Active Directory 中经过身份验证的用户与所有人组

在Windows环境中，有许多内置帐户，其名称和描述晦涩难懂，因此很难知道它们的用途。然而，了解访问控制列表 (ACL) 上的每个实体对于维护正确的访问控制至关重要。一个常见的问题是：“Everyone 组和经过身份验证的用户组有什么区别？ ”。简单来说，“Authenticated Users”包括所有使用用户名和密码登录的用户，而“Everyone”则包括受密码保护的帐户和内置帐户，例如 Guest 和 LOCAL_SERVICE。 Authenticated Users 组包括本地和域用户帐户，而Everyone 组包括其他安全帐户。

需要注意的是，匿名用户不包含在Everyone 组中。大多数时候，Windows 处理的是组用户而不是个人用户。然而，在检查权限时，确定哪些特定用户有权访问给定资源至关重要，这通常需要进行彻底的调查。

Windows 帐户类型

如上所述，Authenticated Users 组包括在 Windows 操作系统中使用有效凭据进行身份验证的所有用户，而Everyone 组包括 Authenticated Users 组和 Guest 帐户。在 Windows XP SP2 和 Windows Server 2003 中，这些组的成员身份发生了变化。下面简单介绍一下Windows中的内置帐户：

• 来宾帐户：来宾帐户在 Windows 2000 AD 和 XP 中是两个组的成员，但在 Windows 2003 AD 和 XP SP2 中仅是Everyone 组的成员。
• 匿名帐户：匿名帐户是Windows 2000 AD 和XP 中Everyone 组的成员，但不是Authenticated Users 组的成员。在 Windows 2003 AD 和 XP SP2 中，默认情况下，匿名帐户不是任一组的成员，除非启用了特定的安全策略设置。
• Everyone 组：Everyone 组对于向所有用户授予权限非常有用，但它包括来宾和匿名帐户，这在某些情况下可能并不理想。
• 经过身份验证的用户组：经过身份验证的用户组不包括访客和匿名帐户，在限制对有效、非访客和非匿名用户的访问时非常有用。

所有人、用户和经过身份验证的用户组之间的区别

仅根据名称来区分“每个人”、“用户”和“经过身份验证的用户”组的原因可能并不明显。然而，值得注意的是，Everyone 组是最不安全的，因为它真正涵盖了所有用户。通常，Everyone 组包含与 Users 和 Authenticated Users 组相同的用户组。尽管如此，如果启用了来宾帐户，以来宾身份登录的用户将属于“所有人”，但不属于“用户”或“经过身份验证的用户”。用户组和经过身份验证的用户组之间的区别有点复杂。虽然人们可能会假设所有用户都是经过身份验证的用户，因为他们必须进行身份验证，但名为“Authenticated Users”的单独组的存在是有目的的，因为并非 Users 组的所有成员都经过身份验证。

Windows 网络允许涉及空会话的计算机到计算机连接，这些连接用于交换共享资源列表。在用户向域进行身份验证之前，工作站还使用空会话连接到域控制器。重要的是不要将空会话与 IIS 中的匿名身份验证混淆，因为它们是完全不同的概念。在 IIS 中使用匿名身份验证的用户使用预先存在的 IUSR_computername 帐户，并且是“Everyone”、“Users”和“Authenticated Users”组的成员。 User 组中包含空连接会带来安全问题，促使 Microsoft 在 Windows NT 4.0 Service Pack 3 (SP3) 前后引入 Authenticated Users 组。该组包括经过身份验证的用户，但不包括空会话。因此，对于 NTFS 权限，建议使用经过身份验证的用户而不是“每个人”。