Windows用户账户安全策略课件

1、Windows用户账户安全策略1 Windows用户账户安全策略 在用户账户安全方面，与用户用户有关的安全因素 还有许多如用户密码策略、账户锁定策略、共享文件夹共 享权限、NTFS文件访问权限等。这些安全因素配置不当 都有可能给整个企业网络带来安全威胁，特别是用户账户 密码策略、文件夹共享和文件访问权限这几个方面。 本章重点如下： Windows Server 2003系统的主要安全功能 Windows Server 2003系统用户密码、账户锁定和Kerberos 策略 Windows Server 2003系统用户权限的配置 默认共享的取消和文件夹共享权限的配置 NTFS文件访问权限配置

2、Windows XP系统私人文件夹的创建 Windows用户账户安全策略2 6.1Windows Server 2003系统安全概述 Windows Server 2003家族安全模型的主要功能是用户身 份验证和访问控制。 6.1.1 安全模型功能 在Windows Server 2003系统中，主要安全模型功能有以 下几个： 身份验证 基于对象的访问控制 安全策略 审核 Active Directory和安全性 数据保护 公钥基础结构 信任 本节详细内容参见书本的P186P187页。 Windows用户账户安全策略3 6.1.2 Windows Server 2003系统新安全功能 1. 新

3、功能 授权管理器 存储用户名和密码 软件限制策略 2. 更改成现有的技术 证书颁发机构 受限委派 有效权限工具 加密文件系统 （EFS） Everyone成员身份 基于操作的审核 重新应用安全默认值 本节详细内容参见书本的P187P188页。 Windows用户账户安全策略4 6.1.3与以前系统相比的新增或更新的安全功能 1. 自Windows NT 4.0系统以后新增和更新的功能 加密文件系统 Internet协议安全性 2. 自Windows 2000系统以后的新增和更新功能 TCP/UDP端口所有权 加密文件系统改进功能 软件限制策略 Internet协议安全性监视改进功能 本节详细内

4、容参见书本的P188页。 Windows用户账户安全策略5 6.2 域账户策略设置 本节要向大家介绍的就是这个域安全策略设置，不过 它的基本设置方法基本上都适用于单机的本地安全设置。 6.2.1域账户和本地策略简介 对于域账户，只有一种账户策略。账户策略必须在 “默认域策略设置”中定义，并且由组成该域的域控制器 实施，如图6-1所示。这一管理工具界面打开的方法是执行 开始管理工具域安全策略操作（注意不 要选择了“域控制器安全策略”选项，因为那只是针对域 控制器本身，而不是针对整个域网络）。 域控制器始终从“默认域策略设置”中获得账户策略， 即使已经存在了一个应用到包括该域控制器在内的组织单 位

5、的不同账户策略。默认情况下，加入到域（例如成员计 算机）中的工作站和服务器会接收到相同的账户策略用于 本地账户。然而，本地账户策略可能不同于域账户策略。 Windows用户账户安全策略6 图6-1 默认域安全策略 在Windows Server 2003系统中账户策略包含密码策略、 账户锁定策略和Kerberos策略三个子集。而在Windows Server 2003系统中的本地策略中包含审核策略、用户权限分配和安 全选项三个子集。本节详细内容参见书本的P189P190页。 Windows用户账户安全策略7 6.2.2 域账户密码概述 密码为抵御对企业的非法访问构筑了第一道防线。 Window

6、s Server 2003家族拥有一项新增功能，可以在操作 系统启动时检查Administrator账户密码的复杂程度。如果 密码为空或者不满足复杂性要求，将显示Windows Installer 对话框，警告您Administrator账户不使用强密码可能存在 危险。如果继续使用空密码，您将无法通过网络访问该账 户。 弱密码会使得攻击者易于访问您的计算机和网络，而 强密码则难以破解，即使使用当今的密码破解软件也难以 办到。密码破解工具正在不断进步，而用于破解密码的计 算机也比以往更为强大。密码破解软件使用下面三种方法 之一：巧妙猜测、词典攻击和自动尝试字符的各种可能的 组合。只要有足够时间，

