-
windows權限
鎖定
windows中,權限指的是不同賬户對文件,文件夾,註冊表等的訪問能力。在windows中,為不同的賬户設置權限很重要,可以防止重要文件被其他人所修改,使系統崩潰。
- 中文名
- windows權限
- 防 止
- 重要文件修改
- 提 供
- 非常細緻的權限控制項
- 三個設計
- 安全標識符"
- 原 則
- 權限繼承性
windows權限概念
我們可以在控制面板中設置賬户時設置權限
作為微軟第一個穩定且安全的操作系統,WindowsXP經過幾年的磨合過渡期,終於以超過Windows系列操作系統50%的用户佔有量成為用户使用最多的操作系統。在慢慢熟悉了Windows XP後,人們逐漸開始不滿足基本的系統應用了,他們更加渴望學習一些較深入且實用的知識,以便能讓系統充分發揮出Windows XP的高級性能。
因此本文以Windows XP Professional版本為平台,引領大家感受一下Windows XP在"權限"方面的設計魅力!
windows權限權限定義
Windows XP提供了非常細緻的權限控制項,能夠精確定製用户對資源的訪問控制能力,大多數的權限從其名稱上就可以基本瞭解其所能實現的內容。
" 權限"(Permission)是針對資源而言的。也就是説,設置權限只能是以資源為對象,即"設置某個文件夾有哪些用户可以擁有相應的權限",而不能是以用户為主,即"設置某個用户可以對哪些資源擁有權限"。這就意味着"權限"必須針對"資源"而言,脱離了資源去談權限毫無意義──在提到權限的具體實施時,"某個資源"是必須存在的。
利用權限可以控制資源被訪問的方式,如User組的成員對某個資源擁有"讀取"操作權限、Administrators組成員擁有"讀取+寫入+刪除"操作權限等。
值得一提的是,有一些Windows用户往往會將"權利"與"權限"兩個非常相似的概念搞混淆,這裏做一下簡單解釋:“權利"(Right)主要是針對用户而言的。“權利”通常包含“登錄權利”(Logon Right)和“特權”(Privilege)兩種。登錄權利決定了用户如何登錄到計算機,如是否採用本地交互式登錄、是否為網絡登錄等。特權則是一系列權力的總稱,這些權力主要用於幫助用户對系統進行管理,如是否允許用户安裝或加載驅動程序等。顯然,權利與權限有本質上的區別。
windows權限三個設計
説到Windows XP的權限,就不能不説説"安全標識符"(Security Identifier,SID)、"訪問控制列表"(Access Control List,ACL)和安全主體(Security Principal)這三個與其息息相關的設計了。
windows權限安全標識符
安全標識符在Windows XP中,系統是通過SID對用户進行識別的,而不是很多用户認為的"用户名稱"。SID可以應用於系統內的所有用户、組、服務或計算機,因為SID是一個具有惟一性、絕對不會重複產生的數值,所以,在刪除了一個賬户(如名為"A"的賬户)後,再次創建這個"A"賬户時,前一個A與後一個A賬户的SID是不相同的。這種設計使得賬户的權限得到了最基礎的保護,盜用權限的情況也就徹底杜絕了。
查看用户、組、服務或計算機的SID值,可以使用 "Whoami"工具來執行,該工具包含在Windows XP安裝光盤的"Support\Tools"目錄中,雙擊執行該目錄下的"Setup"文件後,將會有包括Whoami工具在內的一系列命令行工具拷貝到"X:\Program Files\Support Tools"目錄中。此後在任意一個命令提示符窗口中都可以執行"Whoami /all"命令來查看當前用户的全部信息。
windows權限訪問控制列表
訪問控制列表是權限的核心技術。顧名思義,這是一個權限列表,用於定義特定用户對某個資源的訪問權限,實際上這就是Windows XP對資源進行保護時所使用的一個標準。
在訪問控制列表中,每一個用户或用户組都對應一組訪問控制項(Access Control Entry,ACE),這一點只需在"組或用户名稱"列表中選擇不同的用户或組時,通過下方的權限列表設置項是不同的這一點就可以看出來。顯然,所有用户或用户組的權限訪問設置都將會在這裏被存儲下來,並允許隨時被有權限進行修改的用户進行調整,如取消某個用户對某個資源的"寫入"權限。
windows權限安全主體
在Windows XP中,可以將用户、用户組、計算機或服務都看成是一個安全主體,每個安全主體都擁有相對應的賬户名稱和SID。根據系統架構的不同,賬户的管理方式也有所不同──本地賬户被本地的SAM管理;域的賬户則會被活動目錄進行管理......
