Windows權(quán)限初認(rèn)知? ?

? ? ? 在Windows中，權(quán)限指的是不同賬戶對(duì)文件缚够、文件夾、注冊(cè)表等的訪問(wèn)能力抄瓦。在Windows中潮瓶，為不同的賬戶設(shè)置權(quán)限很重要陶冷，可以防止重要文件被其他人所使用钙姊、修改而造成信息泄露或安全問(wèn)題。

Windows文件系統(tǒng)格式

? ? ? ? NTFS(New Technology File System)是Windows NT操作環(huán)境和Windows NT高級(jí)服務(wù)器網(wǎng)絡(luò)操作系統(tǒng)環(huán)境的文件系統(tǒng)埂伦。NTFS取代了文件分配表(FAT)文件系統(tǒng)煞额，為Microsoft的Windows系列操作系統(tǒng)提供文件系統(tǒng)。NTFS對(duì)FAT和HPFS(高性能文件系統(tǒng))做了若干改進(jìn)，例如膊毁，支持元數(shù)據(jù)胀莹，并且使用了高級(jí)數(shù)據(jù)結(jié)構(gòu)，便于改善性能婚温、可靠性和磁盤空間利用率描焰，并提供了若干附加擴(kuò)展功能，如訪問(wèn)控制列表(ACL)和文件系統(tǒng)日志栅螟。

? ? ? ? 在NTFS分區(qū)上荆秦，可以為共享資源、文件夾以及文件設(shè)置訪問(wèn)許可權(quán)限力图。許可的設(shè)置包括兩方面的內(nèi)容：一是允許哪些組或用戶對(duì)文件夾步绸、文件和共享資源進(jìn)行訪問(wèn)；二是獲得訪問(wèn)許可的組或用戶可以進(jìn)行什么級(jí)別的訪問(wèn)吃媒。訪問(wèn)許可權(quán)限的設(shè)置不但適用于本地計(jì)算機(jī)用戶瓤介，同樣也應(yīng)用于通過(guò)網(wǎng)絡(luò)的共享文件夾對(duì)文件進(jìn)行訪問(wèn)的網(wǎng)絡(luò)用戶。與FAT32文件系統(tǒng)下對(duì)文件夾或文件進(jìn)行訪問(wèn)相比赘那，安全性要高得多刑桑。另外，在采用NTFS格式的Windows 2000中募舟，應(yīng)用審核策略可以對(duì)文件夾漾月、文件以及活動(dòng)目錄對(duì)象進(jìn)行審核，審核結(jié)果記錄在安全日志中胃珍，通過(guò)安全日志就可以查看哪些組或用戶對(duì)文件夾梁肿、文件或活動(dòng)目錄對(duì)象進(jìn)行了什么級(jí)別的操作，從而發(fā)現(xiàn)系統(tǒng)可能面臨的非法訪問(wèn)觅彰，通過(guò)采取相應(yīng)的措施吩蔑，將這種安全降低到最低。這些在FAT32文件系統(tǒng)下填抬，是不能實(shí)現(xiàn)的烛芬。

? ? ? ? 這里講的Windows文件系統(tǒng)的權(quán)限，都是基于磁盤是NTFS格式的前提下飒责。即磁盤必須是NTFS格式的情況下赘娄，才可以對(duì)其進(jìn)行權(quán)限設(shè)置。右擊宏蛉，查看磁盤的文件系統(tǒng)格式遣臼，如圖 1所示。

圖 1

Windows目錄權(quán)限

1拾并、完全控制

該權(quán)限允許用戶對(duì)文件夾揍堰、子文件夾鹏浅、文件進(jìn)行全權(quán)控制，如修改資源的權(quán)限屏歹、獲取資源的所有者隐砸、刪除資源的權(quán)限等，當(dāng)勾選完全控制權(quán)限之后蝙眶，其他權(quán)限會(huì)自動(dòng)勾選季希。

