国产欧美日韩在线不卡第一页,亚洲区激情区图片小说区,噜噜噜天天躁狠狠躁夜夜精品

一、什么是權(quán)限

Windows XP提供了非常細(xì)致的權(quán)限控制項，能夠精確定制用戶對資源的訪問控制能力，大多數(shù)的權(quán)限從其名稱上就可以基本了解其所能實現(xiàn)的內(nèi)容。
"權(quán)限"(Permission)是針對資源而言的。也就是說，設(shè)置權(quán)限只能是以資源為對象，即"設(shè)置某個文件夾有哪些用戶可以擁有相應(yīng)的權(quán)限"，而不能是以用戶為主，即"設(shè)置某個用戶可以對哪些資源擁有權(quán)限"。這就意味著"權(quán)限"必須針對"資源"而言，脫離了資源去談權(quán)限毫無意義──在提到權(quán)限的具體實施時，"某個資源"是必須存在的。
利用權(quán)限可以控制資源被訪問的方式，如User組的成員對某個資源擁有"讀取"操作權(quán)限、Administrators組成員擁有"讀取+寫入+刪除"操作權(quán)限等。
值得一提的是，有一些Windows用戶往往會將"權(quán)力"與"權(quán)限"兩個非常相似的概念搞混淆，這里做一下簡單解釋："權(quán)力"(Right)主要是針對用戶而言的。"權(quán)力"通常包含"登錄權(quán)力" (Logon Right)和"特權(quán)"(Privilege)兩種。登錄權(quán)力決定了用戶如何登錄到計算機，如是否采用本地交互式登錄、是否為網(wǎng)絡(luò)登錄等。特權(quán)則是一系列權(quán)力的總稱，這些權(quán)力主要用于幫助用戶對系統(tǒng)進(jìn)行管理，如是否允許用戶安裝或加載驅(qū)動程序等。顯然，權(quán)力與權(quán)限有本質(zhì)上的區(qū)別。

二、安全標(biāo)識符、訪問控制列表、安全主體

說到Windows XP的權(quán)限，就不能不說說"安全標(biāo)識符"(Security Identifier, SID)、"訪問控制列表"(Access Control List，ACL)和安全主體(Security Principal)這三個與其息息相關(guān)的設(shè)計了。

1.安全標(biāo)識符

在Windows XP中，系統(tǒng)是通過SID對用戶進(jìn)行識別的，而不是很多用戶認(rèn)為的"用戶名稱"。SID可以應(yīng)用于系統(tǒng)內(nèi)的所有用戶、組、服務(wù)或計算機，因為SID是一個具有惟一性、絕對不會重復(fù)產(chǎn)生的數(shù)值，所以，在刪除了一個賬戶(如名為"A"的賬戶)后，再次創(chuàng)建這個"A"賬戶時，前一個A與后一個A賬戶的SID是不相同的。這種設(shè)計使得賬戶的權(quán)限得到了最基礎(chǔ)的保護(hù)，盜用權(quán)限的情況也就徹底杜絕了。

查看用戶、組、服務(wù)或計算機的SID值，可以使用"Whoami"工具來執(zhí)行，該工具包含在Windows XP安裝光盤的"Support\Tools"目錄中，雙擊執(zhí)行該目錄下的"Setup"文件后，將會有包括Whoami工具在內(nèi)的一系列命令行工具拷貝到"X:\Program Files\Support Tools"目錄中。此后在任意一個命令提示符窗口中都可以執(zhí)行"Whoami /all"命令來查看當(dāng)前用戶的全部信息。

2.訪問控制列表(ACL)

訪問控制列表是權(quán)限的核心技術(shù)。顧名思義，這是一個權(quán)限列表，用于定義特定用戶對某個資源的訪問權(quán)限，實際上這就是Windows XP對資源進(jìn)行保護(hù)時所使用的一個標(biāo)準(zhǔn)。

在訪問控制列表中，每一個用戶或用戶組都對應(yīng)一組訪問控制項(Access Control Entry, ACE)，這一點只需在"組或用戶名稱"列表中選擇不同的用戶或組時，通過下方的權(quán)限列表設(shè)置項是不同的這一點就可以看出來。顯然，所有用戶或用戶組的權(quán)限訪問設(shè)置都將會在這里被存儲下來，并允許隨時被有權(quán)限進(jìn)行修改的用戶進(jìn)行調(diào)整，如取消某個用戶對某個資源的"寫入"權(quán)限。

3.安全主體(Security Principal)
在Windows XP中，可以將用戶、用戶組、計算機或服務(wù)都看成是一個安全主體，每個安全主體都擁有相對應(yīng)的賬戶名稱和SID。根據(jù)系統(tǒng)架構(gòu)的不同，賬戶的管理方式也有所不同──本地賬戶被本地的SAM管理；域的賬戶則會被活動目錄進(jìn)行管理......

