Grupos y permisos de Windows: significado de grupo de usuarios autenticados

11

¿Cuál es el propósito del grupo "Usuarios autenticados" en Windows? Bajo Linux no existe y estoy empezando a pensar que esta es otra idiosincrasia o ingeniería excesiva del sistema operativo Windows.

Aquí es por qué:

Suponga que quiero saber qué derechos tiene el usuario Mike en el disco C: \, escribiré:

net user mike

y será devuelto:

User name                    mike
Full Name                    
Comment                      
User's comment               
Country code                 000 (System Default)
Account active               Yes
Account expires              Never

Password last set            7/13/2013 7:55:45 AM
Password expires             Never
Password changeable          7/13/2013 7:55:45 AM
Password required            Yes
User may change password     Yes

Workstations allowed         All
Logon script                 
User profile                 
Home directory               
Last logon                   7/13/2013 7:53:58 AM

Logon hours allowed          All

Local Group Memberships      *Users            
Global Group memberships     *None

Por lo tanto, asumo que el usuario mike pertenece solo al grupo Usuarios, por lo tanto, revisaré la pestaña de seguridad con un clic derecho en el disco C y veré que los usuarios que pertenecen al grupo "Usuarios" no pueden modificar el disco c, sino solo leer it.

Sorpresa sorpresa, sin embargo, el usuario mike podrá escribir en C: \ !!! ¿Por qué? porque el comando net no puede saberlo, pero mike también pertenece al grupo de usuarios autenticados que tiene derecho a escribir en C: !!

¿Puede alguien confirmar la historia anterior, comentar si tiene algún sentido o como dudo que sea un caso de ingeniería excesiva y explicar las razones detrás de esto?

EDITAR:

Observe que el comando net muestra grupos correctamente si creo un nuevo grupo y le agrego un usuario.

 net localgroup testgroup /add
 net localgroup testgroup mike 
 net user mike

devuelve

[*]
Local Group Memberships      *Users     *testgroup       
Global Group memberships     *None
    
pregunta dendini 12.07.2013 - 13:53
fuente

2 respuestas

8

Hay una serie de grupos especiales en Windows. Entre estos se incluyen Authenticated Users , Interactive Users , Everyone , etc. En estos días, Everyone y Authenticated Users son efectivamente equivalentes para la mayoría de los propósitos, pero si tuviera un dominio de nivel de dominio anterior a 2003 que no sería cierto.

En cualquier caso, no hay forma de observar a los miembros de estos grupos. En cierto sentido, la membresía se calcula cuando se procesa una SACL o DACL.

Dicho esto, me parece extraño que asigne permisos en el sistema de archivos a usuarios autenticados, especialmente a C:\ . Una configuración más apropiada sería Interactive Users o, si está bloqueando estaciones de trabajo, solo lectura.

Las definiciones técnicas de estos dos, según Microsoft, son:

Usuarios autenticados:

  

Cualquier usuario que acceda al sistema a través de un proceso de inicio de sesión tiene la identidad de usuarios autenticados. Esta identidad permite el acceso a los recursos compartidos dentro del dominio, como los archivos en una carpeta compartida que debería ser accesible para todos los trabajadores de la organización.

Todos:

  

Todos los usuarios interactivos, de red, de acceso telefónico y autenticados son miembros del grupo Todos. Este grupo especial de identidad ofrece un amplio acceso a un recurso del sistema.

Puede encontrar esto por sí mismo, junto con todos los demás, aquí: enlace

    
respondido por el David Hoelzer 13.07.2013 - 15:29
fuente
2

Usuarios autenticados significa exactamente eso: cualquier y todos usuarios que se hayan autenticado en el sistema. Eso sería cualquier usuario que sea miembro de cualquier grupo en su sistema local.

Dado que Mike es miembro de usuarios, es inherentemente un usuario autenticado.

En un entorno de dominio, esto sería cualquier usuario que sea miembro de cualquier grupo en el dominio.

    
respondido por el Tim Brigham 12.07.2013 - 15:26
fuente

Lea otras preguntas en las etiquetas