windows privilege and Permission（WINDOWS特权、权限介绍）

最新推荐文章于 2024-06-25 15:50:33 发布

dlyhlq

最新推荐文章于 2024-06-25 15:50:33 发布

阅读量4.5k

点赞数 1

分类专栏： VC++ Windows编程文章标签： windows user security attributes system 服务器

VC++ 同时被 2 个专栏收录

112 篇文章 2 订阅

订阅专栏

Windows编程

107 篇文章 1 订阅

订阅专栏

sherwin 发表于: 2007-10-07 15:58 来源: 沙飞网

特权 A privilege is the right of an account, such as a user or group account, to perform various system-related operations on the local computer, such as shutting down the system, loading device drivers, or changing the system time. Privileges differ from access rights in two ways: 特权是一个帐户的权利，比如一个用户想要进行本地系统的某种操作，例如关闭系统、加载驱动，或者改变系统时间，都需要特权。 Each Windows NT/Windows 2000/Windows XP system has an account database that stores the privileges held by user and group accounts. When a user logs on, the system produces an [url=mk

MSITStore:C:/Program%20Files/MSDNLITE/security.chm::/hh/winbase/accctrl_4b8z.htm]access token[/url] that contains a list of the user's privileges, including those granted to the user or to groups to which the user belongs. Note that the privileges apply only to the local computer; a domain account can have different privileges on different computers.
When the user tries to perform a privileged operation, the system checks the user's access token to determine whether the user holds the necessary privileges, and if so, it checks whether the privileges are enabled. If the user fails these tests, the system does not perform the operation.
在windows系统中有个记录用户的数据库保存着用户所拥有的特权，当用户登陆时，系统给出个访问令牌，其中包括了GRANT给用户的所有特权，注意，特权仅赋予本地的用户，域用户可以有不同的特权在其他计算机上。当用户尝试进行特权操作时，系统检查用户的令牌查看有无必须的特权，如果有的话，再检查是否被ENABLED，如果上述两个操作任一个失败的话，此操作就不会继续......

注意到了么，用户必须被GRANT特权才能被ENABLED，也就是说，如果我们不grant某个用户特权的话，那么他进行AdjustTokenPrivileges 只能是失败的，比如关闭系统.....如果某个用户，假设为hips，他的特权里没有se_shutdown_name，那么，任何在这个用户下运行的程序都不可能关闭系统（排除系统后门什么的，当然，服务，驱动，管理员不在其中），简单一步就可以过任何关闭系统的测试了---具体做法是，开始-运行-gpedit.msc-计算机配置-window设置-本地策略-用户权利指派-关闭系统项目里取消除了ADMIN所有用户即可