一般來說，權(quán)限的指派過程實際上就是為某個資源指定安全主體(即用戶、用戶組等)可以擁有怎樣的操作過程。因為用戶組包括多個用戶，所以大多數(shù)情況下，為資源指派權(quán)限時建議使用用戶組來完成，這樣可以非常方便地完成統(tǒng)一管理。

三、權(quán)限的四項基本原則

在Windows XP中，針對權(quán)限的管理有四項基本原則，即：拒絕優(yōu)于允許原則、權(quán)限最小化原則、累加原則和權(quán)限繼承性原則。這四項基本原則
對于權(quán)限的設(shè)置來說，將會起到非常重要的作用，下面就來了解一下：

1.拒絕優(yōu)于允許原則

"拒絕優(yōu)于允許"原則是一條非常重要且基礎(chǔ)性的原則，它可以非常完美地處理好因用戶在用戶組的歸屬方面引起的權(quán)限"糾紛"，例如，"shyzhong"這個用戶既屬于"shyzhongs"用戶組，也屬于"xhxs"用戶組，當(dāng)我們對"xhxs"組中某個資源進(jìn)行"寫入"權(quán)限的集中分配(即針對用戶組進(jìn)行)時，這個時候該組中 "shyzhong"賬戶將自動擁有"寫入"的權(quán)限。

但令人奇怪的是，"shyzhong"賬戶明明擁有對這個資源的"寫入"權(quán)限，為什么實際操作中卻無法執(zhí)行呢？原來，在"shyzhongs"組中同樣也對"shyzhong"用戶進(jìn)行了針對這個資源的權(quán)限設(shè)置，但設(shè)置的權(quán)限是"拒絕寫入"?；?拒絕優(yōu)于允許"的原則，"shyzhong"在"shyzhongs"組中被 "拒絕寫入"的權(quán)限將優(yōu)先"xhxs"組中被賦予的允許"寫入"權(quán)限被執(zhí)行。因此，在實際操作中，"shyzhong"用戶無法對這個資源進(jìn)行"寫入"操作。

2.權(quán)限最小化原則

Windows XP將"保持用戶最小的權(quán)限"作為一個基本原則進(jìn)行執(zhí)行，這一點是非常有必要的。這條原則可以確保資源得到最大的安全保障。這條原則可以盡量讓用戶不能訪問或不必要訪問的資源得到有效的權(quán)限賦予限制。
基于這條原則，在實際的權(quán)限賦予操作中，我們就必須為資源明確賦予允許或拒絕操作的權(quán)限。例如系統(tǒng)中新建的受限用戶"shyzhong"在默認(rèn)狀態(tài)下對"DOC"目錄是沒有任何權(quán)限的，現(xiàn)在需要為這個用戶賦予對"DOC"目錄有"讀取"的權(quán)限，那么就必須在"DOC"目錄的權(quán)限列表中為"shyzhong"用戶添加"讀取"權(quán)限。

3.權(quán)限繼承性原則

權(quán)限繼承性原則可以讓資源的權(quán)限設(shè)置變得更加簡單。假設(shè)現(xiàn)在有個"DOC"目錄，在這個目錄中有"DOC01"、"DOC02"、"DOC03"等子目錄，現(xiàn)在需要對DOC目錄及其下的子目錄均設(shè)置"shyzhong"用戶有"寫入"權(quán)限。因為有繼承性原則，所以只需對"DOC"目錄設(shè)置"shyzhong"用戶有"寫入"權(quán)限，其下的所有子目錄將自動繼承這個權(quán)限的設(shè)置。

4.累加原則

這個原則比較好理解，假設(shè)現(xiàn)在"zhong"用戶既屬于"A"用戶組，也屬于"B"用戶組，它在A用戶組的權(quán)限是"讀取"，在"B"用戶組中的權(quán)限是"寫入"，那么根據(jù)累加原則，"zhong"用戶的實際權(quán)限將會是"讀取+寫入"兩種。
顯然，"拒絕優(yōu)于允許"原則是用于解決權(quán)限設(shè)置上的沖突問題的；"權(quán)限最小化"原則是用于保障資源安全的；"權(quán)限繼承性"原則是用于"自動化"執(zhí)行權(quán)限設(shè)置的；而"累加原則"則是讓權(quán)限的設(shè)置更加靈活多變。幾個原則各有所用，缺少哪一項都會給權(quán)限的設(shè)置帶來很多麻煩！

注意：在Windows XP中，"Administrators"組的全部成員都擁有"取得所有者身份"(Take Ownership)的權(quán)力，也就是管理員組的成員可以從其他用戶手中"奪取"其身份的權(quán)力。例如受限用戶"shyzhong"建立了一個DOC目錄，并只賦予自己擁有讀取權(quán)力，這看似周到的權(quán)限設(shè)置，實際上，"Administrators"組的全部成員將可以通過"奪取所有權(quán)"等方法獲得這個權(quán)限。