2、修改

該權(quán)限允許用戶修改或刪除資源幽纷，同時(shí)讓用戶擁有寫入及讀取和運(yùn)行權(quán)限胖眷。

3、讀取和運(yùn)行

該權(quán)限允許用戶擁有讀取和列出資源目錄的權(quán)限霹崎，另外也允許用戶在資源中進(jìn)行移動(dòng)和遍歷珊搀，這使得用戶能夠直接訪問(wèn)子文件夾與文件，即使用戶沒(méi)有權(quán)限訪問(wèn)這個(gè)路徑尾菇。

圖 2

4境析、列出文件夾目錄

該權(quán)限允許用戶査看資源中的子文件夾與文件名稱。

5派诬、讀取

該權(quán)限允許用戶查看該文件夾中的文件及子文件夾劳淆，也允許査看該文件夾的屬性、所有者和擁有的權(quán)限等默赂。

6沛鸵、寫入

該權(quán)限允許用戶在該文件夾中創(chuàng)建新的文件和子文件夾，也可以改變文件夾的屬性缆八、查看文件夾的所有者和權(quán)限等曲掰。

7、特別的權(quán)限

該權(quán)限是對(duì)文件系統(tǒng)權(quán)限的進(jìn)一步高級(jí)配置奈辰，這里不做講解栏妖。

權(quán)限的四項(xiàng)基本規(guī)則：

1)拒絕優(yōu)先允許原則

"拒絕優(yōu)于允許原則"是一項(xiàng)非常重要且基礎(chǔ)性的原則，它可以非常完美地處理好因用戶在用戶組的歸屬方面引起的權(quán)限“糾紛”奖恰，以及更加安全地管理用戶權(quán)限吊趾。

在圖2中可以看到，毎個(gè)權(quán)限后面都有允許和拒絕勾選框瑟啃，假設(shè)一個(gè)用戶Mike屬于user用戶組和admin用戶組论泛，user用戶組對(duì)某資源性勾選了寫權(quán)限允許選項(xiàng)，admin用戶組勾選了寫權(quán)限拒絕選項(xiàng)蛹屿。那么Mike用戶對(duì)這個(gè)資源是否擁有寫權(quán)限呢了根據(jù)屁奏。拒絕優(yōu)于允許原則。蜡峰，Mike應(yīng)該執(zhí)行拒絕寫權(quán)限了袁。因此，不擁有寫權(quán)限湿颅。

2）權(quán)限最小化原則

"保持用戶最小的權(quán)限"作為一個(gè)基本原則執(zhí)行载绿，這一點(diǎn)是非常有必要的。這條原則可以確保資源得到最大限度的安全保障油航。這項(xiàng)原則可以盡量讓用戶不能訪問(wèn)或沒(méi)必要訪問(wèn)的資源得到有效的權(quán)限賦予限制崭庸。

3）權(quán)限繼承性原則

權(quán)限繼承性原則可以讓資源的權(quán)限設(shè)置變得更加簡(jiǎn)單。假設(shè)現(xiàn)在有個(gè)谊囚。新建文件夾目錄怕享，在這個(gè)目錄中有新建文件夾A、新建文件夾B镰踏、新建文件夾C等子目錄函筋，現(xiàn)在需要對(duì)新建文件夾目錄及其下的子目錄均設(shè)置Mike用戶有寫入權(quán)限。因?yàn)橛欣^承性原則奠伪，所以只需對(duì)新建文件夾目錄設(shè)置Mike用戶有寫入權(quán)限跌帐，其下的所有子目錄將自動(dòng)繼承這個(gè)權(quán)限的設(shè)置。

4）累加原則

假設(shè)現(xiàn)在Mike用戶既屬于A用戶組绊率，也屬于B用戶組谨敛，它在A用戶組的權(quán)限是讀取，在B用戶組中的權(quán)限是寫入滤否，那么根據(jù)累加原則脸狸，Mike用戶的實(shí)際權(quán)限將會(huì)是讀取+寫入兩種。

