間違っているところあったらコメントなしに直接編集していただいてかまいません。
| Windows | 項目 | UNIX |
|---|---|---|
| ユーザ、グループは同列の権限主体であり、セキュリティプリンシパルというもっと広義のオブジェクトに含まれる。 | 権限主体 | ユーザ、グループは別枠のオブジェクト。別々に権限主体となる。 |
| 可変長の数値構造体“SID(セキュリティ識別子)”。 既定のアカウント以外についてはランダム生成されるのでグローバルユニーク性が期待できる。 |
ユーザID | マシン内で固有の整数“uid”。グループもグループで、マシン内固有の整数ID“gid”を持つ。 |
| ドメインコントローラ作成したユーザやグループはドメイン配下の各マシンで可搬。 また、ドメイン配下外でも認証を経てログオンセッションを“接続”することで【このマシンの資源についてはこのユーザーとして】振る舞える。 |
マルチマシン環境でのユーザ可搬性 | いくつか選択肢がある。 ・ユーザは各マシンに作成し、マッピングファイルを作ってuid対応関係を記述 ・ユーザは各マシンに作成し、Kerberos認証でuid対応付け ・ユーザはLDAPサーバに作成し認証機能を委譲する(uidもLDAP側で定義する)。 |
| ユーザは複数のグループに所属できる | グループの位置づけ | ユーザは必ずひとつ以上のグループに所属する。複数のグループに所属する場合、その中でも“本拠地”となるプライマリグループがひとつ決まっている。 これにより、ユーザがファイルを新規作成したときの所有ユーザ・所有グループが必ず一つ決まる。 |
| ファイル・ディレクトリには必ず所有セキュリティプリンシパルがある(=所有者がユーザである場合もグループである場合も、マシンなどそれ以外の主体である場合もある)。 所有者はそのエントリに対して全権限を持つ。 その他に、【誰は何をできる】という権限エントリを複数設定できる。この権限リストは親ディレクトリのものを継承しており、オーバーライドする形で設定していく。 |
権限の持ち方 | ファイル・ディレクトリには必ず所有ユーザ、所有グループが一つずつある。その上で、読み・書き・実行の3項目について ・所有ユーザができること ・所有グループの所属ユーザができること ・それ以外のユーザができること を設定できる。 |
| ファイルの権限設定を無視できる全能ユーザはいないが、Administratorsグループの所属者はファイルの所有者を強制的に変更可能なので結果的に全権限を行使できる。 | 全権限ユーザ | rootユーザ(uid 0)がマシン内で全権限を持ち、ファイルの権限設定にかかわらずアクセス可能。 |
| ユーザは所属するグループの権限を行使できる | グループの権限とユーザ権限の関係 | ユーザは所属するグループの権限を行使できる |