四、資源權(quán)限高級應(yīng)用

以文件與文件夾的權(quán)限為例，依據(jù)是否被共享到網(wǎng)絡(luò)上，其權(quán)限可以分為NTFS權(quán)限與共享權(quán)限兩種，這兩種權(quán)限既可以單獨使用，也可以相輔使用。兩者之間既能夠相互制約，也可以相互補充。下面來看看如何進(jìn)行設(shè)置：

1.NTFS權(quán)限

首先我們要知道：只要是存在NTFS磁盤分區(qū)上的文件夾或文件，無論是否被共享，都具有此權(quán)限。此權(quán)限對于使用FAT16/FAT32文件系統(tǒng)的文件與文件夾無效！
NTFS權(quán)限有兩大要素：一是標(biāo)準(zhǔn)訪問權(quán)限；二是特別訪問權(quán)限。前者將一些常用的系統(tǒng)權(quán)限選項比較籠統(tǒng)地組成6種"套餐型"的權(quán)限，即：完全控制、修改、讀取和運行、列出文件夾目錄、讀取、寫入。

在大多數(shù)的情況下，"標(biāo)準(zhǔn)權(quán)限"是可以滿足管理需要的，但對于權(quán)限管理要求嚴(yán)格的環(huán)境，它往往就不能令管理員們滿意了，如只想賦予某用戶有建立文件夾的權(quán)限，卻沒有建立文件的權(quán)限；如只能刪除當(dāng)前目錄中的文件，卻不能刪除當(dāng)前目錄中的子目錄的權(quán)限等......這個時候，就可以讓擁有所有權(quán)限選項的"特別權(quán)限"來大顯身手了。也就是說，特別權(quán)限不再使用"套餐型"，而是使用可以允許用戶進(jìn)行"菜單型"的細(xì)節(jié)化權(quán)限管理選擇了。

那么如何設(shè)置標(biāo)準(zhǔn)訪問權(quán)限呢？以對一個在NTFS分區(qū)中的名為"zhiguo"的文件夾進(jìn)行設(shè)置標(biāo)準(zhǔn)訪問權(quán)限為例，可以按照如下方法進(jìn)行操作：

因為NTFS權(quán)限需要在資源屬性頁面的"安全"選項卡設(shè)置界面中進(jìn)行，而Windows XP在安裝后默認(rèn)狀態(tài)下是沒有激活"安全"選項卡設(shè)置功能的，

所以需要首先啟用系統(tǒng)中的"安全"選項卡。方法是：依次點擊"開始"→"設(shè)置"→"控制面板 "，雙擊"文件夾選項"，在"查看"標(biāo)簽頁設(shè)置界面上的"高級設(shè)置"選項列表中清除"使用簡單文件共享(推薦)"選項前的復(fù)選框后點擊"應(yīng)用"按鈕即可。

設(shè)置完畢后就可以右鍵點擊"zhiguo" 文件夾，在彈出的快捷菜單中選擇"共享與安全"，在"zhiguo屬性"窗口中就可以看見"安全"選項卡的存在了。針對資源進(jìn)行NTFS權(quán)限設(shè)置就是通過這個選項卡來實現(xiàn)的，此時應(yīng)首先在"組或用戶名稱"列表中選擇需要賦予權(quán)限的用戶名組(這里選擇"zhong"用戶)，接著在下方的"zhong 的權(quán)限"列表中設(shè)置該用戶可以擁有的權(quán)限即可。

下面簡單解釋一下六個權(quán)限選項的含義：

①完全控制(Full Control)：
該權(quán)限允許用戶對文件夾、子文件夾、文件進(jìn)行全權(quán)控制，如修改資源的權(quán)限、獲取資源的所有者、刪除資源的權(quán)限等，擁有完全控制權(quán)限就等于擁有了其他所有的權(quán)限；

②修改(Modify)：
該權(quán)限允許用戶修改或刪除資源，同時讓用戶擁有寫入及讀取和運行權(quán)限；

③讀取和運行(Read & Execute)：
該權(quán)限允許用戶擁有讀取和列出資源目錄的權(quán)限，另外也允許用戶在資源中進(jìn)行移動和遍歷，這使得用戶能夠直接訪問子文件夾與文件，即使用戶沒有權(quán)限訪問這個路徑；

④列出文件夾目錄(List Folder Contents)：
該權(quán)限允許用戶查看資源中的子文件夾與文件名稱；

⑤讀取(Read)：
該權(quán)限允許用戶查看該文件夾中的文件以及子文件夾，也允許查看該文件夾的屬性、所有者和擁有的權(quán)限等；

⑥寫入(Write)：
該權(quán)限允許用戶在該文件夾中創(chuàng)建新的文件和子文件夾，也可以改變文件夾的屬性、查看文件夾的所有者和權(quán)限等。
如果在"組或用戶名稱"列表中沒有所需的用戶或組，那么就需要進(jìn)行相應(yīng)的添加操作了，方法如下：點擊"添加"按鈕后，在出現(xiàn)的"選擇用戶和組"對話框中，既可以直接在"輸入對象名稱來選擇"文本區(qū)域中輸入用戶或組的名稱(使用"計算機名\用戶名"這種方式)，也可以點擊"高級"按鈕，在彈出的對話框中點擊"立即查找"按鈕讓系統(tǒng)列出當(dāng)前系統(tǒng)中所有的用戶組和用戶名稱列表。此時再雙擊選擇所需用戶或組將其加入即可。

