是经过身份验证的用户中的计算机帐户吗?

<h1>每个人与经过身份验证的用户之间的区别</h1>
<blockquote>是域中复制器组支持文件复制的计算机. Windows Server操作系统使用文件复制服务（FRS）来复制系统卷（SYSVOL）中存储的系统策略和登录脚本.</blockquote>
<h2>操作方法：Windows内置用户，默认组和特殊身份</h2>
<p>特殊身份是 <em>隐式</em> 占位符，他们没有列出 <b>活动目录</b> 但是，当应用权限会员资格时可用.</p>
<p>授予用户的有限帐户创建特权. 该组的成员可以创建和修改大多数类型的帐户，包括用户，本地组和全球组的帐户，并且会员可以在本地登录到域控制器.</p>
<p>帐户运营商组的成员无法管理管理员帐户，管理员的用户帐户或管理员，服务器运营商，帐户操作员，备份操作员或打印运营商组. 该组的成员无法修改用户权限. <br />默认用户权利：允许本地登录：seinteractivelogonright</p>
<p>内置组 . 赠款完全无限制地访问计算机，或者如果将计算机升级为域控制器，则成员无限制地访问了域.</p>
<p>该组不能重命名，删除或移动. 该内置组控制访问其域中所有域控制器的访问，它可以更改所有行政组的成员资格. 会员资格可以由以下组成员修改：默认服务管理员，域中的域名或企业管理员.</p>
<p>该组是组成员创建的任何对象的默认所有者. <br />管理员的默认用户权利</p>
<p>该组目前不在Windows中.</p>
<p>默认用户权利： <br />允许本地登录：Seinteractivelogonright <br />从网络访问这台计算机：senetworklogonright <br />旁路遍历检查：sechangenotifyprivilege <br />更改时区：setimezoneprivilege</p>
<p>是域中复制器组支持文件复制的计算机. Windows Server操作系统使用文件复制服务（FRS）来复制系统卷（SYSVOL）中存储的系统策略和登录脚本.</p>
<p>DFS复制服务是FRS的替代品，可用于复制Sysvol共享资源，DFS文件夹和其他自定义（非Sysvol）数据的内容. 您应该迁移所有非隔音FRS副本集到DFS复制. <br />默认用户权利：无</p>
<p>访问系统的任何服务具有服务身份. 该身份小组包括所有被签署为服务的安全校长. 此身份授予Windows Server Services正在运行的流程的访问. 会员资格由操作系统控制. <br />默认用户权利： <br />创建全局对象：secreateglobalprivilege <br />在身份验证后模仿客户：SeimpersonatePrivilege</p>
<p>在Windows 8和Windows Server 2012中，将共享选项卡添加到高级安全设置用户界面中. 此选项卡显示远程文件共享的安全属性. 要查看此信息，您必须具有以下权限和会员资格，适用于文件服务器正在运行的Windows Server版本.</p>
<p>winrmremotewmiusers_组允许运行PowerShell命令远程运行，而&ldquo;远程管理用户&rdquo;组通常用于允许用户通过使用Server Manager Manager Console来管理服务器. 该安全组是在Windows Server 2012中引入的. <br />默认用户权利：无</p>
<h2>默认管理用户和组：</h2>
<p><img src=”https://ss64.com/nt/syntax-admins.jpg” alt=”AD中的管理组” width=”795″ height=”558″ /></p>
<h3>相关命令</h3>
<p>操作方法：了解不同类型的活动目录组，本地域，全球和通用. <br />Q271876- ACLS中的大量ACE损害目录服务性能. <br />Q243330- Windows操作系统中的著名安全标识符（SIDS）. <br />Q277752-修改组策略时，内置组的安全标识符无法解决. <br />Adminsdholder常见问题解答 – 高特权帐户（管理员和帐户运营商）受到无意修改的保护. <br />Active Directory安全组 – 文档.微软.com</p>
<h2>每个人与经过身份验证的用户之间的区别</h2>
<p><img src=”https://info.varonis.com/hubfs/rob-sobers.jpg” /></p>
<p>为了维持适当的访问控件，重要的是要了解访问控制列表（ACL）上的每个实体所代表的内容，包括内置在Windows环境中的隐性身份.</p>
<p>有很多内置帐户，具有晦涩的名称和模糊的描述，因此可能会令人困惑. 我经常遇到的一个问题是：&ldquo;每个人组和经过身份验证的用户有什么区别 ?透明</p>
<h2>底线</h2>
<p>身份验证的用户包括所有使用用户名和密码登录的用户.</p>
<p>每个人都包含所有使用密码登录的用户 <em>也</em> 内置的，非通信的受保护帐户，例如Guest和local_service .</p>
<h2>更多细节</h2>
<p>如果上述描述对您有点简单，请有更多细节.</p>
<p>这 <strong>身份验证的用户</strong> 组包括所有在登录时认证身份的用户. 这包括本地用户帐户以及来自受信任域的所有域用户帐户.</p>
