Windows 2008でDドライブなどのローカルディスクのアクセス許可設定を見ると、デフォルトで以下のようになっているが、"Authenticated Users"に「変更」の権限が与えられている意味がどうしても理解できない。
Administrators フルコントロール
SYSTEM フルコントロール
Authenticated Users 変更
Users 読み取りと実行
Authenticated Usersグループというのはドメイン、ローカルに関係無く認証されたユーザが所属するグループになっていて、コンピュータにアクセスできるユーザは全てAuthenticated Usersグループに所属することになる。ようするにEveryoneグループとほぼ同じグループになるが、唯一、Everyoneグループと違うのはGuestアカウントが含まれないこと。しかし、通常、Guestアカウントは無効になっているので、Authenticated UsersグループとEveryoneグループの違いは無い。
Authenticated Usersグループに「変更」のアクセス許可があるということは、デフォルトで、全てのユーザに読み取りや書き込み、実行が許可されていることになる。
次にUsersグループだが、Usersグループはローカルのユーザがデフォルトで所属するグループになっているので、認証を行った全てのユーザを含むAuthenticated Usersグループよりも所属するユーザが少ない。
Everyoneグループとほぼ同じAuthenticated Usersグループには「フルコントロール」に近い権限が与えられていて、Usersグループには「読み取りと実行」しか与えられていない。
そもそもUsersグループに所属しているユーザは、Authenticated Usersグループにも所属することになるので、実質、Usersグループの「読み取りと実行」には意味が無い。
"Authenticated Users"に「変更」の権限が与えられているとセキュリティが脆弱になるような気がしてならないのは気のせいだろうか。
とりあえず、ローカルディスクのアクセス許可から、"Authenticated Users"は削除することにした。
Administrators フルコントロール
SYSTEM フルコントロール
Authenticated Users 変更
Users 読み取りと実行
Authenticated Usersグループというのはドメイン、ローカルに関係無く認証されたユーザが所属するグループになっていて、コンピュータにアクセスできるユーザは全てAuthenticated Usersグループに所属することになる。ようするにEveryoneグループとほぼ同じグループになるが、唯一、Everyoneグループと違うのはGuestアカウントが含まれないこと。しかし、通常、Guestアカウントは無効になっているので、Authenticated UsersグループとEveryoneグループの違いは無い。
Authenticated Usersグループに「変更」のアクセス許可があるということは、デフォルトで、全てのユーザに読み取りや書き込み、実行が許可されていることになる。
次にUsersグループだが、Usersグループはローカルのユーザがデフォルトで所属するグループになっているので、認証を行った全てのユーザを含むAuthenticated Usersグループよりも所属するユーザが少ない。
Everyoneグループとほぼ同じAuthenticated Usersグループには「フルコントロール」に近い権限が与えられていて、Usersグループには「読み取りと実行」しか与えられていない。
そもそもUsersグループに所属しているユーザは、Authenticated Usersグループにも所属することになるので、実質、Usersグループの「読み取りと実行」には意味が無い。
"Authenticated Users"に「変更」の権限が与えられているとセキュリティが脆弱になるような気がしてならないのは気のせいだろうか。
とりあえず、ローカルディスクのアクセス許可から、"Authenticated Users"は削除することにした。