如果想刪除某個用戶組或用戶的話，只需在" 組或用戶名稱"列表中選中相應(yīng)的用戶或用戶組后，點擊下方的"刪除"按鈕即可。但實際上，這種刪除并不能確保被刪除的用戶或用戶組被拒絕訪問某個資源，因此，如果希望拒絕某個用戶或用戶組訪問某個資源，還要在"組或用戶名稱"列表中選擇相應(yīng)的用戶名用戶組后，為其選中下方的"拒絕"復(fù)選框即可。

那么如何設(shè)置特殊權(quán)限呢？假設(shè)現(xiàn)在需要對一個名為"zhiguo"的目錄賦"zhong"用戶對其具有"讀取"、"建立文件和目錄"的權(quán)限，基于安全考慮，又決定取消該賬戶的"刪除"權(quán)限。此時，如果使用"標(biāo)準(zhǔn)權(quán)限"的話，將無法完成要求，而使用特別權(quán)限則可以很輕松地完成設(shè)置。方法如下：

首先，右鍵點擊"zhiguo"目錄，在右鍵快捷菜單中選擇"共享與安全"項，隨后在"安全"選項卡設(shè)置界面中選中"zhong"用戶并點擊下方的"高級"按鈕，在彈出的對話框中點擊清空"從父項繼承那些可以應(yīng)用到子對象的權(quán)限項目，包括那些在此明確定義的項目"項選中狀態(tài)，這樣可以斷開當(dāng)前權(quán)限設(shè)置與父級權(quán)限設(shè)置之前的繼承關(guān)系。在隨即彈出的" 安全"對話框中點擊"復(fù)制"或"刪除"按鈕后(點擊"復(fù)制"按鈕可以首先復(fù)制繼承的父級權(quán)限設(shè)置，然后再斷開繼承關(guān)系)，接著點擊"應(yīng)用"按鈕確認(rèn)設(shè)置，再選中"zhong"用戶并點擊"編輯"按鈕，在彈出的"zhong的權(quán)限項目"對話框中請首先點擊"全部清除"按鈕，接著在"權(quán)限"列表中選擇"遍歷文件夾/運行文件"、"列出文件夾/讀取數(shù)據(jù)"、"讀取屬性"、"創(chuàng)建文件/寫入數(shù)據(jù)"、"創(chuàng)建文件夾/附加數(shù)據(jù)"、"讀取權(quán)限"幾項，最后點擊"確定"按鈕結(jié)束設(shè)置。

在經(jīng)過上述設(shè)置后，"zhong"用戶在對"zhiguo"進(jìn)行刪除操作時，就會彈出提示框警告操作不能成功的提示了。顯然，相對于標(biāo)準(zhǔn)訪問權(quán)限設(shè)置上的籠統(tǒng)，特別訪問權(quán)限則可以實現(xiàn)更具體、全面、精確的權(quán)限設(shè)置。

為了大家更好地理解特殊權(quán)限列表中的權(quán)限含義，以便做出更精確的權(quán)限設(shè)置，下面簡單解釋一下其含義：

⑴遍歷文件夾/運行文件(Traverse Folder/Execute File)：
該權(quán)限允許用戶在文件夾及其子文件夾之間移動(遍歷)，即使這些文件夾本身沒有訪問權(quán)限。
注意：只有當(dāng)在"組策略"中("計算機配置 "→"Windows設(shè)置"→"安全設(shè)置"→"本地策略"→"用戶權(quán)利指派")將"跳過遍歷檢查"項授予了特定的用戶或用戶組，該項權(quán)限才能起作用。默認(rèn)狀態(tài)下，包"Administrators"、"Users"、"Everyone"等在內(nèi)的組都可以使用該權(quán)限。
對于文件來說，擁了這項權(quán)限后，用戶可以執(zhí)行該程序文件。但是，如果僅為文件夾設(shè)置了這項權(quán)限的話，并不會讓用戶對其中的文件帶上"執(zhí)行"的權(quán)限；

⑵列出文件/讀取數(shù)據(jù)(List Folder/Read Data)：
該權(quán)限允許用戶查看文件夾中的文件名稱、子文件夾名稱和查看文件中的數(shù)據(jù)；

⑶讀取屬性(Read Attributes)：
該權(quán)限允許用戶查看文件或文件夾的屬性(如系統(tǒng)、只讀、隱藏等屬性)；

⑷讀取擴(kuò)展屬性(Read Extended Attributes)：
該權(quán)限允許查看文件或文件夾的擴(kuò)展屬性，這些擴(kuò)展屬性通常由程序所定義，并可以被程序修改；