<p>每个人组包括身份验证的用户组的所有成员以及内置的 <strong>客人</strong> 帐户以及其他几个内置安全帐户，例如服务，local_service，network_service等.</p>
<p>访客帐户是Windows系统上的内置帐户，默认情况下是禁用的. 如果启用，它允许任何人在没有密码的情况下登录.</p>
<p>与普遍的看法相反，任何被匿名登录的人（即他们没有认证） <strong>不是</strong> 被包括在每个人小组中. 曾经是这种情况，但是在Windows 2003和Windows XP（SP2）时已更改.</p>
<h3>获取免费的PowerShell和Active Directory Essentials视频课程</h3>
<h2>谁可以访问什么?</h2>
<p>当涉及权限时，我们需要能够回答的一个关键问题是： <strong>人类</strong> 可以访问特定资源?</p>
<p>大多数时候，当您在Windows中检查给定资源的权限时 <strong>不是</strong> 与人类打交道（这实际上是一种最佳实践）；相反，您正在与小组打交道，其中一些是内置的内隐性身份，名称含糊不清. 结果，我们通常必须做很多挖掘才能获得我们需要的东西.</p>
<p>借助Varonis数据安全平台，您只需单击一键即可看到人类可以访问给定资源. 因此，当您的首席执行官说：&ldquo;谁可以使用’商业秘密.文档&rsquo;?&rdquo;您可以做出有意义的，可行的答案，而不是进行疯狂的寻宝游戏.</p>
<p>要查看这将如何在您的网络上起作用，请立即请求1：1演示.</p>
<h2>…有什么区别</h2>
<p>寻找更多有用的差异化者? 我们写了几本!</p>
<ul>
<li>CIFS vs SMB：有什么区别?</li>
<li>NTFS权限与分享：您需要知道的一切</li>
<li>Active Directory和LDAP之间的差异</li>
<li>组织单位和活动目录组之间的区别</li>
<li>Bash和Powershell之间的区别</li>
<li>SIEM和UBA之间的区别</li>
<li>什么是Ueba? 用户和实体行为分析的完整指南</li>
<li>什么是数据丢失预防（DLP）? 软件和解决方案</li>
<li>SSL和TLS之间的区别</li>
<li>黑客和网络钓鱼有什么区别?</li>
</ul>
<h3>你现在应该做什么</h3>
<p>以下是我们可以帮助您开始降低公司数据风险的三种方式：</p>
<ol>
<li>与我们安排演示会议，我们可以在这里向您展示，回答您的问题，并帮助您查看Varonis是否适合您.</li>
<li>下载我们的免费报告并了解与SaaS数据曝光相关的风险.</li>
<li>与您认识的人分享此博客文章. 通过电子邮件，LinkedIn，Twitter，Reddit或Facebook与他们分享.</li>
</ol>
<p><img src=”https://info.varonis.com/hubfs/rob-sobers.jpg” alt=”罗布·索伯（Rob Sobers）” /></p>
<h5>罗布·索伯（Rob Sobers）</h5>
<p>Rob Sobers是一名专门从事网络安全的软件工程师，并且是本书的合着者Learn Ruby的艰难方式.</p>
<p>免费数据风险评估</p>
<p>加入7,000多个将数据黑暗以自动保护交易的组织. 几分钟内开始.</p>
<h2>身份验证的用户与域用户</h2>
<img src=”https://i0.wp.com/morgantechspace.com/wp-content/uploads/2020/02/cropped-morgantech1.png?fit=273%2C67&ssl=1″ alt=”Morgantechspace” />
<p>两者都是在Windows中引入的内置组，以控制不同级别的用户，计算机和服务帐户等对象的安全性.</p>
<h2>身份验证的用户</h2>
<p>身份验证的用户组包含对域进行身份验证的用户或计算机域信任的域. 身份验证的用户将在所有受信任的域中包含所有手动创建的用户帐户，无论他们是否是域用户组的成员. 认证的用户专门不包含内置的访客帐户，而是包含其他创建和添加到域名的用户.</p>
<p>以下列表显示属于这个小组的成员</p>
<ol>
<li>所有在受信任域中的域用户和用户.</li>
<li>本地计算机.</li>
<li>内置系统帐户.</li>
</ol>
<p>即使与网络断开连接，本地计算机帐户始终是身份验证的用户组的成员. 但是，就像域用户一样，本地计算机帐户必须首先对域进行身份验证，以被视为经过身份验证的用户令牌的一部分。.</p>
<p>身份验证的用户的SID是S-1-5-11. 经过验证的用户可以直接应用于对象的权限，也可以将其放置在内置和用户创建的本地计算机组中. 身份验证的用户不能作为成员添加到另一个用户创建的域组（Global，Local或Universal）. 但是，可以将身份验证的用户组添加到内置域本地组.</p>
<p>在使用域用户帐户和本地用户帐户时，请记住，本地用户帐户也将是经过身份验证的用户的成员，因此可以访问此许可的本地资源. 但是，本地用户帐户访问的范围不会通过身份验证的用户组扩展到远程计算机. 这是因为虽然本地用户帐户包含了身份验证的用户组的SID，但本地用户仍必须在访问授予之前对任何远程计算机进行身份验证.</p>
<p> <b>建议安全</b>：使用身份验证的用户组，而不是每个人组来防止匿名访问资源.</p>
<h2>域用户</h2>