Privilege Constant	Description
SE_ASSIGNPRIMARYTOKEN_NAME	Required to assign the [url=mkMSITStore:C:/Program%20Files/MSDNLITE/security.chm::/hh/security/secglos_0smx.htm#_security_primary_token_gly]primary token[/url] of a process. User Right: Replace a process level token.
SE_AUDIT_NAME	Required to generate audit-log entries. Give this privilege to secure servers. User Right: Generate security audits.
SE_BACKUP_NAME	Required to perform backup operations. User Right: Back up files and directories. //备份文件及目录
SE_CHANGE_NOTIFY_NAME	Required to receive notifications of changes to files or directories. This privilege also causes the system to skip all traversal access checks. It is enabled by default for all users. User Right: Bypass traverse checking. //跳过遍历检查
SE_CREATE_PAGEFILE_NAME	Required to create a paging file. User Right: Create a pagefile. //创建页面文件
SE_CREATE_PERMANENT_NAME	Required to create a permanent object. User Right: Create permanent shared objects.
SE_CREATE_TOKEN_NAME	Required to create a primary token. User Right: Create a token object. //创建令牌
SE_DEBUG_NAME	Required to debug a process. User Right: Debug programs. //调试程序
SE_ENABLE_DELEGATION_NAME	Required to mark user and computer accounts as trusted for delegation.
SE_INC_BASE_PRIORITY_NAME	Required to increase the base priority of a process. User Right: Increase scheduling priority.
SE_INCREASE_QUOTA_NAME	Required to increase the quota assigned to a process. User Right: Increase quotas.
SE_LOAD_DRIVER_NAME	Required to load or unload a device driver. //加载或卸载设备驱动 User Right: Load and unload device drivers.
SE_LOCK_MEMORY_NAME	Required to lock physical pages in memory. User Right: Lock pages in memory.
SE_MACHINE_ACCOUNT_NAME	Required to create a machine account. User Right: Add workstations to domain. //创建用户、加入域
SE_PROF_SINGLE_PROCESS_NAME	Required to gather profiling information for a single process. User Right: Profile single process.
SE_REMOTE_SHUTDOWN_NAME	Required to shut down a system using a network request. User Right: Force shutdown from a remote system. //远程关闭系统
SE_RESTORE_NAME	Required to perform restore operations. This privilege enables you to set any valid user or group SID as the owner of an object. //这个特权允许你设置任何可用用户或组的SID作为一个对象的所有者 User Right: Restore files and directories.
SE_SECURITY_NAME	Required to perform a number of security-related functions, such as controlling and viewing audit messages. This privilege identifies its holder as a security operator. User Right: Manage auditing and security log.
SE_SHUTDOWN_NAME	Required to shut down a local system. User Right: Shut down the system. //关闭系统
SE_SYNC_AGENT_NAME	Required for a domain controller to use the [url=mkMSITStore:C:/Program%20Files/MSDNLITE/security.chm::/hh/security/secglos_2f3t.htm#_security_lightweight_directory_access_protocol_gly]LDAP[/url] directory synchronization services. This privilege enables the holder to read all objects and properties in the directory, regardless of the protection on the objects and properties. By default, it is assigned to the Administrator and LocalSystem accounts on domain controllers. User Right: Synchronize directory service data.
SE_SYSTEM_ENVIRONMENT_NAME	Required to modify the nonvolatile RAM of systems that use this type of memory to store configuration information. User Right: Modify firmware environment values.
SE_SYSTEM_PROFILE_NAME	Required to gather profiling information for the entire system. User Right: Profile system performance.
SE_SYSTEMTIME_NAME	Required to modify the system time. User Right: Change the system time. //改变时间
SE_TAKE_OWNERSHIP_NAME	Required to take ownership of an object without being granted discretionary access. This privilege allows the owner value to be set only to those values that the holder may legitimately assign as the owner of an object. //取得所有权，，假设你的一个普通用户也有这个特权，那么他就可以改变你电脑上的任何文件 User Right: Take ownership of files or other objects.
SE_TCB_NAME	This privilege identifies its holder as part of the trusted computer base. Some trusted protected subsystems are granted this privilege. This privilege is required to call the [url=mkMSITStore:C:/Program%20Files/MSDNLITE/security.chm::/hh/winbase/accclsrv_9cfm.htm]LogonUser[/url] function. User Right: Act as part of the operating system. //作为系统的一部分
SE_UNDOCK_NAME	Required to undock a laptop.
SE_UNSOLICITED_INPUT_NAME	Required to read unsolicited input from a [url=mkMSITStore:C:/Program%20Files/MSDNLITE/security.chm::/hh/security/secglos_9661.htm#_security_terminal_gly]terminal[/url] device.
SE_MANAGE_VOLUME_NAME	Required to enable volume management privileges. User Right: Manage the files on a volume.