⑸創(chuàng)建文件/寫入屬性(Create Files/Write Data)：
該權(quán)限允許用戶在文件夾中創(chuàng)建新文件，也允許將數(shù)據(jù)寫入現(xiàn)有文件并覆蓋現(xiàn)有文件中的數(shù)據(jù)；

⑹創(chuàng)建文件夾/附加數(shù)據(jù)(Create Folder/Append Data)：
該權(quán)限允許用戶在文件夾中創(chuàng)建新文件夾或允許用戶在現(xiàn)有文件的末尾添加數(shù)據(jù)，但不能對文件現(xiàn)有的數(shù)據(jù)進(jìn)行覆蓋、修改，也不能刪除數(shù)據(jù)；

⑺寫入屬性(Write Attributes)：
該權(quán)限允許用戶改變文件或文件夾的屬性；

⑻寫入擴(kuò)展屬性(Write Extended Attributes)：
該權(quán)限允許用戶對文件或文件夾的擴(kuò)展屬性進(jìn)行修改；

⑼刪除子文件夾及文件(Delete Subfolders and Files)：
該權(quán)限允許用戶刪除文件夾中的子文件夾或文件，即使在這些子文件夾和文件上沒有設(shè)置刪除權(quán)限；

⑽刪除(Delete)：
該權(quán)限允許用戶刪除當(dāng)前文件夾和文件，如果用戶在該文件或文件夾上沒有刪除權(quán)限，但是在其父級的文件夾上有刪除子文件及文件夾權(quán)限，那么就仍然可以刪除它；

⑾讀取權(quán)限(Read Permissions)：
該權(quán)限允許用戶讀取文件或文件夾的權(quán)限列表；

⑿更改權(quán)限(Change Permissions)：
該權(quán)限允許用戶改變文件或文件夾上的現(xiàn)有權(quán)限；
⒀取得所有權(quán)(Take Ownership)：
該權(quán)限允許用戶獲取文件或文件夾的所有權(quán)，一旦獲取了所有權(quán)，用戶就可以對文件或文件夾進(jìn)行全權(quán)控制。

這里需要單獨說明一下"修改"權(quán)限與"寫入 "權(quán)限的區(qū)別：如果僅僅對一個文件擁有修改權(quán)限，那么，不僅可以對該文件數(shù)據(jù)進(jìn)行寫入和附加，而且還可以創(chuàng)建新文件或刪除現(xiàn)有文件。而如果僅僅對一個文件擁有寫入權(quán)限，那么既可以對文件數(shù)據(jù)進(jìn)行寫入和附加，也可以創(chuàng)建新文件，但是不能刪除文件。也就是說，有寫入權(quán)限不等于具有刪除權(quán)限，但擁有修改權(quán)限，就等同于擁有刪除和寫入權(quán)限。

2.共享權(quán)限(Shared Permission)

只要是共享出來的文件夾就一定具有此權(quán)限。如該文件夾存在于NTFS分區(qū)中，那么它將同時具有NTFS權(quán)限與共享權(quán)限，如果這個資源同時擁有NTFS和共享兩種權(quán)限，那么系統(tǒng)中對權(quán)限的具體實施將以兩種權(quán)限中的"較嚴(yán)格的權(quán)限"為準(zhǔn)──這也是"拒絕優(yōu)于允許"原則的一種體現(xiàn)！

例如，某個共享資源的NTFS權(quán)限設(shè)置為完全控制，而共享權(quán)限設(shè)置為讀取，那么遠(yuǎn)程用戶就只能使用"讀取"權(quán)限對共享資源進(jìn)行訪問了。

注意：如果是FAT16/FAT32文件系統(tǒng)中的共享文件夾，那么將只能受到共享權(quán)限的保護(hù)，這樣一來就容易產(chǎn)生安全性漏洞。這是因為共享權(quán)限只能夠限制從網(wǎng)絡(luò)上訪問資源的用戶，并無法限制直接登錄本機的人，即用戶只要能夠登錄本機，就可以任意修改、刪除FAT16/FAT32分區(qū)中的數(shù)據(jù)了。因此，從安全角度來看，我們是不推薦在Windows XP中使用FAT16/FAT32分區(qū)的。

設(shè)置共享權(quán)限很簡單，在右鍵選中并點擊一個文件夾后，在右鍵快捷菜單中選擇"共享與安全"項，在彈出的屬性對話框"共享"選項卡設(shè)置界面中點擊選中"共享該文件夾"項即可，這將使共享資源使用默認(rèn)的權(quán)限設(shè)置(即"Everyone"用戶擁有讀取權(quán)限)。如果想具體設(shè)置共享權(quán)限，那么請點擊"權(quán)限"按鈕，在打開的對話框中可以看到權(quán)限列表中有"完全控制"、"更改"和"讀取"三項權(quán)限可供選擇。

