Привет, хотел бы знать разницу между этими двумя, когда мы настраиваем разрешения для объекта (папки).
Я собираюсь сказать то, что сказал Сэм, немного иначе, потому что я думаю, что это могло бы быть яснее, а затем я дам вам пару «ляпов», связанных с разрешениями, чтобы подумать.
«Прошедшие проверку» - это не группа, членство в которой можно изменить. Скорее, любой пользователь, прошедший проверку подлинности любыми средствами, о которых знает сервер (его база данных «Локальные пользователи и группы», контроллер домена в домене, к которому присоединен сервер, контроллер домена в домене, которому доверяет домен, сервер присоединен и т. д.), что пользователь добавил в свой токен безопасности «Прошедшие проверку».
Обычно учетная запись "Гость" не включена на серверах, поэтому все пользователи являются членами «Прошедших проверку». Если вы должны были включить учетную запись «Гость» на сервере (или в домене, к которому подключен сервер, или в домене, которому доверяет домен, к которому подключен сервер, и т. Д.), Вы могли бы получить доступ к этому серверу, используя «Гость» учетные данные (то есть любые учетные данные, которые не аутентифицируются). Если бы вы исследовали маркер безопасности, созданный таким доступом, вы бы обнаружили, что он не содержит «Прошедших проверку пользователей». (Проще всего продемонстрировать это, включив на временной основе учетную запись «Гость» и поэкспериментируя с разрешениями для временных общих ресурсов. Достаточно сложно увидеть токен безопасности, созданный для него гостевым подключением, но легко наблюдать за поведением. )
«Пользователи» - это простая старая группа, в которую вы можете добавлять и удалять участников. Просто так получилось, что это "общеизвестный идентификатор безопасности" group - то есть группа, которая создается при установке ОС и имеет известный относительный идентификатор безопасности. Думайте об этом как о «стандартной» группе в операционной системе. По умолчанию пользователи, добавленные в серверные «Локальные пользователи и группы», становятся членами «Пользователи», но при желании их можно удалить из этой группы.
Когда вы присоединяете сервер к домену, группа «DOMAIN \ Domain Users» вкладывается в группу «Users» сервера, тем самым предоставляя те же разрешения членам «DOMAIN \ Domain Users», которые были бы предоставлены «Users».
Во многих случаях, когда вы устанавливаете разрешения, которые, по вашему мнению, должны применяться к «всем в организации», вам нужно подумать, имеете ли вы в виду «всех, кто когда-либо будет аутентифицирован локальными пользователями и группами этого сервера», любым контроллером домена в в этом домене или в любом доверенном домене »или« Все в «Локальных пользователях и группах» этого сервера или кто-либо в этом домене ». Это ваша точка выбора между «Прошедшие проверку» и «Пользователи» / «ДОМЕН \ Пользователи домена».
Я видел одну организацию (больницу), которой пришлось запустить масштабную реинжиниринг разрешений на всех своих компьютерах с файловыми серверами, потому что они сначала использовали «Пользователи» и «DOMAIN \ Domain Users» в разрешениях везде, а затем присоединились к более крупному » Ассоциация больниц »и установила доверительные отношения с доменами других больниц. Никто из группы «TRUSTED_DOMAIN \ Domain Users» не может получить доступ к ресурсам, которые были доступны «Users» или «DOMAIN \ Domain Users», потому что вложение групп «TRUSTEDDOMAIN» в группы «DOMAIN» не происходит автоматически, и вы не можете вкладывать группы или пользователей из других доменов в «DOMAIN \ Domain Users» (поскольку это глокальная группа безопасности). Если бы первая больница использовала «Прошедших проверку пользователей», где они использовали «Пользователи» или «ДОМЕН \ Пользователи домена», у них не было бы никаких проблем, когда они добавили доверительные отношения.
Еще одна распространенная проблема, связанная с использованием в разрешениях «Пользователи» / «ДОМЕН \ Пользователи домена» и «Прошедшие проверку», заключается в том, что потенциально они могут быть слишком широкими для будущих приложений. Несколько раз мне приходилось возвращаться и перепроектировать разрешения, когда заказчик решал предоставить какому-либо подрядчику учетную запись пользователя, но не хотел, чтобы этот подрядчик имел доступ к любой ресурсы на серверах, за исключением некоторых элементов, относящихся к проекту.