中文说明特权	说明
作为操作系统的一部分	允许象验证用户一样验证一个进程，并因此获得与用户访问资源一样的访问权限。只有低级身份验证服务才要求这项特权。请注意，潜在的访问可能不受默认情况下用户关联的限制，调用进程可能要求将其他任何访问权限添加到访问令牌中。调用进程也可能创建不提供主要标识（用于审核日志中跟踪事件）的访问令牌。要求这项特权的进程应该使用已经包括此特权的本地系统帐户，而不应该使用特别指定此特权的个别用户帐户。默认设置：没有人
将工作站添加到域	允许用户将计算机添加到特定的域。要使该特权生效，必须将其作为该域中“默认域控制器策略”的组成部分而分配给用户。具有该特权的用户可以向域中添加最多十个工作站。也可以允许用户将计算机加入域中，其方式是在 Active Directory 中的部门或计算机容器里授予这些用户“创建计算机对象”的权限。具有“创建计算机对象”权限的用户可以向域中添加任意数量的计算机，而不管其是否被分配了“将工作站添加到域”的特权。默认设置：没有人
调整处理的内存配额	确定哪个账户可以使用具有“写入属性”的进程访问另一个进程以此增加分配给另一进程的处理器配额。该用户权限在默认域控制器“组策略”对象 (GPO) 和工作站及服务器的本地安全策略中定义。默认设置：管理员
备份文件和目录	允许用户绕过文件和目录权限来备份系统。仅当应用程序试图通过 NTFS 备份应用程序编程接口 (API) 访问时，才选用该特权。否则，应用正常的文件和目录权限。默认设置：管理员和备份操作员。
忽略遍历检查	浏览任何 NTFS 文件系统或注册表中的对象路径时，允许用户遍历用户无权访问的目录。此特权不允许用户列出目录的内容，只能遍历目录。默认设置：管理员、备份操作员、高级用户、用户以及成员服务器和工作站上的每个人。在域控制器上，将该特权分配给管理员、经过验证的用户和每个人。
更改系统时间	允许用户设置计算机内部时钟的时间。默认设置：管理员、高级用户、LocalService 以及成员服务器和工作站上的 NetworkService。在域控制器上，将该特权分配给管理员、服务器操作员、LocalService 和 NetworkService。
创建令牌对象	当进程使用 NtCreateToken() 或其他令牌创建 API 时，允许进程创建可用于访问所有本地资源的令牌。建议需要此特权的进程使用已经包括此特权的本地系统帐户，而不使用特别指定此特权的个别用户帐户。默认设置：没有人
创建页面文件	允许用户创建和更改页面文件的大小。该操作是通过在“系统属性”的“高级”选项卡上的“性能选项”下，指定某一特定驱动器的页面文件大小来完成的。默认设置：管理员
创建永久共享的对象	允许进程在 Windows XP Professional 对象管理器中创建目录对象。该特权对于可扩展对象名称空间的内核模式组件非常有用。以内核模式运行的组件本身就具有该特权，因此无需对它们分配该特权。默认设置：没有人
调试程序	允许用户向任意进程附加调试程序。此特权对敏感和关键的操作系统组件提供强大的访问。默认设置：管理员
使计算机和用户帐户成为受信任的以便委派其它帐户	允许用户更改 Active Directory 中用户或计算机对象上的“可委派其它帐户”设置。授予此特权的用户或计算机也必须具有对对象上的帐户控制标志进行写访问的权限。验证委派是由多层客户机/服务器应用程序所使用的一项功能。它允许前端服务将正在接收验证的客户凭证用于后端服务。要做到这一点，客户机和服务器必须同时以可委派其它帐户方式运行。误用此特权或误用可委派其它帐户设置会使网络容易受到系统上复杂进攻的破坏，如使用特洛伊木马程序模仿传入的客户并使用它们的凭据访问网络资源。默认设置：该特权不授予成员服务器或工作站上的任何人，因为这种授权无任何意义。在域控制器上，该特权默认情况下授予管理员。