下面先簡單介紹一下這三個權(quán)限的含義：

①完全控制：允許用戶創(chuàng)建、讀取、寫入、重命名、刪除當(dāng)前文件夾中的文件以及子文件夾，另外，也可以修改該文件夾中的NTFS訪問權(quán)限和奪取所有權(quán)；

②更改：允許用戶讀取、寫入、重命名和刪除當(dāng)前文件夾中的文件和子文件夾，但不能創(chuàng)建新文件；

③讀?。涸试S用戶讀取當(dāng)前文件夾的文件和子文件夾，但是不能進(jìn)行寫入或刪除操作。

說完了權(quán)限的含義，我們就可以點擊"添加"按鈕，將需要設(shè)置權(quán)限的用戶或用戶組添加進(jìn)來了。在缺省情況下，當(dāng)添加新的組或用戶時，該組或用戶將具備"讀取"(Read)權(quán)限，我們可以根據(jù)實際情況在下方的權(quán)限列表中進(jìn)行復(fù)選框的選擇與清空。

接著再來說說令很多讀者感到奇怪的"組和用戶名稱"列表中的"Everyone"組的含義。在Windows 2000中，這個組因為包含了"Anonymous Logon"組，所以它表示"每個人"的意思。但在Windows XP中，請注意──這個組因為只包括"Authenticated Users"和"Guests"兩個組，而不再包括"Anonymous Logon"組，所以它表示了"可訪問計算機的所有用戶"，而不再是"每個人"！請注意這是有區(qū)別的，"可訪問計算機的所有用戶"意味著必須是通過認(rèn)證的用戶，而"每個人"則不必考慮用戶是否通過了認(rèn)證。從安全方面來看，這一點是直接導(dǎo)致安全隱患是否存在關(guān)鍵所在！

當(dāng)然，如果想在Windows XP中實現(xiàn)Windows 2000中那種"Everyone"設(shè)計機制，那么可以通過編輯"本地安全策略"來實現(xiàn)，方法是：在"運行"欄中輸入"Secpol.msc"命令打開"安全設(shè)置"管理單元，依次展開"安全設(shè)置"→"本地策略"，然后進(jìn)入"安全選項"，雙擊右側(cè)的"網(wǎng)絡(luò)訪問：讓‘每個人‘權(quán)限應(yīng)用于匿名
用戶"項，然后選擇"已啟用"項即可。

注意：在Windows XP Professional中，最多可以同時有10個用戶通過網(wǎng)絡(luò)登錄(指使用認(rèn)證賬戶登錄的用戶，對于訪問由IIS提供的Web服務(wù)的用戶沒有限制)方式使用某一臺計算機提供的共享資源。

3.資源復(fù)制或移動時權(quán)限的變化與處理

在權(quán)限的應(yīng)用中，不可避免地會遇到設(shè)置了權(quán)限后的資源需要復(fù)制或移動的情況，那么這個時候資源相應(yīng)的權(quán)限會發(fā)生怎樣的變化呢？下面來了解一下：

(1)復(fù)制資源時

在復(fù)制資源時，原資源的權(quán)限不會發(fā)生變化，而新生成的資源，將繼承其目標(biāo)位置父級資源的權(quán)限。

(2)移動資源時

在移動資源時，一般會遇到兩種情況，一是如果資源的移動發(fā)生在同一驅(qū)動器內(nèi)，那么對象保留本身原有的權(quán)限不變(包括資源本身權(quán)限及原先從父級資源中繼承的權(quán)限)；二是如果資源的移動發(fā)生在不同的驅(qū)動器之間，那么不僅對象本身的權(quán)限會丟失，而且原先從父級資源中繼承的權(quán)限也會被從目標(biāo)位置的父級資源繼承的權(quán)限所替代。實際上，移動操作就是首先進(jìn)行資源的復(fù)制，然后從原有位置刪除資源的操作。

(3)非NTFS分區(qū)

上述復(fù)制或移動資源時產(chǎn)生的權(quán)限變化只是針對NTFS分區(qū)上而言的，如果將資源復(fù)制或移動到非NTFS分區(qū)(如FAT16/FAT32分區(qū))上，那么所有的權(quán)限均會自動全部丟失。

4.資源所有權(quán)的高級管理

有時我們會發(fā)現(xiàn)當(dāng)前登錄的用戶無法對某個資源進(jìn)行任何操作，這是什么原因呢？其實這種常見的現(xiàn)象很有可能是因為對某個資源進(jìn)行的NTFS權(quán)限設(shè)置得不夠完善導(dǎo)致的──這將會造成所有人(包括 "Administrator"組成員)都無法訪問資源，例如不小心將"zhiguo"這個文件夾的所有用戶都刪除了，這將會導(dǎo)致所有用戶都無法訪問這個文件夾，此時很多朋友就會束手無策了，其實通過使用更改所有權(quán)的方法就可以很輕松地解決這類權(quán)限問題了。

