Windows 2000的一些Privilege

原创 2004年02月10日 12:16:00
讲一下这个2000的一些privilege。

Privilege,为本地管理员提供了一种手段,可以控制允许什么人具有什么权限或者能执行什么样的系统操作,

如允许交互式登陆等等。这里我们说的特权是指特殊操作所需的权限,如备份呀什么的!一旦授予了某种特权,

这些特权就会包括在用户的安全访问令牌中。这是一些基本的概念,可以看以下,比较容易明白。

系统为了管理的方便总是为每个本地组分配了相应的特权,而且从来不改变这个特权,这些东东在NT系统上可以分为内置能力,标准用户权力,高级用户权力这么几种,但是在2000中标准权利和高级权力已经被用户特权所取代,只有在为委派而信任计算机和用户帐户(SeEnableDelegationPrivilege)和把计算机从dock中移出(SeUndockPrivilege)这两种情况下可以把NT的权利映射到2000中的特权。
注意一下2000的一些问题。并非所有能力都有匹配的权利,因此,不可能用权力完全匹配组的内置能力。而由于

特定组能力的预定义分配和不能把所有能力复制为权力,就难以区分任务,并且只能强制使用最低特权的概念。

那么在域一级下就缺少一个安全结构,导致了难以授予管理的功能。2000在AD引入后,就允许区分任务,也可授

予domain和OU相应的管理层次。

下面来谈一下具体的一些用户特权,应当有26个,也有说28个的。

SeTcbPrivilege
成为OS的一部分
允许进程可以像用户一样被鉴别,因此可以像用户一样访问相应的资源。只有底层的鉴别服务需要这样的特权所以无论是工作站,独立服务器,还是DC都没有把这个设为某人权利。

SeMachineAccountPrivilege
添加工作站到域为了这个特权可以启用,必须保证这个用户在域控制器本地安全策略中的才行。

SeBackupPrivilege
备份文件和目录。
允许用户绕过文件和目录的权限来做备份。只有当应用程序尝试访问NTFS备份API时才检查这个特权。默认情况下,这个特权分配给Administrators和Backup Operators。

SeChangeNotifyPrivilege
回避遍历检查。
允许用户来回移动目录,但是不能列出文件夹的内容。默认情况下,这种特权被赋予Administrators,

Backup Operators, Power Users, Users ,and Everyone,换句话说就是所有人都有这种权利。

SeSystemTimePrivilege
改变系统时间。
默认情况下Administrators和Power Users有这种权利。

SeCreatePagefilePrivilege
创建分页文件。
允许用户创建和改变一个分页文件的大小。默认情况下,只有Administrators有这个特权。

SeCreateTokenPrivilege
创建令牌对象。
允许进程调用NtCreateToken()或者是其他的Token-Creating APIs创建一个访问令牌。

SeCreatePermanentPrivilege
创建永久共享对象。
允许进程在2000项目管理器中创建一个目录对象。

SeDebugPrivilege
调试程序。
允许用户连接一个Debugger来调试任何进程。默认情况下Administrators有该特权。

SeEnableDelegationPrivilege
为委派而信任计算机和用户帐户。
允许用户为了委派而改变信任,只有当用户或者是计算机对该对象的帐户控制标志有写权限的时候可以。

SeRemoteShutdownPrivilege
远程关闭系统。
Administrators在默认情况下有此特权。

SeAuditPrivilege
产生安全审核。
允许一个应用程序在安全日志中,创建,产生,增加一条记录。

SeIncreaseQuotaPrivilege
增加限额。
允许一个有写属性的进程利用其他进程从而取得更多的处理器限额,这种特权有利于系统调试,但是也有导致
DOS的可能。

SeIncreaseBaseProrityPrivilege
增加调度优先级。
允许一个有写属性的进程利用其它进程来获得更多的执行优先权。有这种特权的用户可以在Task管理器中改变一个进程的调度优先权。默认情况Administrators有该特权。

SeLoadDriverPrivilege
安装和卸载设备驱动程序。
允许用户安装和卸载即插即用设备的驱动程序,不是即插即用的不受这个特权影响,但是只能被
Administrators所安装。因为驱动程序是作为被信任的程序来运行的,这需要很高的特权。而这种特权可能会被用于安装恶意程序,和破坏性的访问。默认情况下Administrators有该特权。

SeSecurityPrivilege
管理审计和安全日志。
允许用户指定对象访问的审计。有这种特权的用户也可以清空安全日志。默认情况下Administrators有该特权



SeSystemEnvironmentPrivilege
修改firmware环境变量。
允许用户使用进程通过一个API来设置系统环境变量,另外,也可以让用户使用System Properties来做到以上这一步。默认情况下Administrators有该特权。

