《xp用户组详解》由会员分享,可在线阅读,更多相关《xp用户组详解(5页珍藏版)》请在金锄头文库上搜索。
1、WindowsXP 用户组权限 2010-01-17 14:19:56| 分类: 默认分类 |字号大中小 订阅WindowsXP 用户组权限system 组:该组拥有系统中最高的权限,系统和系统级服务的运行都是依靠System 赋予的权限(任务管理器很多进程由 System 开启的)。但是 System 组只有一个用户就是 System,它不允许任何用户的加入,在察看用户组的时候也不会显示出来。Everyone 组:该用户组较为特殊,以下的所有用户组都隶属于这个组,因此,以下的用户组也都拥有该组拥有的所有权限。Administrators 组:该组默认拥有不受限制的完全访问权,可以对整个系统进
2、行完全控制,是允许用户指定的用户组中权限最高的。PowerUser 组:该组可以执行除了 Administrators 组保留任务外的其他任何操作,分配给 PowerUser 组的默认权限允许它修改整个计算机的设置,但不能将自己添加到 Administrators 组,这个组的权限仅次于Administrators。Users 组:该组的用户无法修改操作系统的设置,注册表或用户资料。它只能运行经过验证的应用程序或创建本地组,但只能修改创建的本地组。Guests 组:该组的权限与 Users 组拥有的同等访问权,但操作系统对它的限制更多。注意:除了 Administrators 组之外的用户组即
3、使权限高于其他用户也不能访问其他用户的文件,除非得到其他用户的授权风之蓝色 2008-12-22 00:18Windows XP 权限整合应用全解作为微软第一个稳定且安全的操作系统,Windows XP 经过几年的磨合过渡期,终于以超过 Windows 系列操作系统50%的用户占有量成为目前用户使用最多的操作系统。在慢慢熟悉了 Windows XP 后,人们逐渐开始不满足基本的系统应用了,他们更加渴望学习一些较深入且实用的知识,以便能让系统充分发挥出 Windows XP 的高级性能。因此本文以 Windows XP Professional 版本为平台,引领大家感受一下Windows XP
4、在“权限”方面的设计魅力!一、什么是权限 Windows XP 提供了非常细致的权限控制项,能够精确定制用户对资源的访问控制能力,大多数的权限从其名称上就可以基本了解其所能实现的内容。(本文是电脑知识网 WWW.SQ120.COM 推荐文章)“权限”(Permission)是针对资源而言的。也就是说,设置权限只能是以资源为对象,即“设置某个文件夹有哪些用户可以拥有相应的权限” ,而不能是以用户为主,即“设置某个用户可以对哪些资源拥有权限” 。这就意味着“权限”必须针对“资源”而言,脱离了资源去谈权限毫无意义在提到权限的具体实施时, “某个资源”是必须存在的。利用权限可以控制资源被访问的方式,如
5、 User 组的成员对某个资源拥有“读取”操作权限、Administrators 组成员拥有“读取+写入+删除”操作权限等。值得一提的是,有一些 Windows 用户往往会将“权力”与“权限”两个非常相似的概念搞混淆,这里做一下简单解释:“权力”(Right)主要是针对用户而言的。 “权力”通常包含“登录权力”(Logon Right)和“特权”(Privilege)两种。登录权力决定了用户如何登录到计算机,如是否采用本地交互式登录、是否为网络登录等。特权则是一系列权力的总称,这些权力主要用于帮助用户对系统进行管理,如是否允许用户安装或加载驱动程序等。显然,权力与权限有本质上的区别。二、安全标
6、识符、访问控制列表、安全主体 说到 Windows XP 的权限,就不能不说说“安全标识符”(Security Identifier, SID)、 “访问控制列表”(Access Control List,ACL)和安全主体(Security Principal)这三个与其息息相关的设计了。1.安全标识符 在 Windows XP 中,系统是通过 SID 对用户进行识别的,而不是很多用户认为的“用户名称” 。SID 可以应用于系统内的所有用户、组、服务或计算机,因为 SID 是一个具有惟一性、绝对不会重复产生的数值,所以,在删除了一个账户(如名为“A”的账户)后,再次创建这个“A”账户时,前一
7、个 A 与后一个A 账户的 SID 是不相同的。这种设计使得账户的权限得到了最基础的保护,盗用权限的情况也就彻底杜绝了。查看用户、组、服务或计算机的 SID 值,可以使用“Whoami”工具来执行,该工具包含在 Windows XP 安装光盘的“SupportTools”目录中,双击执行该目录下的“Setup”文件后,将会有包括 Whoami 工具在内的一系列命令行工具拷贝到“X:Program FilesSupport Tools”目录中。此后在任意一个命令提示符窗口中都可以执行“Whoami /all”命令来查看当前用户的全部信息。2.访问控制列表(ACL) 访问控制列表是权限的核心技术。
8、顾名思义,这是一个权限列表,用于定义特定用户对某个资源的访问权限,实际上这就是 Windows XP 对资源进行保护时所使用的一个标准。在访问控制列表中,每一个用户或用户组都对应一组访问控制项(Access Control Entry, ACE),这一点只需在“组或用户名称”列表中选择不同的用户或组时,通过下方的权限列表设置项是不同的这一点就可以看出来。显然,所有用户或用户组的权限访问设置都将会在这里被存储下来,并允许随时被有权限进行修改的用户进行调整,如取消某个用户对某个资源的“写入”权限。3.安全主体(Security Principal) 在 Windows XP 中,可以将用户、用户组
9、、计算机或服务都看成是一个安全主体,每个安全主体都拥有相对应的账户名称和 SID。根据系统架构的不同,账户的管理方式也有所不同本地账户被本地的 SAM 管理;域的账户则会被活动目录进行管理一般来说,权限的指派过程实际上就是为某个资源指定安全主体(即用户、用户组等)可以拥有怎样的操作过程。因为用户组包括多个用户,所以大多数情况下,为资源指派权限时建议使用用户组来完成,这样可以非常方便地完成统一管理。三、权限的四项基本原则 在 Windows XP 中,针对权限的管理有四项基本原则,即:拒绝优于允许原则、权限最小化原则、累加原则和权限继承性原则。这四项基本原则对于权限的设置来说,将会起到非常重要的
10、作用,下面就来了解一下:1.拒绝优于允许原则 “拒绝优于允许”原则是一条非常重要且基础性的原则,它可以非常完美地处理好因用户在用户组的归属方面引起的权限“纠纷” ,例如, “shyzhong”这个用户既属于“shyzhongs”用户组,也属于“xhxs”用户组,当我们对“xhxs”组中某个资源进行“写入”权限的集中分配(即针对用户组进行)时,这个时候该组中的“shyzhong”账户将自动拥有“写入”的权限。但令人奇怪的是, “shyzhong”账户明明拥有对这个资源的“写入”权限,为什么实际操作中却无法执行呢?原来,在“shyzhongs”组中同样也对“shyzhong”用户进行了针对这个资源的权限设置,但设置的权限是“拒绝写入” 。基于“拒绝优于允许”的原则, “shyzhong”在“shyzhongs”组中被 “拒绝写入”的权限将优先于“xhxs”组中被赋予的允许“写入”权限被执行。因此,在实际操作中, “shyzhong”用户无法对这个资源进行“写入”操作。