首先，我們需要檢查一下資源的所有者是誰，如果想查看某個資源(如sony目錄)的用戶所有權(quán)的話，那么只需使用"dir sony /q"命令就可以了。在反饋信息的第一行就可以看到用戶是誰了，例如第一行的信息是"lovebook\zhong"，那么意思就是lovebook這臺計算機中的"zhong"用戶。
如果想在圖形界面中查看所有者是誰，那么需要進(jìn)入資源的屬性對話框，點擊"安全"選項卡設(shè)置界面中的"高級"按鈕，在彈出的"(用戶名)高級安全設(shè)置"界面中點擊"所有者"選項卡，從其中的"目前該項目的所有者"列表中就可以看到當(dāng)前資源的所有者是誰了。

如果想將所有者更改用戶，那么只需在"將所有者更改為"列表中選擇目標(biāo)用戶名后，點擊"確定"按鈕即可。此外，也可以直接在"安全"選項卡設(shè)置界面中點擊"添加"按鈕添加一個用戶并賦予相應(yīng)的權(quán)限后，讓這個用戶來獲得當(dāng)前文件夾的所有權(quán)。

注意：查看所有者究竟對資源擁有什么樣的權(quán)限，可點擊進(jìn)入"有效權(quán)限"選項卡設(shè)置界面，從中點擊"選擇"按鈕添加當(dāng)前資源的所有者后，就可以從下方的列表中權(quán)限選項的勾取狀態(tài)來獲知了。

五、程序使用權(quán)限設(shè)定

Windows XP操作系統(tǒng)在文件管理方面功能設(shè)計上頗為多樣、周全和智能化。這里通過"程序文件使用權(quán)限"設(shè)置、將"加密文件授權(quán)多個用戶可以訪問"和了解系統(tǒng)日志的訪問權(quán)限三個例子給大家解釋一下如何進(jìn)行日常應(yīng)用。

1.程序文件權(quán)限設(shè)定

要了解Windows XP中關(guān)于程序文件的訪問權(quán)限，我們應(yīng)首先來了解一下Windows XP在這方面的兩個設(shè)計，
一、是組策略中軟件限制策略的設(shè)計；
二、是臨時分配程序文件使用權(quán)限的設(shè)計。

(1)軟件限制策略

在"運行"欄中輸入 "Gpedit.msc"命令打開組策略窗口后，在"計算機配置"→"Windows設(shè)置"→"安全設(shè)置"分支中，右鍵選中"軟件限制策略"分
支，在彈出的快捷菜單中選擇新建一個策略后，就可以從"軟件限制策略"分支下新出現(xiàn)的"安全級別"中看到有兩種安全級別的存在了。

這兩條安全級別對于程序文件與用戶權(quán)限之前是有密切聯(lián)系的：

①不允許的：從其解釋中可以看出，無論用戶的訪問權(quán)如何，軟件都不會運行；

②不受限的：這是默認(rèn)的安全級別，其解釋為 "軟件訪問權(quán)由用戶的訪問權(quán)來決定"。顯然，之所以在系統(tǒng)中可以設(shè)置各種權(quán)限，是因為有這個默認(rèn)安全策略在背后默默支持的緣故。如果想把"不允許的"安全級別設(shè)置為默認(rèn)狀態(tài)，只需雙擊進(jìn)入其屬性界面后點擊"設(shè)為默認(rèn)值"按鈕即可。

(2)臨時分配程序文件

為什么要臨時分配程序文件的管理權(quán)限呢？這是因為在Windows XP中，有許多很重要的程序都是要求用戶具有一定的管理權(quán)限才能使用的，因此在使用權(quán)限不足以使用某些程序的賬戶時，為了能夠使用程序，我們就需要為自己臨時分配一個訪問程序的管理權(quán)限了。為程序分配臨時管理權(quán)限的方法很簡單：右鍵點擊要運行的程序圖標(biāo)，在彈出的快捷菜單中選擇"運行方式"，在打開的"運行身份"對話框中選中"下列用戶"選項，在"用戶名"和"密碼"右側(cè)的文本框中指定用戶及密碼即可。

顯然，這個臨時切換程序文件管理權(quán)限的設(shè)計是十分有必要的，它可以很好地起到保護(hù)系統(tǒng)的目的。

2.授權(quán)多個用戶訪問加密文件

Windows XP在EFS上的改進(jìn)之一就是可以允許多個用戶訪問加密文件，這些用戶既可以是本地用戶，也可以是域用戶或受信任域的用戶。由于無法將證書頒發(fā)給用戶組，而只能頒發(fā)給用戶，所以只能授權(quán)單個的賬戶訪問加密文件，而用戶組將不能被授權(quán)。