从远程系统强制地关机	允许用户从网络上的远程位置关闭计算机。请参阅关闭系统特权。默认设置：成员服务器和工作站上的管理员。在域控制器上，该特权分配给管理员和服务器操作员。
生成安全审核	允许进程在安全日志中创建记录。安全日志用于跟踪未经授权的系统访问。请参阅特权“管理审核和安全日志”。默认设置：LocalService 和 NetworkService。
增加调度优先级	允许具有“写属性”的进程访问其他进程以便增加其他进程的执行优先级。具有该特权的用户可以更改“任务管理器”中某个过程的调度优先级。默认设置：管理员
加载和卸载设备驱动程序	允许用户安装和卸载即插即用的设备驱动程序。该特权对安装非即插即用设备的驱动程序没有影响。只有系统管理员才可以安装非即插即用设备。默认设置：管理员。建议不要将此特权授予任何其它用户。设备驱动程序以受信任（或高级特权）程序运行。具有加载和卸载设备驱动程序特权的用户可能会由于将恶意代码误当作设备驱动程序安装而无意误用该特权。因此建议管理员要提高警惕，且只安装带有经验证的数字签名证书的驱动程序。
锁定内存中的页面	允许进程将数据保存在物理内存中，以防系统将分页数据写到磁盘上的虚拟内存中。分配该特权可能致使系统性能严重降低。默认设置：未分配给任何人。某些系统进程本身就具有该特权。
管理审核和安全日志	允许用户指定文件、Active Directory 对象和注册表项之类的单个资源的对象访问审核选项。只有当启用了“审核策略”（在“安全设置”中的“本地策略”下）中的对象访问审核后，才可以真正执行对象访问审核操作。具有此特权的用户还可以从事件查看器中查看并清除安全日志。具有此特权的用户还可以从事件查看器中查看并清除安全日志。默认设置：管理员
修改固件环境值	允许通过 API 的某个进程或通过“系统属性”的某个用户来修改系统环境变量。默认设置：管理员
图示单个进程	允许用户运行 Windows XP Professional 性能监视工具来监视非系统进程的性能。默认设置：成员服务器和工作站上的管理员和高级用户。在域控制器上，仅将该特权分配给管理员
配置文件系统性能	允许用户运行性能监视工具监视系统进程的性能。默认设置：管理员
从插接站删除计算机	允许便携式计算机用户通过单击“开始”菜单上的“弹出 PC”来脱开计算机。默认设置：管理员、高级用户和用户。
替换进程级令牌	确定哪个用户账户可以初始化一个进程，以取代与已启动的子进程相关的默认令牌。该用户权限在“默认域控制器组策略”对象和工作站及服务器的本地安全策略中进行定义。默认设置：本地服务和网络服务。
还原文件和目录	还原备份的文件和目录时，允许用户绕过文件和目录权限，并将任何有效的安全主体设为对象的所有者。请参阅“备份文件和目录”特权。默认设置：管理员和备份操作员。
关闭系统	允许用户关闭本地计算机。默认设置：管理员、备份操作员、高级用户和工作站用户。在成员服务器上，该权利授予管理员、高级用户和备份操作员。在域控制器上，该权利授予管理员、帐户操作员、备份操作员、打印操作员和服务器操作员。
同步目录服务数据	允许进程提供目录同步服务。该特权仅对域控制器有效。默认设置：没有人
获得文件或其它对象的所有权	允许用户获得系统中任何可得到的对象的所有权，包括 Active Directory 对象、NTFS 文件和文件夹、打印机、注册表项、进程和线程。默认设置：管理员

