Windows 服务器为何设置 USERS 用户组的权限/设置，会影响到 Administrator？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

V2EX 提问指南

这是一个创建于 2692 天前的主题，其中的信息可能已经有所发展或是发生改变。

以前设置不允许 Users 组登陆，结果把 Administrator 也拦住了，现在在文件权限设置拒绝 Users 修改，结果也拦住了 Administrator。

然而 Administrator 不在 Users 组啊。

users

设置

拦住

Administrator

8 条回复 • 2017-06-23 22:04:57 +08:00

nfroot

2017-06-23 16:22:21 +08:00

请问一下管理员，我这个帖子为何发帖后直接进 Chamber 节点了 0 0.反复查看内容也是百思不得其解。能否咨询一下原因

@Livid @Kai @Olivia @GordianZ @sparanoid

nfroot

2017-06-23 16:23:57 +08:00

= =。趁着还能编辑，赶紧自己移动去问与答了，只是不知道为什么会进 Chamber （发帖后显示帖子页面就直接是在 Chamber 节点了，可见是自动选取了节点）

wevsty

2017-06-23 16:54:04 +08:00

如果一个用户同时具备 2 个组，那么拒绝规则优先于允许规则。
表现在文件上就是你拒绝 User 用户组，但是试图访问的进程包含 User 组，于是就拒绝请求了。

nfroot

2017-06-23 16:56:24 +08:00

@wevsty 然而现实是，Administrator 只在 Administrators 这个组，要不然就不会疑惑了。

Livid

MOD

2017-06-23 17:13:00 +08:00

反馈收到。我检查一下。谢谢。

geelaw

2017-06-23 17:14:51 +08:00 via iPhone

答案是因为 Users 组默认包括 Authenticated Users 和 Interactive，所以任何验证过的用户都会进入 Users 组。

你可以通过 whoami /all 查看自己属于哪些安全实体。

wevsty

2017-06-23 17:18:34 +08:00

@nfroot
系统有些依赖的关系，有些是隐形的，比如 everyone 这个用户组，每一个用户都是这个组的成员，但是这个组就不会列出来。
你用 Process Explorer 看进程的权限就能看到，一个进程的的 owner 是 Administrator 也不代表这个进程只属于 Administrator 用户组，进程的用户组里面同样有 Users 这样的组。
你也可以看到 Users 组的成员里有一个 NT AUTHORITY\Authenticated Users。
Authenticated Users 代表的是经过身份验证的用户，也就是登陆到本机的用户都是 Authenticated Users，所以也就是 Users 组的成员。

nfroot

2017-06-23 22:04:57 +08:00

@geelaw
@wevsty 已赞，谢谢！不可思议，以前只觉得意外