“拒絕優(yōu)于允許原則”是用于解決權(quán)限設(shè)置上的沖突問(wèn)題的藐俺；“權(quán)限最小化原則”是用于保障資源安全的炊甲；“權(quán)限繼承性原則”是用于自動(dòng)化"執(zhí)行權(quán)限設(shè)置的；“累加原則”則是讓權(quán)限的設(shè)置更加靈活多變欲芹。

Windows用戶組及其權(quán)限

Administrators本地組：本地系統(tǒng)管理員權(quán)限組蜜葱。擁有對(duì)這臺(tái)計(jì)算機(jī)最大的控制權(quán)限，可以執(zhí)行整臺(tái)計(jì)算機(jī)的管理任務(wù)耀石。內(nèi)置的系統(tǒng)管理員賬號(hào)Administrator就是該組的成員牵囤，而且無(wú)法將它從該組刪除。如果這臺(tái)計(jì)算機(jī)已加入域滞伟，則域的Domain Admins會(huì)自動(dòng)加入到該計(jì)算機(jī)的Administrators組內(nèi)揭鳞。

Backup Operators：備份操作組。該組內(nèi)的成員梆奈，不論他們是否有權(quán)訪問(wèn)這臺(tái)計(jì)算機(jī)中的文件夾或文件野崇，都可以通過(guò)“開(kāi)始 → 所有程序 → 附件 → 系統(tǒng)工具 → 備份”的途徑，備份和還原這些文件夾與文件亩钟。

Guests：訪客用戶組乓梨。該組是提供給沒(méi)有用戶的賬戶鳖轰，但是需要訪問(wèn)本地計(jì)算機(jī)內(nèi)資源的用戶使用，該組的成員無(wú)法永久地改變其桌面的工作環(huán)境扶镀。該組最常見(jiàn)的默認(rèn)成員為訪客用戶賬號(hào)Guest蕴侣。

Network ConfigurationOperators：網(wǎng)絡(luò)配置操作組。該組內(nèi)的用戶可以在客戶端執(zhí)行一般的網(wǎng)絡(luò)設(shè)置任務(wù)臭觉，例如更改IP地址昆雀，但是不可以安裝/刪除驅(qū)動(dòng)程序與服務(wù)，也不可以執(zhí)行與網(wǎng)絡(luò)服務(wù)器設(shè)置有關(guān)的任務(wù)蝠筑，例如DNS服務(wù)器狞膘、DHCP服務(wù)器的設(shè)置。

Power Users：高權(quán)限用戶組什乙。該組內(nèi)的用戶具備比Users組更多的權(quán)利挽封，但比Adminstrators組擁有的去權(quán)利少一些，例如：

? ? ? ? 創(chuàng)建臣镣、刪除场仲、更改本地用戶賬戶；

? ? ? ? 創(chuàng)建退疫、刪除渠缕、管理本地計(jì)算機(jī)內(nèi)的共享文件夾與共享打印機(jī)；

? ? ? ? 自定義系統(tǒng)設(shè)置褒繁，例如更改計(jì)算機(jī)時(shí)間亦鳞、關(guān)閉計(jì)算機(jī)等；

? ? ? ? Power Users組成員不可以更改Adminstrators與Backup Operators棒坏、無(wú)法奪取文件的所有權(quán)燕差、無(wú)法備份與還原文件、無(wú)法安裝與刪除設(shè)備驅(qū)動(dòng)程序坝冕、無(wú)法管理安全與審核日志徒探。

Remote Desktop Users：遠(yuǎn)程桌面用戶組。該組的成員可以通過(guò)遠(yuǎn)程計(jì)算機(jī)登錄喂窟，例如测暗，利用終端服務(wù)器從遠(yuǎn)程計(jì)算機(jī)登錄。

Users:普通用戶組磨澡。該組用戶只用戶一些基本的權(quán)利碗啄，例如運(yùn)行應(yīng)用程序，但是不能修改操作系統(tǒng)的設(shè)置稳摄，不能更改其他用戶的數(shù)據(jù)稚字，不能關(guān)閉服務(wù)器級(jí)的計(jì)算機(jī)。所有添加的本地用戶賬戶則自動(dòng)屬于該組。如果計(jì)算機(jī)已經(jīng)加入域胆描，則域的Domain Users會(huì)自動(dòng)被加入到計(jì)算機(jī)的Users組中瘫想。