SeProfileSingleProcessPrivilege
Profile单一进程。
允许用户使用性能监视器来监视nonsystem进程。默认情况下Administrators有此特权。


SeSystemProfilePrivilege
Profile系统性能。
允许用户使用性能监视器来监视system进程。默认情况下Administrators有此特权。

SeUndockPrivilege
将计算机中dock中删除。
允许用户使用Eject PC从坞中将计算机移出,默认情况下Administrators, Power Users, Users均有此特
权。

SeAssignPrimaryTokenPrivilege
替换一个进程级令牌。
允许一个父进程替换相关的子进程的访问令牌。

SeRestorePrivilege
恢复文件和目录。
允许用户绕过文件及目录权限来恢复备份文件。默认情况下Administrators和Backup Operators有此特权。

SeShutdownPrivilege
关闭系统。
允许用户关闭本地计算机。默认情况下Administrators, Backup Operators, Power Users, Users都有该特权,但是在2000 Server中Users没有此特权。

SeSynchAgentPrivilege
同步目录服务数据。
允许一个进程提供目录同步服务,这个特权只有在DC上。默认情况下域的Administrators和LocalSystem帐户有此特权。

SeTakeOwnershipPrivilege
取得文件所有者身份。
允许用户取得在系统中任何可得到的对象的所有者身份,包括:AD对象,文件,文件夹,打印机,注册表键,进程和线程。默认情况下Administrator有此特权。

QT与windows系统修改杂记

1 QT不让windows休眠的方法
  • baiwan111
  • baiwan111
  • 2014年05月16日 11:16
  • 1097

解决win7 64位不能正确安装sql server 2000的问题

最近需要做一个JAVA的期末作业,需要用到sql server 2000,但是鉴于我的操作系统是win7 64位,所以遇到许多系统兼容性的问题,现在在这里分享一下,为有需要的人做一个参考:   ...
  • shmily305
  • shmily305
  • 2014年10月13日 14:23
  • 6033

windows提取程序权限函数

windows提取程序权限函数
  • qq_30549833
  • qq_30549833
  • 2015年11月05日 22:08
  • 1049

windows 2000XP API 中C++线程池编程实现异步数据插库

大家都知道使用线程实现异步函数操作,尤其是顺序执行需要消耗大量时间的时候;而线程池是为了解决频繁启动和撤销线程所带来的系统开销以及引发的一系列内存出错的问题(当时频繁启用程经常遇到的问题);然后就有了...
  • z398173593
  • z398173593
  • 2011年10月08日 15:51
  • 505

封送处理您的数据:利用 COM 和 Windows 2000 的高效传输数据的技术

From: http://blog.csdn.net/zhoujianhei/article/details/1844319 摘要 您所选择的数据传输方式在分布式应用程序中是非常重要的。Wi...
  • JoeBlackzqq
  • JoeBlackzqq
  • 2011年12月25日 22:08
  • 1298

Windows 2000 SP4 内核调试初窥

今天又试了两个 Windows 版本。首先尝试的是虚拟机上安装的 Windows 2000 RTM,也是用 WinDbg 连接到它的 COM2 口的命名管道上进行调试(在 Virtual PC 上指定...
  • r_mosaic
  • r_mosaic
  • 2012年07月22日 15:48
  • 871

Windows 2000/XP/2003 下 IIS/Apache+PHP+MySQL+Zend Optimizer+phpMyAdmin安装配置

Windows 2000/XP/2003 下 IIS/Apache+PHP+MySQL+Zend Optimizer+phpMyAdmin安装配置 一、软件准备: Apache(2.0.5...
  • shenx99
  • shenx99
  • 2011年11月23日 16:48
  • 663

在Windows 2000或XP中用控制台解决PC故障

在Windows 2000或者XP中,如果某些系统文件发生意外故障,那即便是安全模式也无法进入。出现这样的问题需要重新安装系统,非常麻烦。这时,使用Windows 2000或XP中的系统控制台命令也许...
  • Galdys
  • Galdys
  • 2011年08月12日 16:54
  • 531

如何创建 windows NT/Windows 2000 服务(Service)

原文:http://www.codeproject.com/KB/system/windows_nt_service.aspx没有严格按原文翻译,只是写了原文的大概意思。作者是一名来自印度的开发员,叫...
  • mostone
  • mostone
  • 2011年07月23日 12:37
  • 693

开发Windows 2000/XP下的防火墙-IPFilter技术介绍

开发Windows 2000/XP下的防火墙 作者:Jesús O 翻译:PowerCPP 下载本文配套源代码  介绍 如果你决定开发LINUX下的防火墙,你会找到很多免费的信息...
  • echoisland
  • echoisland
  • 2012年02月02日 13:38
  • 2592
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:Windows 2000的一些Privilege
举报原因:
原因补充:

(最多只允许输入30个字)