xp用户组详解.doc

WindowsXP用户组权限 2010-01-17 14:19:56| 分类： 默认分类 | 标签： |字号大中小 订阅WindowsXP用户组权限system组：该组拥有系统中最高的权限，系统和系统级服务的运行都是依靠System赋予的权限(任务管理器很多进程由System开启的)。但是System组只有一个用户就是System，它不允许任何用户的加入，在察看用户组的时候也不会显示出来。Everyone组：该用户组较为特殊，以下的所有用户组都隶属于这个组，因此，以下的用户组也都拥有该组拥有的所有权限。Administrators组：该组默认拥有不受限制的完全访问权，可以对整个系统进行完全控制，是允许用户指定的用户组中权限最高的。PowerUser组：该组可以执行除了Administrators组保留任务外的其他任何操作，分配给PowerUser组的默认权限允许它修改整个计算机的设置，但不能将自己添加到Administrators组，这个组的权限仅次于Administrators。Users组：该组的用户无法修改操作系统的设置，注册表或用户资料。它只能运行经过验证的应用程序或创建本地组，但只能修改创建的本地组。Guests组：该组的权限与Users组拥有的同等访问权，但操作系统对它的限制更多。注意：除了Administrators组之外的用户组即使权限高于其他用户也不能访问其他用户的文件，除非得到其他用户的授权风之蓝色 2008-12-22 00:18Windows XP权限整合应用全解作为微软第一个稳定且安全的操作系统，Windows XP经过几年的磨合过渡期，终于以超过Windows系列操作系统50%的用户占有量成为目前用户使用最多的操作系统。在慢慢熟悉了Windows XP后，人们逐渐开始不满足基本的系统应用了，他们更加渴望学习一些较深入且实用的知识，以便能让系统充分发挥出Windows XP的高级性能。因此本文以Windows XP Professional版本为平台，引领大家感受一下Windows XP在“权限”方面的设计魅力！一、什么是权限 Windows XP提供了非常细致的权限控制项，能够精确定制用户对资源的访问控制能力，大多数的权限从其名称上就可以基本了解其所能实现的内容。(本文是电脑知识网 WWW.SQ120.COM 推荐文章)“权限”(Permission)是针对资源而言的。也就是说，设置权限只能是以资源为对象，即“设置某个文件夹有哪些用户可以拥有相应的权限”，而不能是以用户为主，即“设置某个用户可以对哪些资源拥有权限”。这就意味着“权限”必须针对“资源”而言，脱离了资源去谈权限毫无意义在提到权限的具体实施时，“某个资源”是必须存在的。利用权限可以控制资源被访问的方式，如User组的成员对某个资源拥有“读取”操作权限、Administrators组成员拥有“读取+写入+删除”操作权限等。值得一提的是，有一些Windows用户往往会将“权力”与“权限”两个非常相似的概念搞混淆，这里做一下简单解释：“权力”(Right)主要是针对用户而言的。“权力”通常包含“登录权力”(Logon Right)和“特权”(Privilege)两种。登录权力决定了用户如何登录到计算机，如是否采用本地交互式登录、是否为网络登录等。特权则是一系列权力的总称，这些权力主要用于帮助用户对系统进行管理，如是否允许用户安装或加载驱动程序等。显然，权力与权限有本质上的区别。二、安全标识符、访问控制列表、安全主体 说到Windows XP的权限，就不能不说说“安全标识符”(Security Identifier, SID)、“访问控制列表”(Access Control List，ACL)和安全主体(Security Principal)这三个与其息息相关的设计了。1.安全标识符 在Windows XP中，系统是通过SID对用户进行识别的，而不是很多用户认为的“用户名称”。SID可以应用于系统内的所有用户、组、服务或计算机，因为SID是一个具有惟一性、绝对不会重复产生的数值，所以，在删除了一个账户(如名为“A”的账户)后，再次创建这个“A”账户时，前一个A与后一个A账户的SID是不相同的。这种设计使得账户的权限得到了最基础的保护，盗用权限的情况也就彻底杜绝了。查看用户、组、服务或计算机的SID值，可以使用“Whoami”工具来执行，该工具包含在Windows XP安装光盘的“SupportTools”目录中，双击执行该目录下的“Setup”文件后，将会有包括Whoami工具在内的一系列命令行工具拷贝到“X:Program FilesSupport Tools”目录中。此后在任意一个命令提示符窗口中都可以执行“Whoami /all”命令来查看当前用户的全部信息。2.访问控制列表(ACL) 访问控制列表是权限的核心技术。顾名思义，这是一个权限列表，用于定义特定用户对某个资源的访问权限，实际上这就是Windows XP对资源进行保护时所使用的一个标准。在访问控制列表中，每一个用户或用户组都对应一组访问控制项(Access Control Entry, ACE)，这一点只需在“组或用户名称”列表中选择不同的用户或组时，通过下方的权限列表设置项是不同的这一点就可以看出来。显然，所有用户或用户组的权限访问设置都将会在这里被存储下来，并允许随时被有权限进行修改的用户进行调整，如取消某个用户对某个资源的“写入”权限。3.安全主体(Security Principal) 在Windows XP中，可以将用户、用户组、计算机或服务都看成是一个安全主体，每个安全主体都拥有相对应的账户名称和SID。根据系统架构的不同，账户的管理方式也有所不同本地账户被本地的SAM管理；域的账户则会被活动目录进行管理一般来说，权限的指派过程实际上就是为某个资源指定安全主体(即用户、用户组等)可以拥有怎样的操作过程。因为用户组包括多个用户，所以大多数情况下，为资源指派权限时建议使用用户组来完成，这样可以非常方便地完成统一管理。三、权限的四项基本原则 在Windows XP中，针对权限的管理有四项基本原则，即：拒绝优于允许原则、权限最小化原则、累加原则和权限继承性原则。这四项基本原则对于权限的设置来说，将会起到非常重要的作用，下面就来了解一下：1.拒绝优于允许原则 “拒绝优于允许”原则是一条非常重要且基础性的原则，它可以非常完美地处理好因用户在用户组的归属方面引起的权限“纠纷”，例如，“shyzhong”这个用户既属于“shyzhongs”用户组，也属于“xhxs”用户组，当我们对“xhxs”组中某个资源进行“写入”权限的集中分配(即针对用户组进行)时，这个时候该组中的“shyzhong”账户将自动拥有“写入”的权限。但令人奇怪的是，“shyzhong”账户明明拥有对这个资源的“写入”权限，为什么实际操作中却无法执行呢？原来，在“shyzhongs”组中同样也对“sh