7、这种自动方法可以破解任何密码。 即便如此，破解强密码也远比破解弱密码困难得多。因为 安全的计算机需要对所有用户账户都使用强密码。 Windows用户账户安全策略8 通常所说的弱密码主要体现在以下几个方面： 根本没有密码，就是不设密码，这是许多初级网络管理员 最经常使用的。 包含用户名、真实姓名或公司名称，这也是我们日常经常 使用的。 包含完整的字典词汇。例如，Password就属于弱密码。这 很容易受到字典类的网络攻击。 而在Windows Server 2003系统中所规定的强密码则 至少需要满足以下条件： 密码长度至少有七个字符。 不包含用户名、真实姓名或公司名称。 不包含完整的字典词汇。

8、 与先前使用过的密码大不相同。递增密码 （Password1、 Password2、Password3 .） 不能算作强密码。 包含书中表6-1所列的全部四组字符类型中三组或以上。 有的密码虽然可以满足大多数强密码的条件，但仍然 较弱。例如，Hello2U! 就是一个相对而言的弱密码，因为 包括一个完整、且顺序一致的单词。 Windows用户账户安全策略9 6.2.3 域账户密码使用原则 密码的使用最好遵循以下几个主要原则： 1. 鼓励用户遵循最佳密码保护策略 始终使用强密码。 如果不得不将密码写在纸上，请将纸张保存在安全的位置， 并在不再需要时销毁。 永远不要与任何人共享密码。 对所有用户账

9、户都分别使用不同的密码。 密码一旦泄露，应立即更改密码。 谨慎选择密码在计算机上保存的位置。 2. 定义密码策略，用强密码保护所有用户账户 定义“强制密码历史”策略设置，可以使系统记忆几个以 前用过的密码。 Windows用户账户安全策略10 u定义“密码最长期限”策略设置，可以使密码的到期时间 尽可能短，通常的间隔是30至90天。 u定义“最短密码期限”策略设置，可以使密码在指定的天 数内无法更改。 u定义“最短密码长度”策略设置，可以使密码必须至少包 含指定个数的字符。 u启用“密码必须符合复杂性要求”策略设置。 3. 谨慎定义账户锁定策略 u不要随意使用账户锁定策略 u如果决定采用账户锁

10、定策略，应设置足够高的“账户锁定 阈值”策略设置，使合法用户不至于仅因敲错了密码而被 锁定。 u如果合法用户在一台计算机上更改了密码，但没有同时更 改另一台计算机上的密码，这时合法用户将被锁定。 本节详细内容参见书本的P191P192页。 Windows用户账户安全策略11 6.2.4 域账户密码策略的设置 密码策略的设置方法同样适用于域账户或本地用户 账户。这部分设置项目包括： 强制密码历史 密码最长使用期限 密码最短使用期限 密码长度最小值 密码必须符合复杂性要求 用可还原的加密来存储密码 本节详细内容参见书本的P192P194页。 Windows用户账户安全策略12 6.2.5系统密钥实

11、用程序 用户账户的密码信息存储在工作站和成员服务器注 册表的安全账户管理器（SAM）数据库中。在域控制器上， 密码信息存储在目录服务中。通常情况下，密码破解软件 大都针对SAM数据库或目录服务来获取用户账户的密码。 系统密钥实用程序（Syskey）为对抗密码破解软件建立了 另一道防线。它使用强加密技术来保证存储在SAM数据库 或目录服务中的账户密码信息的安全。破解经过加密的账 户密码会变得更加困难，更为耗时。 创建或更新系统密钥的具体步骤参见书中P195页介绍。 但执行该过程时需要视环境的不同而使用不同的管理凭据： 如果创建或更新系统密钥用于本地计算机：要执行该过程， 您必须是本地计算机Adm

12、inistrators组的成员，或者您必须 被委派适当的权限。如果将计算机加入域，Domain Admins组的成员可能也可以执行这个过程。作为安全性的 最佳操作，可以考虑使用运行方式来执行这个过程。 Windows用户账户安全策略13 u如果创建或更新系统密钥用于域控制器：若要执行此过程， 您必须是Active Directory中Domain Admins组或Enterprise Admins组的成员，或者您必须被委派了适当的权限。作为 安全性的最佳操作，可以考虑使用运行方式来执行这个过 程。 如果存储系统密钥的磁盘丢失，或在选择了“密码启 动”方式后又忘记了系统密钥密码，您将无法启动计算