一般來説,權限的指派過程實際上就是為某個資源指定安全主體(即用户、用户組等)可以擁有怎樣的操作過程。因為用户組包括多個用户,所以大多數情況下,為資源指派權限時建議使用用户組來完成,這樣可以非常方便地完成統一管理。
windows權限管理原則
在Windows XP中,針對權限的管理有四項基本原則,即:拒絕優於允許原則、權限最小化原則、累加原則和權限繼承性原則。這四項基本原則
對於權限的設置來説,將會起到非常重要的作用,下面就來了解一下:
windows權限拒絕優於允許原則
" 拒絕優於允許"原則是一條非常重要且基礎性的原則,它可以非常完美地處理好因用户在用户組的歸屬方面引起的權限"糾紛",例如,"shyzhong"這個用户既屬於"shyzhongs"用户組,也屬於"xhxs"用户組,當我們對"xhxs"組中某個資源進行"寫入"權限的集中分配(即針對用户組進行) 時,這個時候該組中 "shyzhong"賬户將自動擁有"寫入"的權限。
但令人奇怪的是,"shyzhong"賬户明明擁有對這個資源的"寫入 "權限,為什麼實際操作中卻無法執行呢?原來,在"shyzhongs"組中同樣也對"shyzhong"用户進行了針對這個資源的權限設置,但設置的權限是"拒絕寫入"。基於"拒絕優於允許"的原則,"shyzhong"在"shyzhongs"組中被 "拒絕寫入"的權限將優先"xhxs"組中被賦予的允許"寫入"權限被執行。因此,在實際操作中,"shyzhong"用户無法對這個資源進行"寫入"操作。
windows權限權限最小化原則
Windows XP將"保持用户最小的權限"作為一個基本原則進行執行,這一點是非常有必要的。這條原則可以確保資源得到最大的安全保障。這條原則可以儘量讓用户不能訪問或不必要訪問的資源得到有效的權限賦予限制。
基於這條原則,在實際的權限賦予操作中,我們就必須為資源明確賦予允許或拒絕操作的權限。例如系統中新建的受限用户"shyzhong"在默認狀態下對 "DOC"目錄是沒有任何權限的,需要為這個用户賦予對"DOC"目錄有"讀取"的權限,那麼就必須在"DOC"目錄的權限列表中為 "shyzhong"用户添加"讀取"權限。
windows權限權限繼承性原則
權限繼承性原則可以讓資源的權限設置變得更加簡單。假設有個"DOC"目錄,在這個目錄中有"DOC01"、"DOC02"、"DOC03"等子目錄,需要對DOC目錄及其下的子目錄均設置 "shyzhong"用户有"寫入"權限。因為有繼承性原則,所以只需對"DOC"目錄設置"shyzhong"用户有"寫入"權限,其下的所有子目錄將自動繼承這個權限的設置。
windows權限累加原則
這個原則比較好理解,假設"zhong"用户既屬於"A"用户組,也屬於"B"用户組,它在A用户組的權限是"讀取",在"B"用户組中的權限是"寫入",那麼根據累加原則,"zhong"用户的實際權限將會是"讀取+寫入"兩種。
顯然,"拒絕優於允許"原則是用於解決權限設置上的衝突問題的;"權限最小化"原則是用於保障資源安全的;"權限繼承性"原則是用於"自動化"執行權限設置的;而"累加原則"則是讓權限的設置更加靈活多變。幾個原則各有所用,缺少哪一項都會給權限的設置帶來很多麻煩!