<p>域用户是我们可以在身份验证的用户组中添加或删除无法执行的成员的组 . 在域环境中，管理员帐户和所有新用户帐户自动作为该组成员包含. 该组也是该域的用户本地组和域中每个Windows计算机的成员</p>
<p>默认情况下，域中创建的所有用户都是该组的成员. 但是，域中的默认访客帐户不是该组的成员，而是将其放置在域访客组中</p>
<p>域用户的SID是S-1-5–513. 可以将域用户组添加到其他域组中，并且可以直接授予对象的权限，并放置在本地计算机组中.</p>
<p>您可以参考本文http：// technet.微软.com/en-us/library/dd277461.ASPX了解其他内置组.</p>
<p>谢谢, <br />摩根 <br />软件开发人员</p>
<h2>已解决：所有用户或所有计算机的广告对象</h2>
<p><img src=”https://www.urtech.ca/wp-content/uploads/2022/03/domain-computers.jpg” alt=”域计算机” width=”1212″ height=”623″ /></p>
<p><img src=”https://www.urtech.ca/wp-content/uploads/2022/03/domain-computers-150×150.jpg” alt=”域计算机” width=”150″ height=”150″ /> <img src=”https://www.urtech.ca/wp-content/plugins/accelerated-mobile-pages/images/SD-default-image.png” alt=”域计算机” width=”150″ height=”150″ />在Microsoft Active Directory使用诸如组策略编辑器之类的工具中工作时，您可能会遇到需要使用所有计算机组的情况.</p>
<p>不惧怕，所有计算机的广告组称为域计算机.</p>
<p>GPO过滤时，此帐户特别方便.</p>
<h3>认证的用户与每个人组</h3>
<p>如果要设置某些内容以应用于所有用户，则通常可以使用经过身份验证的用户，也可以错误地使用所有人. 两者都是分组建立的，但是存在关键的不同差异.</p>
<p>从Windows Server 2003开启，每个人都包含经过身份验证的用户 +访客帐户 +匿名帐户.</p>
<p>如果您关心的话，这是头发分裂的细节：</p>
<p> <table width=”478″> <tbody> <tr><td width=”206″><strong>身份验证的用户</strong></td> <td width=”127″><strong>每个人</strong></td> </tr> <tr><td width=”145″><strong>域中的所有用户</strong></td> <td width=”206″>是的</td> <td width=”127″>是的</td> </tr> <tr><td width=”145″><strong>森林中的所有用户</strong></td> <td width=”206″>是的</td> <td width=”127″>是的</td> </tr> <tr><td width=”145″><strong>所有可信赖的森林和域中的用户</strong></td> <td width=”206″>是的</td> <td width=”127″>是的</td> </tr> <tr><td width=”145″><strong>匿名的</strong></td> <td width=”206″>不</td> <td width=”127″>仅在旧的Windows 2000 AD和Windows XP上. Windows Server 2003 AD和Windows XP SP2或更新</td> </tr> <tr><td width=”145″><strong>客人</strong></td> <td width=”206″>仅在Windows 2000 Active Directory＆WinXP – 访客不包括在Server 2003 AD中，WinxP SP2或更新的身份验证用户</td> <td width=”127″>是的</td> </tr> </tbody> </table> </p>
<h3>在Active Directory用户和计算机中找不到身份验证的用户组</h3>
<p>那是对的. 身份验证的用户是一个&ldquo;特殊组&rdquo;，未出现在Active Directory用户和计算机中.</p>
<p>这是所有特殊广告组的完整列表，其中包含Microsoft页面的链接，解释了他们的工作：</p>
<ul>
<li>匿名登录</li>
<li>身份验证的用户</li>
<li>批</li>
<li>创建者组</li>
<li>创建者所有者</li>
<li>拨号</li>
<li>消化身份验证</li>
<li>企业域控制器</li>
<li>每个人</li>
<li>交互的</li>
<li>本地服务</li>
<li>当地系统</li>
<li>网络</li>
<li>网络服务</li>
<li>NTLM身份验证</li>
<li>另一个组织</li>
<li>主要自我</li>
<li>远程交互式登录</li>
<li>受限制的</li>
<li>Schannel身份验证</li>
<li>服务</li>
<li>终端服务器用户</li>
<li>这个组织</li>
<li>Window Manager \ Window Manager组</li>
</ul>