная запись для всех, все будут иметь одинаковые права в базе данных.
И последнее, но не менее важное: запретить посетителю использовать машину в качестве администратора.
Это причины, которые пришли мне в голову во время написания, но я уверен, что их гораздо больше.
Комментарии к Edit 3 из OP (не хватает места ... :))
"только одна учетная запись домена для всех машин в домене" была частью ответа на ваш комментарий 1, спрашивающий, есть ли различия между совместным использованием папки для рабочей группы или для компьютера домена, поэтому, если нет, мы могли бы исключить домен из обсуждения .
Теперь в Edit 3: для 1): общий ответ с самого начала (как всегда) да, если вы создаете учетную запись с тем же логином / паролем на компьютере рабочей группы, что и учетная запись LDAP. Я использую это каждый день с Linux-машины, присоединенной к openLDAP на Linux-сервере, обращающемся к файлам и принтеру, совместно используемым на автономной машине XP Home (это единственный способ, поскольку XP Home не войдет в домен).
2): ситуация невозможна, вы не можете использовать учетную запись домена на машине, не присоединенной к домену. Что вы можете сделать, это снова создать учетную запись на компьютере рабочей группы с тем же логином и паролем, что и учетная запись домена, и да, вы получите доступ к файлам в общей папке домена с разрешениями групп домена, если учетная запись домена, которую вы «реплицировали» ваша машина находится в правильных группах, даже если ваша машина не в домене. У меня была такая ситуация несколько лет назад, так как у меня был ноутбук, и я не хотел менять конфигурацию каждый раз, когда входил в систему, поэтому у меня был тот же логин, что и у моей учетной записи домена на ноутбуке, и я использовал его с обычным входом (без домена) для подключения к сети, и он работал точно так же, как рабочий стол, подключенный к домену.
В целом я хочу сказать, что общий ответ совершенно правильный, у вас есть только 3 возможности, если вы хотите создать «настоящую» сеть (в отличие от простых сетей, таких как, например, совместное использование подключения к Интернету):