windows權限注意
在Windows XP中,"Administrators"組的全部成員都擁有"取得所有者身份"(Take Ownership)的權力,也就是管理員組的成員可以從其他用户手中"奪取"其身份的權力。例如受限用户"shyzhong"建立了一個DOC目錄,並只賦予自己擁有讀取權力,這看似周到的權限設置,實際上,"Administrators"組的全部成員將可以通過"奪取所有權"等方法獲得這個權限。
windows權限高級應用
以文件與文件夾的權限為例,依據是否被共享到網絡上,其權限可以分為NTFS權限與共享權限兩種,這兩種權限既可以單獨使用,也可以相輔使用。兩者之間既能夠相互制約,也可以相互補充。下面來看看如何進行設置:
windows權限NTFS權限
NTFS權限有兩大要素:一是標準訪問權限;二是特別訪問權限。前者將一些常用的系統權限選項比較籠統地組成6種"套餐型"的權限,即:完全控制、修改、讀取和運行、列出文件夾目錄、讀取、寫入。
在大多數的情況下,"標準權限"是可以滿足管理需要的,但對於權限管理要求嚴格的環境,它往往就不能令管理員們滿意了,如只想賦予某用户有建立文件夾的權限,卻沒有建立文件的權限;如只能刪除當前目錄中的文件,卻不能刪除當前目錄中的子目錄的權限等......這個時候,就可以讓擁有所有權限選項的"特別權限"來大顯身手了。也就是説,特別權限不再使用"套餐型",而是使用可以允許用户進行"菜單型"的細節化權限管理選擇了。
那麼如何設置標準訪問權限呢?以對一個在NTFS分區中的名為"zhiguo"的文件夾進行設置標準訪問權限為例,可以按照如下方法進行操作:
因為NTFS權限需要在資源屬性頁面的"安全"選項卡設置界面中進行,而Windows XP在安裝後默認狀態下是沒有激活"安全"選項卡設置功能的,
所以需要首先啓用系統中的"安全"選項卡。方法是:依次點擊"開始"→"設置"→"控制面板 ",雙擊"文件夾選項",在"查看"標籤頁設置界面上的"高級設置"選項列表中清除"使用簡單文件共享(推薦)"選項前的複選框後點擊"應用"按鈕即可。
設置完畢後就可以右鍵點擊"zhiguo" 文件夾,在彈出的快捷菜單中選擇"共享與安全",在"zhiguo屬性"窗口中就可以看見"安全"選項卡的存在了。針對資源進行NTFS權限設置就是通過這個選項卡來實現的,此時應首先在"組或用户名稱"列表中選擇需要賦予權限的用户名組(這裏選擇"zhong"用户),接着在下方的"zhong 的權限"列表中設置該用户可以擁有的權限即可。
下面簡單解釋一下六個權限選項的含義:
①完全控制(Full Control):
②修改(Modify):
該權限允許用户修改或刪除資源,同時讓用户擁有寫入及讀取和運行權限;
③讀取和運行(Read & Execute):
該權限允許用户擁有讀取和列出資源目錄的權限,另外也允許用户在資源中進行移動和遍歷,這使得用户能夠直接訪問子文件夾與文件,即使用户沒有權限訪問這個路徑;
④列出文件夾目錄(List Folder Contents):
該權限允許用户查看資源中的子文件夾與文件名稱;
⑤讀取(Read):
該權限允許用户查看該文件夾中的文件以及子文件夾,也允許查看該文件夾的屬性、所有者和擁有的權限等;
⑥寫入(Write):
該權限允許用户在該文件夾中創建新的文件和子文件夾,也可以改變文件夾的屬性、查看文件夾的所有者和權限等。
如果在"組或用户名稱"列表中沒有所需的用户或組,那麼就需要進行相應的添加操作了,方法如下:點擊"添加"按鈕後,在出現的"選擇用户和組"對話框中,既可以直接在"輸入對象名稱來選擇"文本區域中輸入用户或組的名稱(使用"計算機名\用户名"這種方式),也可以點擊"高級"按鈕,在彈出的對話框中點擊" 立即查找"按鈕讓系統列出當前系統中所有的用户組和用户名稱列表。此時再雙擊選擇所需用户或組將其加入即可。
如果想刪除某個用户組或用户的話,只需在" 組或用户名稱"列表中選中相應的用户或用户組後,點擊下方的"刪除"按鈕即可。但實際上,這種刪除並不能確保被刪除的用户或用户組被拒絕訪問某個資源,因此,如果希望拒絕某個用户或用户組訪問某個資源,還要在"組或用户名稱"列表中選擇相應的用户名用户組後,為其選中下方的"拒絕"複選框即可。
那麼如何設置特殊權限呢?假設現在需要對一個名為"zhiguo"的目錄賦"zhong"用户對其具有"讀取"、"建立文件和目錄"的權限,基於安全考慮,又決定取消該賬户的"刪除"權限。此時,如果使用"標準權限"的話,將無法完成要求,而使用特別權限則可以很輕鬆地完成設置。方法如下:
首先,右鍵點擊"zhiguo"目錄,在右鍵快捷菜單中選擇"共享與安全"項,隨後在"安全"選項卡設置界面中選中"zhong"用户並點擊下方的"高級"按鈕,在彈出的對話框中點擊清空"從父項繼承那些可以應用到子對象的權限項目,包括那些在此明確定義的項目"項選中狀態,這樣可以斷開當前權限設置與父級權限設置之前的繼承關係。在隨即彈出的" 安全"對話框中點擊"複製"或"刪除"按鈕後(點擊"複製"按鈕可以首先複製繼承的父級權限設置,然後再斷開繼承關係),接着點擊"應用"按鈕確認設置,再選中"zhong"用户並點擊"編輯"按鈕,在彈出的"zhong的權限項目"對話框中請首先點擊"全部清除"按鈕,接着在"權限"列表中選擇"遍歷文件夾/運行文件"、"列出文件夾/讀取數據"、"讀取屬性"、"創建文件/寫入數據"、"創建文件夾/附加數據"、"讀取權限"幾項,最後點擊"確定"按鈕結束設置。
在經過上述設置後,"zhong"用户在對"zhiguo"進行刪除操作時,就會彈出提示框警告操作不能成功的提示了。顯然,相對於標準訪問權限設置
上的籠統,特別訪問權限則可以實現更具體、全面、精確的權限設置。
為了大家更好地理解特殊權限列表中的權限含義,以便做出更精確的權限設置,下面簡單解釋一下其含義:
⑴遍歷文件夾/運行文件(Traverse Folder/Execute File):
該權限允許用户在文件夾及其子文件夾之間移動(遍歷),即使這些文件夾本身沒有訪問權限。
注意:只有當在"組策略"中("計算機配置 "→"Windows設置"→"安全設置"→"本地策略"→"用户權利指派")將"跳過遍歷檢查"項授予了特定的用户或用户組,該項權限才能起作用。默認狀態下,包"Administrators"、"Users"、"Everyone"等在內的組都可以使用該權限。
對於文件來説,擁了這項權限後,用户可以執行該程序文件。但是,如果僅為文件夾設置了這項權限的話,並不會讓用户對其中的文件帶上"執行"的權限;
⑵列出文件/讀取數據(List Folder/Read Data):
該權限允許用户查看文件夾中的文件名稱、子文件夾名稱和查看文件中的數據;
⑶讀取屬性(Read Attributes):
該權限允許用户查看文件或文件夾的屬性(如系統、只讀、隱藏等屬性);
⑷讀取擴展屬性(Read Extended Attributes):
該權限允許查看文件或文件夾的擴展屬性,這些擴展屬性通常由程序所定義,並可以被程序修改;
⑸創建文件/寫入數據(Create Files/Write Data):
該權限允許用户在文件夾中創建新文件,也允許將數據寫入現有文件並覆蓋現有文件中的數據;
⑹創建文件夾/附加數據(Create Folder/Append Data):
該權限允許用户在文件夾中創建新文件夾或允許用户在現有文件的末尾添加數據,但不能對文件現有的數據進行覆蓋、修改,也不能刪除數據;
⑺寫入屬性(Write Attributes):
該權限允許用户改變文件或文件夾的屬性;
⑻寫入擴展屬性(Write Extended Attributes):
該權限允許用户對文件或文件夾的擴展屬性進行修改;
⑼刪除子文件夾及文件(Delete Subfolders and Files):
該權限允許用户刪除文件夾中的子文件夾或文件,即使在這些子文件夾和文件上沒有設置刪除權限;
⑽刪除(Delete):
該權限允許用户刪除當前文件夾和文件,如果用户在該文件或文件夾上沒有刪除權限,但是在其父級的文件夾上有刪除子文件及文件夾權限,那麼就仍然可以刪除它;
⑾讀取權限(Read Permissions):
該權限允許用户讀取文件或文件夾的權限列表;
⑿更改權限(Change Permissions):
該權限允許用户改變文件或文件夾上的現有權限;
⒀取得所有權(Take Ownership):
該權限允許用户獲取文件或文件夾的所有權,一旦獲取了所有權,用户就可以對文件或文件夾進行全權控制。
這裏需要單獨説明一下"修改"權限與"寫入 "權限的區別:如果僅僅對一個文件擁有修改權限,那麼,不僅可以對該文件數據進行寫入和附加,而且還可以創建新文件或刪除現有文件。而如果僅僅對一個文件擁有寫入權限,那麼既可以對文件數據進行寫入和附加,也可以創建新文件,但是不能刪除文件。也就是説,有寫入權限不等於具有刪除權限,但擁有修改權限,就等同於擁有刪除和寫入權限。
windows權限共享權限
只要是共享出來的文件夾就一定具有此權限。如該文件夾存在於NTFS分區中,那麼它將同時具有NTFS權限與共享權限,如果這個資源同時擁有NTFS和共享兩種權限,那麼系統中對權限的具體實施將以兩種權限中的"較嚴格的權限"為準──這也是"拒絕優於允許"原則的一種體現!