要授權(quán)加密文件可以被多個用戶訪問，可以按照如下方法進(jìn)行操作：

選中已經(jīng)加密的文件，用鼠標(biāo)右鍵點擊該加密文件，選擇"屬性"，在打開的屬性對話框中"常規(guī)"選項卡下點擊"高級"按鈕，打開加密文件的高級屬性對話框，點擊其中的"詳細(xì)信息"按鈕(加密文件夾此按鈕無效)，在打開的對話框中點擊"添加"按鈕添加一個或多個新用戶即可(如果計算機加入了域，則還可以點擊"尋找用戶"按鈕在整個域范圍內(nèi)尋找用戶)。

如果要刪除某個用戶對加密文件的訪問權(quán)限，那么只需選中此用戶后點擊"刪除"按鈕即可。

3.日志的訪問權(quán)限

什么是日志？我們可以將日志理解為系統(tǒng)日記，這本"日記"可以按系統(tǒng)管理員預(yù)先的設(shè)定，自動將系統(tǒng)中發(fā)生的所有事件都一一記錄在案，供管理員查詢。既然日志信息具有如此重要的參考作用，那么就應(yīng)該做好未經(jīng)授權(quán)的用戶修改或查看的權(quán)限控制。因此，我們非常有必要去了解一下日志的訪問權(quán)限在Windows XP中是怎樣設(shè)計的。一般來說，Administrators、SYSTEM、Everyone三種類型的賬戶可以訪問日志。

這三種類型的賬戶對不同類型的日志擁有不同的訪問權(quán)限，下面來看一下表格中具體的說明，請注意"√"表示擁有此權(quán)限；"×"表示無此權(quán)限。

通過對比，可以看出SYSTEM擁有的權(quán)限最高，可以對任意類型的日志進(jìn)行讀寫和清除操作；Everyone用戶則可以讀取應(yīng)用程序和系統(tǒng)日志，但對安全日志無法讀取。這是因為安全日志相對其他幾種類型的日志在安全性方面的要求要高一些，只有SYSTEM 能夠?qū)χ畬懭搿?nbsp;

如果想為其他用戶賦予管理審核安全日志的權(quán)限，那么可以在"運行"欄中輸入"Gpedit.msc"命令打開組策略編輯器窗口后，依次進(jìn)入"計算機配置"→"Windows設(shè)置"→"安全設(shè)置 "→"本地策略"→"用戶權(quán)利指派"，雙擊右側(cè)的"管理審核和安全日志"項，在彈出的對話框中添加所需的用戶即可。

六、內(nèi)置安全主體與權(quán)限

在Windows XP中，有一群不為人知的用戶，它們的作用是可以讓我們指派權(quán)限到某種"狀態(tài)"的用戶(如"匿名用戶"、"網(wǎng)絡(luò)用戶")等，而不是某個特定的用戶或組(如 "zhong"、"CPCW"這類用戶)。這樣一來，對用戶權(quán)限的管理就更加容易精確控制了。這群用戶在Windows XP中，統(tǒng)一稱

為內(nèi)置安全主體。下面讓我們來了解一下：

1.安全主體的藏身之處

下面假設(shè)需要為一個名為"zhiguo"的目錄設(shè)置內(nèi)置安全主體中的"Network"類用戶權(quán)限為例，看看這群"默默無聞"的用戶藏身在系統(tǒng)何處。

首先進(jìn)入"zhiguo"目錄屬性界面的"安全"選項卡設(shè)置界面，點擊其中的"添加"按鈕，在彈出的"選擇用戶或組"對話框中點擊"對象類型"按鈕。

在彈出對話框中只保留列表中的"內(nèi)置安全主體"項，并點擊"確定"按鈕。

在接下來的對話框中點擊"高級"按鈕，然后在展開的對話框中點擊"立即查找"按鈕，就可以看到內(nèi)置安全主體中包含的用戶列表了。

2.安全主體作用說明

雖然內(nèi)置安全主體有很多，但正常能在權(quán)限設(shè)置中使用到的并不多，所以下面僅說明其中幾個較重要的：

①Anonymous Logon：任何沒有經(jīng)過Windows XP驗證程序(Authentication)，而以匿名方式登錄域的用戶均屬于此組；

②Authenticated Users：與前項相反，所有經(jīng)過Windows XP驗證程序登錄的用戶均屬于此組。設(shè)置權(quán)限和用戶權(quán)力時，可考慮用此項代替

Everyone組；

③BATCH：這個組包含任何訪問這臺計算機的批處理程序(Batch Process)；
④DIALUP：任何通過撥號網(wǎng)絡(luò)登錄的用戶；
⑤Everyone：指所有經(jīng)驗證登錄的用戶及來賓(Guest)；
⑥Network：任何通過網(wǎng)絡(luò)登錄的用戶；
⑦Interactive：指任何直接登錄本機的用戶；
⑧Terminal server user：指任何通過終端服務(wù)登錄的用戶。

本站僅提供存儲服務(wù)，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請點擊舉報。

九色国产,午夜在线视频,新黄色网址,九九色综合,天天做夜夜做久久做狠狠,天天躁夜夜躁狠狠躁2021a,久久不卡一区二区三区