В чем разница между группами Everyone и Authenticated Users?

https://blog.varonis.com/the-difference-between-everyone-and-authenticated-users/
В целях поддержания надлежащего уровня контроля доступа, важно однозначно понимать, что каждый объект в списке управления доступом (ACL) представляет, в том числе встроенные в ОС Windows.

Существует множество встроенных учетных записей с малопонятными именами и неопределенными описаниями, что может привести к путанице в понимании разницы между ними. Очень частый вопрос: «В чем разница между группами Everyone и Authenticated Users?»


Самое важное

Группа Authenticated Users охватывает всех пользователей, вошедших в систему, используя учетную запись и пароль. Группа Everyone охватывает всех пользователей, вошедших в систему с учетной записью и паролем, а также встроенные, незащищённые паролем учетные записи, такие как Guest и LOCAL_SERVICE.

Больше деталей

Если описанное выше показалась вам упрощённым, то дальше чуть больше деталей.

Группа Authenticated Users включает в себя всех пользователей, чья подлинность была подтверждена при входе в систему, в них входят как локальные учетные записи, так и учетные записи доверенных доменов.

Группа же Everyone включает всех членов группы Authenticated Users, а также гостевую учетную запись Guest и некоторые другие встроенные учетные записи, такие как likeSERVICE, LOCAL_SERVICE, NETWORK_SERVICE и др. Гостевая учётная запись Guest по умолчанию отключена, однако если она активна, то она дает возможность попасть в систему без ввода пароля.

Вопреки распространенному мнению, любой, кто вошел в систему анонимно, т.е. не прошедшие процедуру подтверждения подлинности, не будут включены в группу Everyone. Это имело место ранее, но изменено начиная с Windows 2003 и Windows XP (SP2).

Выводы

Когда дело доходит до распределения разрешений, существует один важный вопрос, на который мы должны быть в состоянии ответить: какие конкретные люди имеют доступ к данному ресурсу?

Большую часть разрешений, которые мы видим, даны не конкретным людям, а группам безопасности (и это — правильно), роль которых не всегда очевидна. В результате приходится тратить много времени для выяснения ответа на вопрос выше.

Решение есть. Когда ваш CEO спросит: «Кто имеет доступ к «Зарплатная ведомость.doc»?» вы сможете быстро, уверенно и абсолютно точно дать ответ, вместо предположений после недельных расследований.
  • +11
  • 16,7k
  • 9
Varonis Systems
36,00
Компания
Поделиться публикацией

Комментарии 9

    0
    К сожалению это «Зарплатная ведомость.xls»
      0
      Спасибо. Интересный материал, не задумывался даже.
        +1
        Вопреки распространенному мнению, любой, кто вошел в систему анонимно, т.е. не прошедшие процедуру подтверждения подлинности, не будут включены в группу Everyone. Это имело место ранее, но изменено начиная с Windows 2003 и Windows XP (SP2).
        Автор хотел сказать, что это поведение по умолчанию. Вот этот параметр групповой политики:

        разрешать применение разрешений «Для всех» к анонимным пользователям

        как бы, намекает. Так что, когда будете проводить аудит зарплатной ведомости, учтите, что не всё так просто. ;)
          0
          Прошу прощения за оффтопик, но что означает «recovery mode» в блоге компании? В вашем блоге большинство статей такие.
            0
            У автора отрицательная карма, поэтому он может постить статьи только с определёнными ограничениями, а все его посты помечаются такой вот плашкой.
              0
              А почему я так не могу, постить статьи с отрицательной кармой, одну за другой?
          0
          Очень странный рекламный пост! Отвратительно…
            0
            Я долго думал — и решил написать к этой странной статье не менее странный комментарий.
            Согласен, разница между группами «Все» и «Прошедшие проверку» для только принявшихся изучать Windows эникеев неочевидна. Но пример в конце просто отвратителен.
            Во-первых, после фразы
            Большую часть разрешений, которые мы видим, даны не конкретным людям, а группам безопасности (и это — правильно)
            неплохо бы дать ссылку на AGDLP.
            И во-вторых — если CEO узнает, что на файл «Зарплатная ведомость.doc» имеют права доступа группы «Все» или «Прошедшие проверку» — боюсь, у него к Вам возникнет множество значительно более интересных вопросов.

            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

            Самое читаемое