例如,某個共享資源的NTFS權限設置為完全控制,而共享權限設置為讀取,那麼遠程用户就只能使用"讀取"權限對共享資源進行訪問了。
注意:如果是FAT16/FAT32文件系統中的共享文件夾,那麼將只能受到共享權限的保護,這樣一來就容易產生安全性漏洞。這是因為共享權限只能夠限制從網絡上訪問資源的用户,並無法限制直接登錄本機的人,即用户只要能夠登錄本機,就可以任意修改、刪除FAT16/FAT32分區中的數據了。因此,從安全角度來看,我們是不推薦在Windows XP中使用FAT16/FAT32分區的。
設置共享權限很簡單,在右鍵選中並點擊一個文件夾後,在右鍵快捷菜單中選擇"共享與安全"項,在彈出的屬性對話框"共享"選項卡設置界面中點擊選中"共享該文件夾"項即可,這將使共享資源使用默認的權限設置(即"Everyone"用户擁有讀取權限)。如果想具體設置共享權限,那麼請點擊"權限"按鈕,在打開的對話框中可以看到權限列表中有"完全控制 "、"更改"和"讀取"三項權限可供選擇。
下面先簡單介紹一下這三個權限的含義:
②更改:允許用户讀取、寫入、重命名和刪除當前文件夾中的文件和子文件夾,但不能創建新文件;
③讀取:允許用户讀取當前文件夾的文件和子文件夾,但是不能進行寫入或刪除操作。
説完了權限的含義,我們就可以點擊"添加"按鈕,將需要設置權限的用户或用户組添加進來了。在缺省情況下,當添加新的組或用户時,該組或用户將具備"讀取"(Read)權限,我們可以根據實際情況在下方的權限列表中進行復選框的選擇與清空。
接着再來説説令很多讀者感到奇怪的"組和用户名稱"列表中的"Everyone"組的含義。在Windows 2000中,這個組因為包含了"Anonymous Logon"組,所以它表示"每個人"的意思。但在Windows XP中,請注意──這個組因為只包括"Authenticated Users"和"Guests"兩個組,而不再包括"Anonymous Logon"組,所以它表示了"可訪問計算機的所有用户",而不再是"每個人"!請注意這是有區別的,"可訪問計算機的所有用户"意味着必須是通過認證的用户,而"每個人"則不必考慮用户是否通過了認證。從安全方面來看,這一點是直接導致安全隱患是否存在關鍵所在!
