locked
"Users" と "Authenticated Users" の違いは? RRS feed

  • 質問

  •  Windows 2003 を含む、全Windowsについて。

    "Users" と "Authenticated Users" の違いは何でしょうか?


    「コンピュータの管理」などから確認すると、 "Authenticated Users" グループは "Users" グループに含まれています。

    これは、下記の参照先 (1), (2) にも明記されています。

     

    一方で、(2) によれば、 "Authenticated Users" グループとは "ID が認証されたすべてのユーザーおよびコンピュータ" (Guest を除く)であり、

    (3) では、 "Usersグループに含まれるユーザーなどはすべてAuthenticated Usersにも含まれます。" と回答されています。

     

    これらの情報に従えば、  "Users" グループ と "Authenticated Users" グループ に含まれるユーザーは、全く同一となります。

     

    通常Dドライブなどのデフォルトでは、"Users" より広いアクセス権が"Authenticated Users" に与えられていますが、

    "Users" グループ と "Authenticated Users" グループ は、何が異なるのか解りません。

     

    <参照先> Technet より

    (1) Microsoft Windows 2000 セキュリティ構成ガイド

    http://technet.microsoft.com/ja-jp/library/dd277461.aspx

    (2) Windows Server 2003 :製品のヘルプ

    http://technet.microsoft.com/ja-jp/library/cc780850(WS.10).aspx

    (3) Windows Vista フォーラム   Authenticated Usersについて

    http://social.technet.microsoft.com/Forums/ja-JP/windowsvistaja/thread/7b00c412-df42-4c68-8b8b-7a8f0138749d/

    2011年4月22日 7:51

回答

  • まず大きな違いとしては

    Usersグループはビルトイングループで、Authenticated Usersは特殊グループになります。

    UsersグループはADに実在し、既定ではDomain Users、Authenticated Users、およびInteractive グループがメンバーになっています。

    Authenticated UsersはADには存在せず、アクセス権の設定の際に使用することができます。よって、Authenticated Usersのメンバーを追加するなどの操作はできません。

    Authenticated Usersは主にEveryoneの変わりに使用されることが多いです。EveryoneだとGuestも含まれてしまうので、それよりも「ドメインに存在する誰でも」であるAuthenticated Usersを使用したほうがセキュリティ的にいいからです。

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/
    • 回答としてマーク 三沢健二 2011年5月2日 6:40
    2011年4月22日 8:09

すべての返信

  • まず大きな違いとしては

    Usersグループはビルトイングループで、Authenticated Usersは特殊グループになります。

    UsersグループはADに実在し、既定ではDomain Users、Authenticated Users、およびInteractive グループがメンバーになっています。

    Authenticated UsersはADには存在せず、アクセス権の設定の際に使用することができます。よって、Authenticated Usersのメンバーを追加するなどの操作はできません。

    Authenticated Usersは主にEveryoneの変わりに使用されることが多いです。EveryoneだとGuestも含まれてしまうので、それよりも「ドメインに存在する誰でも」であるAuthenticated Usersを使用したほうがセキュリティ的にいいからです。

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/
    • 回答としてマーク 三沢健二 2011年5月2日 6:40
    2011年4月22日 8:09
  • こんにちは、フォーラムオペレーターの三沢健二です。

    ABE NAOKI さん、アドバイスありがとうございます。

    なかなか難しいご質問だったと思いますが、案内いただいた内容が参考になられたのではないかと思いましたので、勝手ながら [回答としてマーク] を付けさせていただきました。

    多分、「デフォルト」 では大きな違いはないと思います。
    (違いを探そうとすると、かなり細かい部分になってくると思います)

    ちょっと試してみましたが、例えば、Windows 7 で "Guest" アカウントでローカルログオンできるようにして、"Guest" アカウントでローカルログオンすると、"Authenticated Users" グループのメンバにはなっていませんでした。
    ("whoami /groups" コマンドで確認できます。その場合でも、"Interactive" グループの SID は付与されるので "Users" グループのメンバーにはなっていました)

    大きな違いは、"Users" グループのメンバは権限があれば自由に変更できる事ではないでしょうか?
    (あまり変更しない方が良いと思いますが、運用方針次第で変える事ができます)

    - 参考情報
    セキュリティ識別子
    http://technet.microsoft.com/ja-jp/library/cc780850(WS.10).aspx


    それでは、今後とも TechNet Forum をよろしくお願いします。

    ______________________________________
    日本マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2011年5月2日 6:44
  • ご回答ありがとうございました。
    なるほど、Users は Guest も含んでいるんですね。これは気がつきませんでした。という事は Guestを有効にしている場合には区別する必要がありますね。。。

    結局 Users と Authenticated Users の違いとしては、
    ‐  Guest など、Users のメンバーのうち、Authenticated Users には含まれないものがある。Windows のバージョンによって多少の違いがあるかも。
    ‐  Users は、ビルトイングループなので≪その気になれば≫管理者がメンバーを自由に変更できる。
    そのほか AD の場合に違いがあるという事ですが、通常は、あまり区別する必要はないようですね。

    Authenticated Users の定義がいま一つはっきりせず、ACL を整理するにあたって Everyone や Users の代替として使うのを躊躇していましたが、問題なさそうですので安心しました。


    2011年6月7日 8:49