適切なレベルのアクセス制御を維持するには、Windowsに組み込まれているものも含め、アクセス制御リスト(ACL)の各オブジェクトが何を表すかを明確に理解することが重要です。
あいまいな名前とあいまいな説明を持つ多くのビルトインアカウントがあり、それらの違いを理解する際に混乱を招く可能性があります。 よくある質問:「EveryoneとAuthenticated Usersの違いは何ですか?」
最も重要なこと
Authenticated Usersグループは、アカウントとパスワードを使用してログインしているすべてのユーザーを対象としています。 Everyoneグループは、アカウントとパスワード、およびGuestやLOCAL_SERVICEなどのパスワードで保護されたビルトインアカウントでログインしているすべてのユーザーを対象としています。
詳細
上記の説明が単純化されているようであれば、もう少し詳しく説明します。
Authenticated Usersグループには、ログイン時に信頼性が検証されたすべてのユーザーが含まれます。これらのユーザーには、ローカルアカウントと信頼できるドメインアカウントの両方が含まれます。
Everyoneグループには、Authenticated Usersグループのすべてのメンバーに加えて、Guestゲストアカウントと、SERVICE、LOCAL_SERVICE、NETWORK_SERVICEなどのその他のビルトインアカウントが含まれます。Guestゲストアカウントはデフォルトで無効になっていますが、アクティブな場合は許可されますパスワードを入力せずにシステムに入ります。
一般的な信念に反して、匿名でログオンする人、つまり 認証に失敗した人は、Everyoneグループに含まれません。 これは以前のケースでしたが、Windows 2003およびWindows XP(SP2)から変更されました。
結論
アクセス許可の配布に関しては、回答できる重要な質問が1つあります。このリソースにアクセスできるのはどの特定の人ですか?
私たちが目にする許可のほとんどは、特定の人々に与えられているのではなく、セキュリティグループに与えられています(そして、これは正しいです)。 その結果、上記の質問に対する答えを見つけるのに多くの時間を費やす必要があります。
解決策があります。 CEOが「だれがSalary Bulletin.docにアクセスできますか?」と尋ねると、1週間の調査の後に特定する代わりに、迅速かつ自信を持って絶対に正確に答えることができます。
EveryoneとAuthenticated Usersの違いは何ですか?
All Articles