13、机， 除非将注册表还原到使用系统密钥之前的状态。 对于密码策略的设置和应用还可以在组策略中进行， 具体方法是在“Active Directory用户和计算机”管理工具 中，在域控制器上单击右键，在弹出菜单中选择“属性” 选项，然后在打开的对话框中选择“组策略”选项卡，具 体配置方法参见书本P196页介绍。 【技巧】因为系统管理员账户Administrator大家都知 道，所以出于安全考虑，通常把系统管理员账户名称进行 更改（注意，包括账户说明）。而为了欺骗那些非法用户， 通常把一个具有较低权限的用户名改为administrator。如果 当前是采用administrator系统管理员账户登录域

14、控制器的， 则在管理员账户名更改后系统要求注销当前用户，重新以 新名称登录。 Windows用户账户安全策略14 6.2.6 账户锁定策略配置 账户锁定策略就是让在指定的时间段内，输入不正 确的密码达到了指定的次数，将禁用用户账户。这些策略 设置有助于防止攻击者猜测用户密码，并由此减少成功袭 击所在网络的可能性。 账户锁定策略用于域账户或本地用户账户。它们确定 某个账户被系统锁定的情况和时间长短。这部分包含以下 三个方面： 账户锁定时间 账户锁定阈值 复位账户锁定计数器 以上策略的具体设置方法参见书本P197P199页介绍。 Windows用户账户安全策略15 6.2.7 Kerberos身份

15、验证策略配置 Kerberos V5身份验证协议是用于确认用户或主机身份的 身份验证机制，也是Windows 2000和Windows Server 2003系统默认的身份验证服务。Internet协议安全性 （IPSec）可以使用Kerberos协议进行身份验证。 对于在安装过程中所有加入到Windows Server 2003或 Windows 2000域的计算机都默认启用Kerberos V5身份验证 协议。Kerberos可对域内的资源和驻留在受信任的域中的 资源提供单一登录。可通过那些作为账户策略一部分的 Kerberos安全设置来控制Kerberos配置的某些方面。例如， 可设置用

16、户的Kerberos 5票证生存周期。作为管理员，可以 使用默认的kerberos策略，也可以更改它以适应环境的需 要。 使用Kerberos V5进行成功的身份验证需要两个客户 端系统都必须运行Windows 2000、Windows Server 2003家 族或Windows XP Professional操作系统。 Windows用户账户安全策略16 如果客户端系统尝试向运行其他操作系统的服务器 进行身份验证，则使用NTLM协议作为身份验证机制。 NTLM身份验证协议是用来处理两台计算机（其中至少有 一台计算机运行Windows NT 4.0或更早版本）之间事务的 协议。 使用Kerb

17、eros进行身份验证的计算机必须使其时间设置 在5分钟内与常规时间服务同步，否则身份验证将失败。 运行Windows Server 2003家族成员、Windows XP Professional或Windows 2000的计算机将自动更新当前时间， 并将域控制器用作网络时间服务。 Kerberos策略用于域用户账户，同样既可在“默认域 安全策略”中配置，又可在域的组策略中配置。 Kerberos策略选项包括：强制用户登录限制、服务票 证最长寿命、用户票证最长寿命、用户票证续订最长寿命、 计算机时钟同步的最大容差。 域账户的Kerberos策略既可以在“默认域安全策略” 中设置，又可以在域组策

18、略中设置，但它们的设置方法都 是一样的，不同的只是打开两者窗口的方式不一样。 Kerberos策略的具体设置方法参见书本P200P202页介 绍。 Windows用户账户安全策略17 6.3 封死黑客的“后门” 一个操作系统，特别是一个服务器操作系统中，由于 开放了许多网络服务，所以可以作为黑客攻击“后门”的 有许多，在此仅以最主要几种类型介绍。 6.3.1禁用Guest账户和更改管理员账户名 有很多入侵都是通过Guest（来宾）账户进一步获得管 理员密码或者权限，进而实现他们攻击的目的。 Guest账 户可以为我们用户间文件共享提供方便，因为它可以使其 他用户以匿名方式访问自己的共享文件，而