內(nèi)置特殊組

Everyone：任何一個(gè)用戶都屬于這個(gè)組。注意昌讲，如果Guest賬戶被啟動(dòng)時(shí)国夜，則給Everyone這個(gè)組指派權(quán)限時(shí)必須小心，因?yàn)楫?dāng)一個(gè)沒(méi)有賬戶的用戶連接計(jì)算機(jī)時(shí)剧蚣，他被允許自動(dòng)利用Guest賬戶連接支竹，但是因?yàn)镚uest也屬于Everyone組旋廷，所以他具備Everyone組所擁有的權(quán)限鸠按。

Authenticated Users：任何一個(gè)利用有效的用戶賬戶連接的用戶都屬于這個(gè)組。建議在設(shè)置權(quán)限時(shí)饶碘，盡量針對(duì)Authenticated Users組進(jìn)行設(shè)置目尖，而針對(duì)Everyone組進(jìn)行設(shè)置。

Interactive：任何在本地登錄的用戶都屬于這個(gè)組扎运。

Network：任何通過(guò)網(wǎng)絡(luò)連接此計(jì)算機(jī)的用戶都屬于這個(gè)組瑟曲。

Creator Owner：文件夾、文件或打印文件等資源創(chuàng)建者豪治，就是該資源Creator Owner（創(chuàng)建所有者）洞拨。不過(guò)，如果創(chuàng)建者是屬于Administrators組的成員负拟，則其Creator Owner為Adminstrators組烦衣。

Anonymous Logo：任何未利用有效的Windows Server 2003賬戶連接的用戶，都屬于這個(gè)組掩浙。注意花吟，在Windows 2003中，Everyone組內(nèi)并不包含“Anonymous Logon”組厨姚。

IIS_WPG：IIS工作進(jìn)程組衅澈。IIS WorkerProcess Group、IIS_WPG的成員具有適當(dāng)?shù)腘TFS權(quán)限和必要的用戶權(quán)限谬墙，可以充當(dāng)IIS 6中工作進(jìn)程標(biāo)識(shí)今布。IWAM_計(jì)算機(jī)名用戶通常屬于該用戶組。

IIS內(nèi)置用戶

IUSR_計(jì)算機(jī)名：通常稱做“Web匿名用戶”賬號(hào)或“l(fā)ntemet訪問(wèn)”賬號(hào)拭抬。其中险耀，計(jì)算機(jī)名是安裝IIS時(shí)所使用的Netbios服務(wù)器名稱。正如我們已經(jīng)了解的那樣玖喘，當(dāng)IIS服務(wù)器啟用匿名身份驗(yàn)證方式甩牺，且該服務(wù)器上存在針對(duì)特定訪問(wèn)請(qǐng)求類型具備適當(dāng)NTFS權(quán)限的IUSR賬號(hào)時(shí)，系統(tǒng)論自動(dòng)對(duì)其加以應(yīng)用累奈。該用戶通常屬于User用戶組或是Guest用戶組

IWAM_賬號(hào)：是安裝IIS時(shí)系統(tǒng)自動(dòng)建立的一個(gè)內(nèi)置賬號(hào)贬派，主要用于啟動(dòng)進(jìn)程之外的應(yīng)用程序的Internet信息服務(wù)急但。該用戶屬于IIS_WPG用戶組。

Windows下的組

如何查找“計(jì)算機(jī)管理”小編下面給4種方法：

1搞乏、Win + X → 計(jì)算機(jī)管理

2波桩、桌面電腦圖標(biāo)右擊 → 管理

3、Win + R → 輸入“compmgmt.msc”

4请敦、控制面板 → 管理工具（小圖標(biāo)）→ 計(jì)算機(jī)管理