當然,如果想在 Windows XP中實現Windows 2000中那種"Everyone"設計機制,那麼可以通過編輯"本地安全策略"來實現,方法是:在"運行"欄中輸入"Secpol.msc"命令打開" 安全設置"管理單元,依次展開"安全設置"→"本地策略",然後進入"安全選項",雙擊右側的網絡訪問:讓‘每個人'權限應用於匿名
用户"項,然後選擇“已啓用”項即可。
windows權限注意
在Windows XP Professional中,最多可以同時有10個用户通過網絡登錄(指使用認證賬户登錄的用户,對於訪問由ⅡS提供的Web服務的用户沒有限制)方式使用某一台計算機提供的共享資源。
windows權限資源複製或移動時權限的變化與處理
在權限的應用中,不可避免地會遇到設置了權限後的資源需要複製或移動的情況,那麼這個時候資源相應的權限會發生怎樣的變化呢?下面來了解一下:
⑴複製資源時
在複製資源時,原資源的權限不會發生變化,而新生成的資源,將繼承其目標位置父級資源的權限。
⑵移動資源時
在移動資源時,一般會遇到兩種情況,一是如果資源的移動發生在同一驅動器內,那麼對象保留本身原有的權限不變(包括資源本身權限及原先從父級資源中繼承的權限);二是如果資源的移動發生在不同的驅動器之間,那麼不僅對象本身的權限會丟失,而且原先從父級資源中繼承的權限也會被從目標位置的父級資源繼承的權限所替代。實際上,移動操作就是首先進行資源的複製,然後從原有位置刪除資源的操作。
⑶非NTFS分區
windows權限資源所有權的高級管理
有時我們會發現當前登錄的用户無法對某個資源進行任何操作,這是什麼原因呢?其實這種常見的現象很有可能是因為對某個資源進行的NTFS權限設置得不夠完善導致的──這將會造成所有人(包括 "Administrator"組成員)都無法訪問資源,例如不小心將"zhiguo"這個文件夾的所有用户都刪除了,這將會導致所有用户都無法訪問這個文件夾,此時很多朋友就會束手無策了,其實通過使用更改所有權的方法就可以很輕鬆地解決這類權限問題了。
首先,我們需要檢查一下資源的所有者是誰,如果想查看某個資源(如sony目錄)的用户所有權的話,那麼只需使用"dir sony /q"命令就可以了。在反饋信息的第一行就可以看到用户是誰了,例如第一行的信息是"lovebook\zhong",那麼意思就是lovebook這台計算機中的"zhong"用户。
如果想在圖形界面中查看所有者是誰,那麼需要進入資源的屬性對話框,點擊"安全"選項卡設置界面中的"高級"按鈕,在彈出的"(用户名)高級安全設置"界面中點擊"所有者"選項卡,從其中的"目前該項目的所有者"列表中就可以看到當前資源的所有者是誰了。
如果想將所有者更改用户,那麼只需在"將所有者更改為"列表中選擇目標用户名後,點擊"確定"按鈕即可。此外,也可以直接在"安全"選項卡設置界面中點擊"添加"按鈕添加一個用户並賦予相應的權限後,讓這個用户來獲得當前文件夾的所有權。
windows權限注意
查看所有者究竟對資源擁有什麼樣的權限,可點擊進入"有效權限"選項卡設置界面,從中點擊"選擇"按鈕添加當前資源的所有者後,就可以從下方的列表中權限選項的勾取狀態來獲知了。
windows權限程序權限
Windows XP操作系統在文件管理方面功能設計上頗為多樣、周全和智能化。這裏通過"程序文件使用權限"設置、將"加密文件授權多個用户可以訪問"和了解系統日誌的訪問權限三個例子給大家解釋一下如何進行日常應用。
windows權限程序文件權限設定
要了解Windows XP中關於程序文件的訪問權限,我們應首先來了解一下Windows XP在這方面的兩個設計,
一、是組策略中軟件限制策略的設計;
二、是臨時分配程序文件使用權限的設計。
⑴軟件限制策略
在"運行"欄中輸入 "Gpedit.msc"命令打開組策略窗口後,在"計算機配置"→"Windows設置"→"安全設置"分支中,右鍵選中"軟件限制策略"分
支,在彈出的快捷菜單中選擇新建一個策略後,就可以從"軟件限制策略"分支下新出現的"安全級別"中看到有兩種安全級別的存在了。
這兩條安全級別對於程序文件與用户權限之前是有密切聯繫的:
①不允許的:從其解釋中可以看出,無論用户的訪問權如何,軟件都不會運行;
② 不受限的:這是默認的安全級別,其解釋為 "軟件訪問權由用户的訪問權來決定"。顯然,之所以在系統中可以設置各種權限,是因為有這個默認安全策略在背後默默支持的緣故。如果想把"不允許的"安全級別設置為默認狀態,只需雙擊進入其屬性界面後點擊"設為默認值"按鈕即可。
⑵臨時分配程序文件
