了解Authenticated Users组

authenticated users：包括在计算机上或活动目录中的所有通过身份验证的账户。用该组代替everyone组可以防止匿名访问。其身份已得到计算机验证的所有用户。身份验证的用户不包括客户，即使客户帐户有密码。
所有经过Windows XP验证程序登录的用户均属于此组。

“Authenticated Users”（经过身份验证的用户）用户组具有向 Active Directory 域中添加10个计算机账户的能力。这些新计算机账户在计算机容器中创建。

什么是Windows的身份验证
使用这种身份验证模式时，ASP.NET依赖于IIS对用户进行验证，并创建一个Windows访问令牌来表示已通过验证的标识。IIS提供以下几种身份验证机制：
•基本身份验证
•简要身份验证
•集成Windows身份验证
•证书身份验证
•匿名身分验证
用户登录到计算机时，系统会为该用户创建一个访问令牌。该访问令牌包含有关授予给该用户的访问权限级别的信息，其中包括特定的安全标识符 (SID) 和 Windows 权限。管理员登录时，系统会为该用户创建两个单独的访问令牌：标准用户访问令牌和管理员访问令牌。标准用户访问令牌包含的用户特定信息与管理员访问令牌包含的信息相同，但是会删除管理 Windows 权限和 SID。标准用户访问令牌可以启动标准用户应用程序，但不能启动执行管理任务的应用程序。

问：像ASPNET、IWAM_machine_name和IUSR_machine_name这样的账号是Authenticated Users组的成员吗？

答：Authenticated Users并不是一个真正的组，它不过是一个特殊的安全准则（security principal），列出了所有使用本地SAM账户、域账户或来自信任域的账户并通过验证的会话。所以说Authenticated Users确实包含了你所提到的那几个账号。

然而，我并不建议使用Authenticated Users组来控制权限，由于它包含了本地账户，所以你无法在域一级上集中管理它们，这并不是一个好的做法，而且它们是使用NT LAN Manager（NTLM）验证而不是更强壮的Kerberos验证。另外，当你和另一个域建立了信任关系时，Authenticated Users组的成员关系会动态地改变。当需要让域中的所有用户都能够访问某个资源时，我建议你使用Domain Users组，它可以把成员关系限制到域中。如果你需要让整个森林树中所有用户都能访问某个资源时，可以创建一个全局组并命名为Forest Users，然后把各个域的Domain Users组添加到这个全局组里面。