web-dev-qa-db-fra.com

Groupes et autorisations Windows: signification du groupe Utilisateurs authentifiés

À quoi sert le groupe "Utilisateurs authentifiés" dans Windows? Sous Linux, il n'existe pas et je commence à penser que c'est une autre idiosyncrasie ou suringénierie du système d'exploitation Windows.

Voici pourquoi:

Supposons que je veux savoir quels droits l'utilisateur Mike a sur le disque C: \, je vais taper:

Net User mike

et sera retourné:

User name                    mike
Full Name                    
Comment                      
User's comment               
Country code                 000 (System Default)
Account active               Yes
Account expires              Never

Password last set            7/13/2013 7:55:45 AM
Password expires             Never
Password changeable          7/13/2013 7:55:45 AM
Password required            Yes
User may change password     Yes

Workstations allowed         All
Logon script                 
User profile                 
Home directory               
Last logon                   7/13/2013 7:53:58 AM

Logon hours allowed          All

Local Group Memberships      *Users            
Global Group memberships     *None

Je suppose donc que l'utilisateur mike appartient au groupe Utilisateurs uniquement, je vais donc vérifier l'onglet sécurité avec un clic droit sur le disque C et voir que les utilisateurs appartenant au groupe "Utilisateurs" ne peuvent pas modifier le disque c mais seulement le lire.

Surprise surprise cependant, l'utilisateur mike pourra écrire dans C:\!!! Pourquoi? parce que la commande net ne peut pas le savoir mais mike appartient également au groupe Utilisateurs authentifiés qui a le droit d'écrire sur C: !!

Quelqu'un peut-il confirmer l'histoire ci-dessus, commenter si cela a un sens ou comme je doute que ce soit un cas de suringénierie et expliquer les raisons derrière cela?

MODIFIER:

Notez que la commande net affiche correctement les groupes si je crée un nouveau groupe et y ajoute un micro utilisateur.

 net localgroup testgroup /add
 net localgroup testgroup mike 
 Net User mike

retour

[*]
Local Group Memberships      *Users     *testgroup       
Global Group memberships     *None
12
dendini

Il existe un certain nombre de groupes spéciaux dans Windows. Parmi ceux-ci figurent Authenticated Users, Interactive Users, Everyone, etc. Ces jours-ci, Everyone et Authenticated Users sont effectivement équivalents dans la plupart des cas, mais si vous disposiez d'un domaine de niveau antérieur à 2003, ce ne serait pas vrai.

En tout état de cause, il n'y a aucun moyen d'observer l'appartenance à ces groupes. Dans un sens, l'appartenance est calculée lorsqu'un SACL ou DACL est traité.

Cela dit, il me semble étrange que vous attribuiez des autorisations dans le système de fichiers à des utilisateurs authentifiés, en particulier C:\. Un paramètre plus approprié serait Interactive Users ou, si vous verrouillez des postes de travail, en lecture seule.

Les définitions techniques de ces deux, selon Microsoft, sont les suivantes:

Utilisateurs authentifiés:

Tout utilisateur accédant au système via un processus de connexion possède l'identité des utilisateurs authentifiés. Cette identité permet d'accéder aux ressources partagées au sein du domaine, telles que les fichiers dans un dossier partagé qui doivent être accessibles à tous les travailleurs de l'organisation.

Toutes les personnes:

Tous les utilisateurs interactifs, réseau, commutés et authentifiés sont membres du groupe Tout le monde. Ce groupe d'identité spécial donne un large accès à une ressource système.

Vous pouvez les trouver par vous-même, ainsi que toutes les autres, ici: http://technet.Microsoft.com/en-us/magazine/dd637754.aspx

8
David Hoelzer

Les utilisateurs authentifiés signifient exactement que - tout et tous les utilisateurs qui se sont authentifiés auprès du système. Ce serait n'importe quel utilisateur membre du groupe any sur votre système local.

Étant donné que Mike est membre d'utilisateurs, il est intrinsèquement un utilisateur authentifié.

Dans un environnement de domaine, ce serait tout utilisateur membre du groupe tout sur le domaine.

2
Tim Brigham