Это обобщение вопроса, который я изначально задал об учетных записях компьютеров. Я попросил:
Когда кто-то устанавливает разрешения Windows для «Все», применяются ли эти разрешения к учетным записям компьютеров (также называемых учетными записями компьютеров), например MYDOMAIN \ MYMACHINE $? Или они, скажем, относятся только к обычным пользователям / группам?
Но вопрос о том, что означает «Все», действительно заслуживает полного, общего ответа - и в идеале такого, который имеет смысл для того, кто не является глубоким экспертом в области разрешений Windows. (На сегодняшний день мне было трудно понять всех, просматривая первые несколько страниц результатов Google.)
Кажется, есть хоть какая-то тонкость - например, по умолчанию «анонимные» сетевые подключения не включены в «Все».
Что касается учетных записей компьютеров:
У меня возникли проблемы с поиском какой-либо четкой документации по этому поводу, поэтому мне придется ответить, исходя из своего опыта. И по моему опыту, да, разрешения для всех делать применяются к учетным записям компьютеров. (Например, если вы предоставите доступ на запись к общему ресурсу для всех, то компьютерная учетная запись MYDOMAIN \ MYMACHINE $ тем самым получит доступ на запись к этому общему ресурсу.)
Многие сочтут это очевидным, но необходимо четко указать на пару случаев доступа к сетевым ресурсам: некоторые из наиболее известных встроенных идентификаторов - например, СЕТЕВОЙ СЕРВИС - идентифицируется как учетная запись компьютера (например, DOMAIN \ MACHINE $), когда они получают доступ к сетевым ресурсам (например, сетевым ресурсам). Поскольку учетные записи компьютеров находятся в группе «Все», мы знаем, что процессы, выполняемые, скажем, в СЕТЕВОЙ СЛУЖБЕ, также рассматриваются как учетные записи для всех с целью доступа к сетевым ресурсам. (Теоретически идентификаторы пула приложений IIS также должны быть идентифицированы для удаленных машин как учетная запись локального компьютера, но видимо у людей проблемы с этим. В отличие от этого, учетная запись локальной службы определенно не будет считаться для всех, если Это получает доступ к ресурсам - потому что локальная служба идентифицируется для удаленных серверов анонимно, а не как учетная запись компьютера.)
(В большинстве моих экспериментов я использовал Windows Storage Server 2008 в качестве файлового сервера и пытался получить к нему доступ из Windows Server 2008 (Standard) или Windows 7 Pro. Доступ с клиентских машин осуществлялся процессом, работающим в NETWORK SERVICE, который аутентифицирует удаленно в качестве учетной записи компьютера клиентского компьютера.)