那么，我们该如何设置呢？
其实很简单，默认没有的就不要加，不必要的就去除，比如调试程序，如果你根本用不到，那就去除好了，关闭系统什么的也类似，，不清楚的？那看下上面的具体解释，可以尝试下，不过一般服务的不要动。

权限[size=10.5pt]
[size=10.5pt]" 权限"(Permission)是针对资源而言的。也就是说，设置权限只能是以资源为对象，即"设置某个文件夹有哪些用户可以拥有相应的权限"，而不能是以用户为主，即"设置某个用户可以对哪些资源拥有权限"。这就意味着"权限"必须针对"资源"而言，脱离了资源去谈权限毫无意义──在提到权限的具体实施时，"某个资源"是必须存在的。[size=10.5pt]
[size=10.5pt]说到Windows XP的权限，就不能不说说 [size=10.5pt]"安全标识符"(Security Identifier, SID)、"访问控制列表"(Access Control List，ACL)和安全主体(Security Principal)[size=10.5pt]这三个与其息息相关的设计了。[size=10.5pt]
[size=10.5pt]
[size=10.5pt]1.安全标识符在Windows XP中，系统是通过SID对用户进行识别的，而不是很多用户认为的"用户名称"。SID可以应用于系统内的所有用户、组、服务或计算机，因为SID是一个具有惟一性、绝对不会重复产生的数值，所以，在删除了一个账户(如名为"A"的账户)后，再次创建这个"A"账户时，前一个A与后一个A账户的SID是不相同的。这种设计使得账户的权限得到了最基础的保护，盗用权限的情况也就彻底杜绝了。[size=10.5pt]
[size=10.5pt]
[size=10.5pt]查看用户、组、服务或计算机的SID值，可以使用 "Whoami"工具来执行，该工具包含在Windows XP安装光盘的"Support/Tools"目录中，双击执行该目录下的"Setup"文件后，将会有包括Whoami工具在内的一系列命令行工具拷贝到"X:/Program Files/Support Tools"目录中。此后在任意一个命令提示符窗口中都可以执行"Whoami /all"命令来查看当前用户的全部信息。[size=10.5pt]
[size=10.5pt]
[size=10.5pt]2.访问控制列表(ACL)[size=10.5pt]
[size=10.5pt]
[size=10.5pt]访问控制列表是权限的核心技术。顾名思义，这是一个权限列表，用于定义特定用户对某个资源的访问权限，实际上这就是Windows XP对资源进行保护时所使用的一个标准。[size=10.5pt]
[size=10.5pt]在访问控制列表中，每一个用户或用户组都对应一组访问控制项(Access Control Entry, ACE)，这一点只需在"组或用户名称"列表中选择不同的用户或组时，通过下方的权限列表设置项是不同的这一点就可以看出来。显然，所有用户或用户组的权限访问设置都将会在这里被存储下来，并允许随时被有权限进行修改的用户进行调整，如取消某个用户对某个资源的"写入"权限。[size=10.5pt]
[size=10.5pt]
[size=10.5pt]3.安全主体(Security Principal)[size=10.5pt]
[size=10.5pt]在Windows XP中，可以将用户、用户组、计算机或服务都看成是一个安全主体，每个安全主体都拥有相对应的账户名称和SID。根据系统架构的不同，账户的管理方式也有所不同──本地账户被本地的SAM管理；域的账户则会被活动目录进行管理......[size=10.5pt]
[size=10.5pt]
[size=10.5pt]一般来说，权限的指派过程实际上就是为某个资源指定安全主体(即用户、用户组等)可以拥有怎样的操作过程。因为用户组包括多个用户，所以大多数情况下，为资源指派权限时建议使用用户组来完成，这样可以非常方便地完成统一管理。[size=10.5pt]

