На какую аутентификацию ссылаются "аутентифицированные пользователи" на файловом сервере - локальный или удаленный?

Question

Всякий раз, когда я просматриваю описание разрешений для "Прошедшие проверку", я получаю что-то вроде «любой пользователь, вошедший в систему».

Пользователь Windows, не имеющий доступа к домену и обращающийся к файловому серверу Samba, на котором настроены локальные имена пользователей, будет использовать два разных токена / учетных данных для аутентификации - вход, который они использовали для Windows, и вход, который они добавили или сохранили в Windows "Credential Manager" для доля самбы.

Пользователь, который запускал что-либо как администратор, может одновременно использовать более двух пользователей - свою собственную, учетную запись администратора (с / без связанных токенов в Windows) и Samba.

Итак, что именно проверяется, если для общей папки / общей папки установлено разрешение: «Аутентифицированный пользователь: [что-то]»?

• Это проверка на правильность входа в Windows или на файловый сервер?

• В качестве альтернативы, какие учетные данные тестируются как проходящие / нет: их учетные данные Windows (оцениваются Windows) или учетные данные Samba (оцениваются Samba)?

• С точки зрения безопасности, если я задаю «Authenticated Users = Full», даю ли я разрешение любому, кто может получить доступ к клиенту Windows, или любому, у кого есть действующая учетная запись с доступом к общим ресурсам, определенным в Samba?

Это кажется неоднозначным, и я не могу найти четкий ответ по этому вопросу.

Answer 1

В среде без домена Аутентификация всегда относится к локальной машине. Так что "Аутентифицированный пользователь" всегда с точки зрения сервиса samba. Если вы попытаетесь получить доступ к общему ресурсу без имени пользователя / пароля, вы будете считаться гостем (не прошедшим проверку подлинности). Если вы введете правильное имя пользователя / пароль, вы будете считаться проверенным пользователем.

Это не имеет ничего общего с аутентификацией Windows на стороне клиента. Я не могу сказать, что произойдет, если имя пользователя и пароль будут одинаковыми с обеих сторон, но в целом вам придется проходить аутентификацию в другой раз на удаленном хосте. Тем более, что отсутствует какая-либо служба, такая как Kerberos, которая могла бы аутентифицировать вас, не отправляя ваше имя пользователя / пароль на удаленную сторону.