Если бы Заказчик использовал «Пользователи» и / или «DOMAIN \ Domain Users» во многих разрешениях, этот сценарий подрядчика был бы довольно простым - удалить его учетную запись из «Пользователи» (или, если это учетная запись домена, «DOMAIN \ Domain Users» ") и поместите их в другую группу (потому что пользователь должен быть членом одной «основной» группы, как минимум, для совместимости с POSIX).
Однако, если Заказчик использовал «Прошедших проверку пользователей» во многих разрешениях, этот сценарий подрядчика превращается в беспорядок. Нет группы, из которой я могу вывести подрядчика, которая заставит их НЕ член группы «Прошедшие проверку». Я застрял либо переделывать все разрешения, в которых используются «Прошедшие проверку», либо разрешить учетную запись «Гость» и не создавать учетную запись для подрядчика, а позволить им просто использовать учетные данные «Гость». Это сделало бы меня неудобным как подрядчику, так и как системному администратору, поскольку действия подрядчика становятся не подлежащими аудиту в конфигурации с включенной функцией «Гость».
В случае с подрядчиком для Заказчика было бы лучше использовать, скажем, группу «DOMAIN \ Company Employee Users» везде, где они использовали «Authenticated Users», чтобы подрядчик мог просто не стать участником "ДОМЕН \ Пользователи сотрудников компании". Это ситуация, требующая некоторых предварительных размышлений на этапе проектирования всех ваших иерархий разрешений, но я стараюсь думать о ней все больше и больше после того, как эта проблема «подрядчика» возникает на нескольких сайтах Заказчика.
Подумай о чем ты значит когда вы указываете в разрешениях «Прошедшие проверку пользователи», «Пользователи» и «ДОМЕН \ Пользователи домена», и вы будете в хорошей форме. Если вы используете их вслепую, есть шанс, что в будущем вы окажетесь в ужасном болоте реинжиниринга разрешений.
(А теперь, кто спросит о группе "Все"? Хе-хе ...)
Группа прошедших аутентификацию пользователей - это вычисляемая группа, любой, кто правильно аутентифицируется на компьютере или домен, добавляется в эту группу автоматически, вы не можете вручную добавлять в нее пользователей.
Группа пользователей - это группа, с помощью которой вы можете контролировать членство и решать, членом каких пользователей вы хотите быть. По умолчанию группа «Прошедшие проверку» является членом этой группы, но это не обязательно. Пользователи этой группы могут выполнять такие задачи, как запуск приложений, использование локальных и сетевых принтеров, выключение компьютера и блокировка компьютера.
Пользователи - это обычная группа, поэтому вы можете проверить, кто входит в эту группу. Вы найдете эту группу как в домене, так и в локальных группах.
Прошедшие аутентификацию пользователи - это только пользователи, прошедшие аутентификацию в домене. Эта группа находится не на вашем сервере, а в домене. Это группа, которую вы хотите использовать в своих общих папках, которая должна быть общедоступной в вашей организации. Никогда не используйте "Все", если вы действительно не хотите, чтобы он был открыт для все
Проверить эту статью Хорошо известные идентификаторы безопасности в операционных системах Windows
Из статьи:
SID: S-1-5-11
Name: Authenticated Users
Description: A group that includes all users whose identities were authenticated when they logged on. Membership is controlled by the operating system.
SID: S-1-5-32-545
Name: Users
Description: A built-in group. After the initial installation of the operating system, the only member is the Authenticated Users group. When a computer joins a domain, the Domain Users group is added to the Users group on the computer.
Проверить эту статью http://www.morgantechspace.com/2013/08/authenticated-users-vs-domain-users.html
В следующем списке показаны участники, входящие в группу прошедших проверку пользователей.
1.All the domain users and users who are in trusted domain.
2.Local computers.
3.Built-in system accounts.