Groupes et autorisations Windows: signification du groupe Utilisateurs authentifiés
À quoi sert le groupe "Utilisateurs authentifiés" dans Windows? Sous Linux, il n'existe pas et je commence à penser que c'est une autre idiosyncrasie ou suringénierie du système d'exploitation Windows.
Voici pourquoi:
Supposons que je veux savoir quels droits l'utilisateur Mike a sur le disque C: \, je vais taper:
Net User mike
et sera retourné:
User name mike
Full Name
Comment
User's comment
Country code 000 (System Default)
Account active Yes
Account expires Never
Password last set 7/13/2013 7:55:45 AM
Password expires Never
Password changeable 7/13/2013 7:55:45 AM
Password required Yes
User may change password Yes
Workstations allowed All
Logon script
User profile
Home directory
Last logon 7/13/2013 7:53:58 AM
Logon hours allowed All
Local Group Memberships *Users
Global Group memberships *None
Je suppose donc que l'utilisateur mike appartient au groupe Utilisateurs uniquement, je vais donc vérifier l'onglet sécurité avec un clic droit sur le disque C et voir que les utilisateurs appartenant au groupe "Utilisateurs" ne peuvent pas modifier le disque c mais seulement le lire.
Surprise surprise cependant, l'utilisateur mike pourra écrire dans C:\!!! Pourquoi? parce que la commande net ne peut pas le savoir mais mike appartient également au groupe Utilisateurs authentifiés qui a le droit d'écrire sur C: !!
Quelqu'un peut-il confirmer l'histoire ci-dessus, commenter si cela a un sens ou comme je doute que ce soit un cas de suringénierie et expliquer les raisons derrière cela?
MODIFIER:
Notez que la commande net affiche correctement les groupes si je crée un nouveau groupe et y ajoute un micro utilisateur.
net localgroup testgroup /add
net localgroup testgroup mike
Net User mike
retour
[*]
Local Group Memberships *Users *testgroup
Global Group memberships *None
Il existe un certain nombre de groupes spéciaux dans Windows. Parmi ceux-ci figurent Authenticated Users, Interactive Users, Everyone, etc. Ces jours-ci, Everyone et Authenticated Users sont effectivement équivalents dans la plupart des cas, mais si vous disposiez d'un domaine de niveau antérieur à 2003, ce ne serait pas vrai.
En tout état de cause, il n'y a aucun moyen d'observer l'appartenance à ces groupes. Dans un sens, l'appartenance est calculée lorsqu'un SACL ou DACL est traité.
Cela dit, il me semble étrange que vous attribuiez des autorisations dans le système de fichiers à des utilisateurs authentifiés, en particulier C:\. Un paramètre plus approprié serait Interactive Users ou, si vous verrouillez des postes de travail, en lecture seule.
Les définitions techniques de ces deux, selon Microsoft, sont les suivantes:
Utilisateurs authentifiés:
Tout utilisateur accédant au système via un processus de connexion possède l'identité des utilisateurs authentifiés. Cette identité permet d'accéder aux ressources partagées au sein du domaine, telles que les fichiers dans un dossier partagé qui doivent être accessibles à tous les travailleurs de l'organisation.
Toutes les personnes:
Tous les utilisateurs interactifs, réseau, commutés et authentifiés sont membres du groupe Tout le monde. Ce groupe d'identité spécial donne un large accès à une ressource système.
Vous pouvez les trouver par vous-même, ainsi que toutes les autres, ici: http://technet.Microsoft.com/en-us/magazine/dd637754.aspx
Les utilisateurs authentifiés signifient exactement que - tout et tous les utilisateurs qui se sont authentifiés auprès du système. Ce serait n'importe quel utilisateur membre du groupe any sur votre système local.
Étant donné que Mike est membre d'utilisateurs, il est intrinsèquement un utilisateur authentifié.
Dans un environnement de domaine, ce serait tout utilisateur membre du groupe tout sur le domaine.