19、无需输入正确 的用户名和密码。也正因如此，它给我留下了相当大的安 全隐患，有些黑客可以通过这个账户先登录系统，然后通 过账户复制功能，把管理员权限复制到这个来宾账户上， 这样黑客们就可以为所欲为了。 禁用这个账户的方法很简单，而且方法有多种，书中 介绍一种同时适用于Windows 2000/XP/Server 2003系统的 方法，参见书本P202P203页。 Windows用户账户安全策略18 从用户列表中删除这个账户即可，或者把Guest账户 访问此文件夹的权限仅设置为“列出文件夹目录”或“读 取”之类较低的权限，这样就安全多了。 系统管理员（Administrator）账户拥有最高的系统

20、权 限，一旦该账户被人利用，后果不堪设想。黑客入侵的常 用手段之一就是试图获得Administrator账户的密码，所以 我们要重新配置Administrator帐号。首先是为Administrator 账户设置一个强大复杂的密码，然后我们重命名 Administrator账户，再创建一个没有管理员权限的 Administrator账户欺骗入侵者（注意，要对相应账户的描 述重新描述，以蒙骗那些非法用户）。这样一来，入侵者 就很难搞清哪个账户真正拥有管理员权限，也就在一定程 度上减少了危险性。 至于管理员账户Administrator的更改可以在该账户上单 击右键，在弹出菜单中选择“重命名”选项

21、，然后按平常 所进行的重命名方法一样重命名即可。 Windows用户账户安全策略19 6.3.2 关闭“文件和打印共享”功能 文件和打印共享是一个非常有用的功能，但 在不需要它的时候，也是黑客入侵的很好的安全 漏洞，所以在没有必要共享的情况下，最好也将 它们禁用。方法很简单，在Windwos 2000/XP/Server 2003系统中的方法参见书本 P203P204页介绍。 6.3.3 删掉不必要的协议 对于服务器和主机来说，一般只安装TCP/IP 协议就够了，因为现在主流的操作系统都是采用 TCP/IP协议进行网络通信的。如果安装了其他协 议，可以对那些定无用的协议彻底删除。具体方 法参见

22、书本P204P205页介绍。 Windows用户账户安全策略20 6.4 用户账户权限分配 用户权限的分配主要是通过两种方式进行的：系统 默认用户或组账户已具有相应的权限（但不是所有默认组 都有的）；其他新建用户和组则是通过隶属于系统默认组 账户来获取相应权限。所以，我们在为用分配权限时先要 清楚系统默认的用户和组账户，以及它们各自的权限。 6.4.1 Windows Server 2003域默认账户及权限 在图6-2所示的“Active Directory用户和计算机”管理 工具中的“Users”容器中包含了系统默认的三个用户账户， 它们分别是Administrator（系统管理员账户）、G

23、uest（来 宾账户）和HelpAssistant（远程协助账户）。 Administrator、Guest和HelpAssistant三个用户账户是 系统安装并创建域时自动创建的，其他用户账户是在安装 一些服务器服务和应用程序后自动创建的。每个内置账户 均有不同的权利和权限组合。Administrator账户具有最广 泛的权利和权限，而Guest账户的权利和权限则有限。 Windows用户账户安全策略21 图6-2 “Active Directory用户和计算机”管理工具窗口 这三个默认用户账户的相应权限参见书本P206页的表6-3。 Windows用户账户安全策略22 6.4.2 域默认组

24、账户 默认组是当创建Active Directory域时自动创建的安 全组。可以使用这些预定义的组帮助您控制对共享资源的 访问，并委派特定的域范围的管理角色.许多默认组被自动 指派一组用户权利，授权组中的成员执行域中的特定操作， 例如，Backup Operators组的成员有权对域中的所有域控制 器执行备份操作。当您将用户添加到组中时，用户将接受 指派给该组的所有用户权利以及指派给该组的有关任何共 享资源的所有权限。 可以通过使用“Active Directory用户和计算机”管理 工具来管理组。默认组位于“Builtin”容器和“Users”容器 中。“Builtin”容器包含用本地域作用

25、域定义的组； “Users”容器包含通过全局作用域定义的组和通过本地域 作用域定义的组两类。可将这些容器中的组移动到域中的 其他组或组织单位，但不能将它们移动到其他域。详细的 默认组功能和权限参见书本P207页的表6-4和P208页的表6- 5。 Windows用户账户安全策略23 6.4.3 域用户权限分配 域用户和组的权限可以在服务器和各工作站计算机 中分别设置，当然并不一定要求对以下介绍的选项进行全 面设置，只是对有需要的进行设置就可以了。 管理员可以指派特定权限给组账户或单个用户账户， 这些权利批准用户执行特定的操作，如交互式登录系统或 备份文件和目录。在Windows Server

