Gruppi di Windows e permessi: significato del gruppo Authenticated Users

11

Qual è lo scopo del gruppo "Authenticated Users" in Windows? Sotto Linux non esiste e sto iniziando a pensare che questa sia un'altra idiosincrasia o over-engineering del sistema operativo Windows.

Ecco perché:

Supponiamo che voglia sapere quali diritti ha l'utente Mike sul disco C: \, scriverò:

net user mike

e verrà restituito:

User name                    mike
Full Name                    
Comment                      
User's comment               
Country code                 000 (System Default)
Account active               Yes
Account expires              Never

Password last set            7/13/2013 7:55:45 AM
Password expires             Never
Password changeable          7/13/2013 7:55:45 AM
Password required            Yes
User may change password     Yes

Workstations allowed         All
Logon script                 
User profile                 
Home directory               
Last logon                   7/13/2013 7:53:58 AM

Logon hours allowed          All

Local Group Memberships      *Users            
Global Group memberships     *None

Quindi presumo che l'utente mike appartenga solo agli utenti del gruppo, quindi controllerò la scheda di sicurezza con un clic destro sul disco C e vedremo che gli utenti appartenenti al gruppo "Users" non possono modificare il disco c ma solo leggere esso.

Sorpresa sorpresa tuttavia, l'utente mike sarà in grado di scrivere su C: \ !!! Perché? perché il comando net non può saperlo, ma mike appartiene anche al gruppo Authenticated Users che ha il diritto di scrivere su C: !!

Qualcuno può confermare la storia di cui sopra, commentare se ha un senso o se dubito che si tratti di un eccesso di ingegnerizzazione ed elaborare le ragioni alla base di questo?

EDIT:

Si noti che il comando net mostra correttamente i gruppi se creo un nuovo gruppo e aggiungo il mike dell'utente ad esso.

 net localgroup testgroup /add
 net localgroup testgroup mike 
 net user mike

restituisce

[*]
Local Group Memberships      *Users     *testgroup       
Global Group memberships     *None
    
posta dendini 12.07.2013 - 13:53
fonte

2 risposte

8

Ci sono diversi gruppi speciali in Windows. Tra questi ci sono Authenticated Users , Interactive Users , Everyone , ecc. Questi giorni, Everyone e Authenticated Users sono equivalenti in modo efficace per la maggior parte degli scopi, ma se avessi un dominio a livello di dominio pre-2003 che non sarebbe vero.

In ogni caso, non c'è modo di osservare l'appartenenza a questi gruppi. In un certo senso, l'appartenenza viene calcolata quando viene elaborato un SACL o un DACL.

Detto questo, mi sembra strano che tu stia assegnando le autorizzazioni nel file system agli utenti autenticati, in particolare C:\ . Un'impostazione più appropriata sarebbe Interactive Users o, se stai bloccando le stazioni di lavoro, leggi solo.

Le definizioni tecniche di questi due, secondo Microsoft, sono:

Utenti autenticati:

Any user accessing the system through a logon process has the Authenticated Users identity. This identity allows access to shared resources within the domain, such as files in a shared folder that should be accessible to all the workers in the organization.

Tutti:

All interactive, network, dial-up, and authenticated users are members of the Everyone group. This special identity group gives wide access to a system resource.

Puoi trovarli per te stesso, insieme a tutti gli altri, qui: link

    
risposta data 13.07.2013 - 15:29
fonte
2

Gli utenti autenticati significano esattamente che - tutti e tutti gli utenti che si sono autenticati nel sistema. Quello sarebbe qualsiasi utente membro del gruppo qualsiasi sul tuo sistema locale.

Poiché Mike è un membro degli utenti, è intrinsecamente un utente autenticato.

In un ambiente di dominio questo sarebbe qualsiasi utente che è membro del gruppo qualsiasi nel dominio.

    
risposta data 12.07.2013 - 15:26
fonte

Leggi altre domande sui tag