Windows-技术

Authenticated Users

By wooblog

什么是 Authenticated Users 权限?

  • 定义: Authenticated Users 是一个内置的安全标识(Security Identifier, SID),包含所有通过有效凭据(如用户名和密码)登录系统的用户账户。

  • 范围:

    • 包括本地用户和域用户(在域环境中)。

    • 不包括匿名用户(Anonymous Logon)或 Guest 账户(除非 Guest 被明确启用并通过身份验证)。

  • 作用: 用于为经过身份验证的用户分配通用权限,而无需逐一指定每个账户。

Authenticated Users 权限的具体能力

Authenticated Users 的权限取决于系统或管理员的配置,默认情况下包括:

  1. 文件和文件夹管理:

    • 默认权限:

      • 对自己的用户文件夹(如 C:\Users\用户名)有完全控制权。

      • 对公共文件夹(如 C:\Users\Public)有读取和写入权限。

      • 对系统文件夹(如 C:\Windows)通常只有读取和执行权限。

    • 灵活性: 管理员可以为 Authenticated Users 组分配额外的权限(如对共享文件夹的访问)。

  2. 系统配置:

    • 无法直接修改系统设置,除非被提升为 Administrators 组成员。

  3. 软件管理:

    • 可以运行已安装的程序,但无法安装需要系统级权限的软件。

  4. 用户管理:

    • 仅限于管理自己的账户(如更改密码),无法影响其他用户。

  5. 服务和进程:

    • 可以查看自己的进程,但无权控制系统服务或进程。

与 Users、Administrators 和其他组的关系

  • 与 Users 组的对比:

    • Users: 仅包含本地标准用户账户。

    • Authenticated Users: 更广泛,包含所有经过身份验证的用户(包括 Administrators 组成员和域用户)。

    • 例如,一个 Administrators 组成员属于 Authenticated Users,但不一定属于 Users 组。

  • 与 Administrators 的对比:

    • Administrators 拥有完全控制权,而 Authenticated Users 的权限默认较低,除非特别授权。

  • 与 Everyone 的对比:

    • Everyone: 包括所有用户(即使未经过身份验证,如匿名用户)。

    • Authenticated Users: 只包括经过身份验证的用户,范围更窄、更安全。

  • 与 TrustedInstaller 的关系:

    • Authenticated Users 无权修改受 TrustedInstaller 保护的系统文件。

Authenticated Users 权限的特点

  • 动态性: 它不是一个静态组,而是根据登录状态动态应用。只要用户通过身份验证,就属于此组。

  • 默认成员: 包括所有标准用户、管理员用户,甚至某些服务账户(如果它们以身份验证方式运行)。

  • 安全性: 比 Everyone 更安全,因为它排除了匿名访问。

如何管理 Authenticated Users 权限?

  1. 查看权限:

    • 右键文件/文件夹 → 属性 → 安全选项卡 → 查看 Authenticated Users 的权限设置。

  2. 调整权限:

    • Administrators 可以为 Authenticated Users 组分配特定资源(如文件夹)的读取、写入或完全控制权限。

  3. 典型配置:

    • 在共享文件夹或网络资源中,常用 Authenticated Users 来控制访问,而不是开放给 Everyone。

实际应用场景

  • 文件共享: 管理员为公司内部共享文件夹设置权限,授予 Authenticated Users 读取权限,确保只有登录用户可以访问。

  • 软件部署: 某些程序安装后,默认允许 Authenticated Users 执行,而无需管理员权限。

  • 域环境: 在 Active Directory 中,Authenticated Users 常用于分配域范围内的基本权限。

注意事项

  • 权限叠加: 如果一个用户同时属于 Authenticated Users 和 Administrators 组,则以更高权限(Administrators)为主。

  • 潜在风险: 将过多权限授予 Authenticated Users 可能导致安全隐患,因为它包括所有经过身份验证的用户。

  • 与 Guest 的关系: 默认情况下,Guest 账户不属于 Authenticated Users,除非其身份验证被启用。

总结

Authenticated Users 权限适用于所有通过身份验证登录的用户,提供比 Everyone 更安全的权限分配方式,但比 Administrators 和 TrustedInstaller 的权限低得多。它广泛用于文件共享、资源访问和基本操作授权,权限范围取决于管理员的配置。相比 Users 组,它更广义,包含所有验证用户,而非仅限于标准账户。

Anonymous Logon
Authentication Authority

登录

还没有账号吗? 注册

忘记密码?

注册

重设密码

请输入您的用户名或电子邮箱地址。您会收到一封包含创建新密码链接的电子邮件。