26、2003系统中，可以 给用户配置的权限比较多，总的来说可以分为大类：特权 和用户登录权利。 对于域控制器的域用户权限设置是在“域控制器安全 策略”中进行的，具体步骤和各种用户权限功能说明均可 参见书中介绍。而在工作站中，如Windows 2000 Professional/XP系统中，都可以在“控制面板”中的“管 理工具”中找到“本地安全策略”选项，这些用户权限的 配置就是在这里配置的。配置方法与在域组策略中配置用 户权限的方法类似，各用户权限项参见书本P209P217页。 Windows用户账户安全策略24 6.5共享文件夹访问权限 从安全角度考虑，我们应尽可能地减少网络中的共 享文件夹数量

27、，如果确实需要共享，也应尽可能减少拥有 高共享权限的用户数，或者降低每个共享用户的共享权限。 6.5.1 取消系统默认共享 本节要介绍的是取消系统默认的共享磁盘分区、系统 文件夹和命名管道等资源的共享设置。对于这些系统默认 的共享配置，我们可以通过在“计算机管理”工具的“共 享”选项中全面查看到，如图6-3所示。 实践证明不能直接在以上“计算机管理”（或文件服 务器）窗口中取消，因为这样取消后在重新启动后系统又 会把这些驱动器和文件夹自动重新设为共享。况且像远程 连接所需的IP管道共享（IPC$）根本找不到共享路径。 虽然手动方式行不通，但是还是可以有解决方法的， 其实很简单，只需一个简单的设

28、置即可全面取消系统默认 的共享设置，包括那个IP管道共享。 Windows用户账户安全策略25 图6-3 “计算机管理”窗口 方法是在“运行”窗口中输入regedt32命令，在注册表 编辑器中找到HKEY_LOCAL_MACHINESYSTEMCurrent ControlSetSevices Lanmanserverparameters键项，通过编辑 这个键值项来实现。具体参见书本P218P219页。 Windows用户账户安全策略26 对于IP管首共享IPC$，通常不是采取禁用方式，而 是采用限用方式。在注册表中找到： HKEY_LOCAL_MACHINE SYSTEMCurrentCon

29、trolSetControlLsa键项，双击更改键 值项 restrictanonymous双字节键值，默认为0，就是不限 制，但可以更改。 除以注册表方式外，还有一种就是批处理方式，用户 自己编写一个批处理文件，它所用的命令就是net use，然 后把批处理文件放在随系统的启动的项目中。配置方法可 以有两种方法： 其中一种方法是注册表法，在注册表中找到 HKEY_LOCAL_MACHINESOFTWARE Microsoft WindowsCurrent VersionRun键项下添加一个字符串键值项， 项名就为netshare.bat，键值为该批处理文件所在绝对路径， 一定要输入正确，以方

30、便系统启动时调用。 另一种方法就是在把所编写的批处理文件直接放在相应用 户账户文件夹下的“启动”文件夹下（可以在资源管理器 中直接查找到），这样系统启动时也会自动运行这个批处 理文件，删除系统默认共享。 以上详细的设置方法参见书本P219P221介绍。 Windows用户账户安全策略27 6.5.2 共享权限类型 共享权限是保护FAT和FAT32卷上的网络资源的唯一 方法，NTFS文件格式的文件夹还可以通过文件的安全访 问权限配置。在NTFS格式磁盘或文件夹上，用户的最终 访问权限是受两者共同决定的，当然如果该磁盘分区或文 件夹没有设置成共享，则也只由NTFS安全访问权限决定。 共享文件夹访问

31、权限的配置方法很简单，都是在文件 夹（不能对单独文件设置共享）属性对话框中进行，但权 限配置选项要根据具体情况而定，一要看是FAT格式，还 是NTFS格式，虽然配置方法基本一样，但其中的共享权 限选项不完全相同；另外，还要区分是否是简单文件共享 方式，因为它也关系到具体的配置方法。 除了文件夹上默认的共享权限外，我们还可以自己添 加需要共享该文件夹文件的用户。 具体用户的共享权限配置方法参见书本P221P222页。 Windows用户账户安全策略28 6.5.3 创建私人文件夹 在Windows XP系统中有一项新的功能，那就是可以 为用户建立私人文件夹。我们知道，在Windows 2000

