Какие права получает учётная запись в Windows, не входящая ни в одну группу?

Question

[zrxzx / Cyril]

Допустим, я создал учётную запись в ОС Windows и исключил её из всех групп. Какие права в результате у неё будут? Какие действия она сможет совершать в системе? К каким папкам получит доступ?

Answer 1

[MVV]

Маркер доступа, создаваемый для любой учетной записи содержит хорошо известный идентификатор безопасности(SID) для Everyone(Все). Маркер для любой учетной записи, прошедшей аутентификацию (не гостевой), содержит SID Authenticated Users(Прошедшие проверку). Маркер для учетной записи, выполнившей вход в систему содержит SID, соответствующий типу входа: Interactive и пр. И там может ещё некоторое количество хорошо известных SID, назначаемых процессом входа в систему. Чтобы посмотреть их конкретно для учетной записи, выполните команду whoami /groups.
Этот набор SID и определяет разрешения на доступ к объектам в системе.

PS А ешё кроме разрешений у учетной записи могут быть привилегии, не связанные с объектами.

Comments

[zrxzx / Cyril]

Приведу тогда вывод команды whoami /groups для учётной записи, исключённой из всех групп, на случай если кто-то будет искать:

Group Name                             Type             SID                                               
====================================== ================ ============
Everyone                               Well-known group S-1-1-0
BUILTIN\Users                          Alias            S-1-5-32-545
NT AUTHORITY\INTERACTIVE               Well-known group S-1-5-4
CONSOLE LOGON                          Well-known group S-1-2-1
NT AUTHORITY\Authenticated Users       Well-known group S-1-5-11
NT AUTHORITY\This Organization         Well-known group S-1-5-15
NT AUTHORITY\Local account             Well-known group S-1-5-113
LOCAL                                  Well-known group S-1-2-0
NT AUTHORITY\NTLM Authentication       Well-known group S-1-5-64-10
Mandatory Label\Medium Mandatory Level Label            S-1-16-8192

То есть, hint000 был прав: ОС утверждает что учётная запись в группе "Пользователи" отсутствует, однако whoami говорит что SID группы "Пользователи" всё-таки был выдан (сама Microsoft пишет что Users = алиас для Everyone).

[tichoblinii]

zrxzx / Cyril, венда их автоматически назначает пользователю, даже без явного включения в какие-либо группы

Answer 2

[tichoblinii]

Базовые возможности:
Выключить/перезагрузить компьютер
Войти в систему (локально)
Изменять собственный пароль
Читать общедоступные файлы
Просматривать общедоступные папки
Доступ к папкам:
Собственная папка пользователя (C:\Users\[имя_пользователя])
Общедоступная папка (C:\Users\Public)
Временная папка (C:\Windows\Temp) - только чтение
Некоторые системные папки - только чтение
Ограничения:
Нет возможности устанавливать программы
Нет доступа к административным инструментам
Нет возможности изменять системные настройки
Ограниченный доступ к реестру
Нет возможности создавать общие сетевые ресурсы
Нет доступа к папкам других пользователей
Нет возможности создавать вопросы на сайте qna.habr.com