為什麼要臨時分配程序文件的管理權限呢?這是因為在Windows XP中,有許多很重要的程序都是要求用户具有一定的管理權限才能使用的,因此在使用權限不足以使用某些程序的賬户時,為了能夠使用程序,我們就需要為自己臨時分配一個訪問程序的管理權限了。為程序分配臨時管理權限的方法很簡單:右鍵點擊要運行的程序圖標,在彈出的快捷菜單中選擇"運行方式",在打開的"運行身份"對話框中選中"下列用户"選項,在"用户名"和"密碼"右側的文本框中指定用户及密碼即可。
顯然,這個臨時切換程序文件管理權限的設計是十分有必要的,它可以很好地起到保護系統的目的。
windows權限授權多個用户訪問加密文件
Windows XP在EFS上的改進之一就是可以允許多個用户訪問加密文件,這些用户既可以是本地用户,也可以是域用户或受信任域的用户。由於無法將證書頒發給用户組,而只能頒發給用户,所以只能授權單個的賬户訪問加密文件,而用户組將不能被授權。
要授權加密文件可以被多個用户訪問,可以按照如下方法進行操作:
選中已經加密的文件,用鼠標右鍵點擊該加密文件,選擇"屬性",在打開的屬性對話框中"常規"選項卡下點擊"高級"按鈕,打開加密文件的高級屬性對話框,點擊其中的"詳細信息"按鈕(加密文件夾此按鈕無效),在打開的對話框中點擊"添加"按鈕添加一個或多個新用户即可(如果計算機加入了域,則還可以點擊"尋找用户"按鈕在整個域範圍內尋找用户)。
如果要刪除某個用户對加密文件的訪問權限,那麼只需選中此用户後點擊"刪除"按鈕即可。
windows權限日誌的訪問權限
什麼是日誌?我們可以將日誌理解為系統日記,這本"日記"可以按系統管理員預先的設定,自動將系統中發生的所有事件都一一記錄在案,供管理員查詢。既然日誌信息具有如此重要的參考作用,那麼就應該做好未經授權的用户修改或查看的權限控制。因此,我們非常有必要去了解一下日誌的訪問權限在Windows XP中是怎樣設計的。一般來説,Administrators、SYSTEM、Everyone三種類型的賬户可以訪問日誌。
這三種類型的賬户對不同類型的日誌擁有不同的訪問權限,下面來看一下表格中具體的説明,請注意"√"表示擁有此權限;"×"表示無此權限。
通過對比,可以看出SYSTEM擁有的權限最高,可以對任意類型的日誌進行讀寫和清除操作;Everyone用户則可以讀取應用程序和系統日誌,但對安全日誌無法讀取。這是因為安全日誌相對其他幾種類型的日誌在安全性方面的要求要高一些,只有SYSTEM 能夠對之寫入。
如果想為其他用户賦予管理審核安全日誌的權限,那麼可以在"運行"欄中輸入"Gpedit.msc"命令打開組策略編輯器窗口後,依次進入"計算機配置 "→"Windows設置"→"安全設置 "→"本地策略"→"用户權利指派",雙擊右側的"管理審核和安全日誌"項,在彈出的對話框中添加所需的用户即可。
windows權限安全主體簡介
在Windows XP中,有一羣不為人知的用户,它們的作用是可以讓我們指派權限到某種"狀態"的用户(如"匿名用户"、"網絡用户")等,而不是某個特定的用户或組(如 "zhong"、"CPCW"這類用户)。這樣一來,對用户權限的管理就更加容易精確控制了。這羣用户在Windows XP中,統一稱
為內置安全主體。下面讓我們來了解一下:
windows權限安全主體的藏身之處
下面假設需要為一個名為"zhiguo"的目錄設置內置安全主體中的"Network"類用户權限為例,看看這羣"默默無聞"的用户藏身在系統何處。
首先進入"zhiguo"目錄屬性界面的"安全"選項卡設置界面,點擊其中的"添加"按鈕,在彈出的"選擇用户或組"對話框中點擊"對象類型"按鈕。
在彈出對話框中只保留列表中的"內置安全主體"項,並點擊"確定"按鈕。
在接下來的對話框中點擊"高級"按鈕,然後在展開的對話框中點擊"立即查找"按鈕,就可以看到內置安全主體中包含的用户列表了。
windows權限安全主體作用説明
雖然內置安全主體有很多,但正常能在權限設置中使用到的並不多,所以下面僅説明其中幾個較重要的:
①Anonymous Logon:任何沒有經過Windows XP驗證程序(Authentication),而以匿名方式登錄域的用户均屬於此組;
②Authenticated Users:與前項相反,所有經過Windows XP驗證程序登錄的用户均屬於此組。設置權限和用户權力時,可考慮用此項代替
Everyone組;
④DIALUP:任何通過撥號網絡登錄的用户;
⑤Everyone:指所有經驗證登錄的用户及來賓(Guest);
⑥Network:任何通過網絡登錄的用户;
⑦Interactive:指任何直接登錄本機的用户;
⑧Terminal server user:指任何通過終端服務登錄的用户。
......