32、Server /Server 2003家族服务器系统中，我们可以为每个用 户创建只有自己能访问的主文件夹。现在这一功能在 Windows XP系统也可以实现，对需要多人共用一台电脑的 企业来说非常有用，因为不同员工用户可以在同一台电脑 中创建只有自己才可以访问的私人文件夹。具体配置步骤 参见书本P223页介绍。 【注意】创建私人文件的功能仅可用于包含在用户配 置文件中的文件夹，其中包括了“我的文档”及其子文件 夹、桌面、“开始”菜单、Cookies 和收藏夹。而且这些 文件夹所在磁盘分获必须是NTFS文件格式，其他格式的 无效。配置成私人文件夹后，其他所有用户均不可访问， 但如果这些文件夹尚未

33、设置为私人文件夹，则任何使用该 计算机的人都可使用这些文件夹。将一个文件夹设置为私 人文件夹时，则该文件夹中的所有子文件夹也将成为私人 文件夹。 Windows用户账户安全策略29 6.6 NTFS文件访问权限的配置 与共享文件夹的访问权限一样，NTFS文件夹的访问 权限对于整个系统，特别是本地计算机系统的的安全非常 重要。共享文件夹的访问权限是用户通过网络进行文件访 问的权限，而NTFS访问权限则是用户在本地计算机中的文 件访问权限。相比之下之下，共享文件夹的访问权限设置 对于网络安全更重要，而本节所要介绍的NTFS访问权限则 对于各服务器和工作站的本地系统安全更为重要。但是共 享文件夹的访

34、问权限与NTFS文件访问权限又不完全独立的， 在NTFS文件格式磁盘中的共享文件夹中，两个权限是相互 影响的，这在上节已有说明。 在FAT和NTFS文件格式的文件夹中都可以设置共享权 限，但只有NTFS格式的文件夹可以配置NTFS本地文件访问 权限。而且共享权限只能在文件夹中中配置，而NTFS访问 权限却可以同时在文件和文件夹中配置，如图6-4所示的 是NTFS文件访问权限的配置对话框；而如图6-5所示的是 NTFS文件夹访问权限配置对话框。 Windows用户账户安全策略30 图6-4 文件属性“安全“选项卡对话框 图6-5 文件夹属性“安全”选项卡对 话框 进入的方法都是在相应的文件或文件

35、夹上单击右键，然 后选择“属性”选项，再在打开的对话框中选择“安全”选 项卡即可。对比两个对话框可以看出，文件和文件夹的NTFS 访问权限选项并不完全相同 Windows用户账户安全策略31 6.6.1文件和文件夹的NTFS访问权限 NTFS文件夹访问权限包括“完全控制”、“修改”、 “读取和运行”、“列出文件夹目录”、“读取”、“写 入”和“特别权限”共七项；而NTFS文件访问权限仅包 括：“完全控制”、“修改”、“读取和运行”、 “读 取”、“写入”和“特别权限”共六项，因为它不属于文 件夹，所以没有NTFS文件夹访问权限中的“列出文件夹 目录”权限选项。这些只是一些大的权限权限类型，具体

36、 包括许多细的权限选项，都可以在“特别权限”选项中设 置。 以上具体权限选项说明参见书本P225页的表6-6。 用户对NTFS文件和文件夹的访问权限是由书本P225 中的表6-6所列出特别权限逻辑组成，具体参见书本P225页 的表6-7。 Windows用户账户安全策略32 6.6.2 文件服务器的最佳权限设置 对于共享文件夹的访问通过两个权限项集来确定： 共享上的权限集（称为“共享权限”）和文件夹上的权限 集（称为“NTFS 文件和文件夹权限”）。共享权限时常 用于管理使用FAT32文件系统的计算机或不使用NTFS文件 系统的其他计算机。 共享权限和NTFS权限是独立的，即它们不彼此更改， 但对于共享文件夹的最终访问权限是考虑共享权限和 NTFS权限项后确定的。 书中P226页的表6-8的建议权限配置是管理员可以为 Users组授予的对于某些共享文件夹类型的权限。推荐的权 限已经过测试，并且正确工作；但还存在一些其他方法。 例如，一些有经验的管理员始终喜欢将Everyone