[size=10.5pt]
[size=10.5pt]1.NTFS权限[size=10.5pt]
[size=10.5pt]
[size=10.5pt]首先我们要知道：只要是存在NTFS磁盘分区上的文件夹或文件，无论是否被共享，都具有此权限。此权限对于使用FAT16/FAT32文件系统的文件与文件夹无效！[size=10.5pt]
[size=10.5pt]
[size=10.5pt]NTFS权限有两大要素：一是标准访问权限；二是特别访问权限。前者将一些常用的系统权限选项比较笼统地组成6种"套餐型"的权限，即：完全控制、修改、读取和运行、列出文件夹目录、读取、写入。[size=10.5pt]
[size=10.5pt]
[size=10.5pt]在大多数的情况下，"标准权限"是可以满足管理需要的，但对于权限管理要求严格的环境，它往往就不能令管理员们满意了，如只想赋予某用户有建立文件夹的权限，却没有建立文件的权限；如只能删除当前目录中的文件，却不能删除当前目录中的子目录的权限等......这个时候，就可以让拥有所有权限选项的"特别权限"来大显身手了。也就是说，特别权限不再使用"套餐型"，而是使用可以允许用户进行"菜单型"的细节化权限管理选择了。[size=10.5pt]
[size=10.5pt]
[size=10.5pt]那么如何设置标准访问权限呢？以对一个在NTFS分区中的名为"zhiguo"的文件夹进行设置标准访问权限为例，可以按照如下方法进行操作：[size=10.5pt]
[size=10.5pt]
[size=10.5pt]因为NTFS权限需要在资源属性页面的"安全"选项卡设置界面中进行，而Windows XP在安装后默认状态下是没有激活"安全"选项卡设置功能的，[size=10.5pt]
[size=10.5pt]
[size=10.5pt]所以需要首先启用系统中的"安全"选项卡。方法是：依次点击"开始"→"设置"→"控制面板 "，双击"文件夹选项"，在"查看"标签页设置界面上的"高级设置"选项列表中清除"使用简单文件共享(推荐)"选项前的复选框后点击"应用"按钮即可。[size=10.5pt]
[size=10.5pt]
[size=10.5pt]设置完毕后就可以右键点击"zhiguo" 文件夹，在弹出的快捷菜单中选择"共享与安全"，在"zhiguo属性"窗口中就可以看见"安全"选项卡的存在了。针对资源进行NTFS权限设置就是通过这个选项卡来实现的，此时应首先在"组或用户名称"列表中选择需要赋予权限的用户名组(这里选择"zhong"用户)，接着在下方的"zhong 的权限"列表中设置该用户可以拥有的权限即可。[size=10.5pt]
[size=10.5pt]
[size=10.5pt]下面简单解释一下六个权限选项的含义：[size=10.5pt]
[size=10.5pt]
[size=10.5pt]①完全控制(Full Control)：[size=10.5pt]
[size=10.5pt]该权限允许用户对文件夹、子文件夹、文件进行全权控制，如修改资源的权限、获取资源的所有者、删除资源的权限等，拥有完全控制权限就等于拥有了其他所有的权限；[size=10.5pt]
[size=10.5pt]
[size=10.5pt]②修改(Modify)：[size=10.5pt]
[size=10.5pt]该权限允许用户修改或删除资源，同时让用户拥有写入及读取和运行权限；[size=10.5pt]
[size=10.5pt]
[size=10.5pt]③读取和运行(Read & Execute)：[size=10.5pt]
[size=10.5pt]该权限允许用户拥有读取和列出资源目录的权限，另外也允许用户在资源中进行移动和遍历，这使得用户能够直接访问子文件夹与文件，即使用户没有权限访问这个路径；[size=10.5pt]
[size=10.5pt]
[size=10.5pt]④列出文件夹目录(List Folder Contents)：[size=10.5pt]
[size=10.5pt]该权限允许用户查看资源中的子文件夹与文件名称；[size=10.5pt]
[size=10.5pt]
[size=10.5pt]⑤读取(Read)：[size=10.5pt]
[size=10.5pt]该权限允许用户查看该文件夹中的文件以及子文件夹，也允许查看该文件夹的属性、所有者和拥有的权限等；[size=10.5pt]
[size=10.5pt]
[size=10.5pt]⑥写入(Write)：[size=10.5pt]
[size=10.5pt]该权限允许用户在该文件夹中创建新的文件和子文件夹，也可以改变文件夹的属性、查看文件夹的所有者和权限等。[size=10.5pt]
[size=10.5pt]如果在"组或用户名称"列表中没有所需的用户或组，那么就需要进行相应的添加操作了，方法如下：点击"添加"按钮后，在出现的"选择用户和组"对话框中，既可以直接在"输入对象名称来选择"文本区域中输入用户或组的名称(使用"计算机名/用户名"这种方式)，也可以点击"高级"按钮，在弹出的对话框中点击" 立即查找"按钮让系统列出当前系统中所有的用户组和用户名称列表。此时再双击选择所需用户或组将其加入即可。[size=10.5pt]
[size=10.5pt]
[size=10.5pt]如果想删除某个用户组或用户的话，只需在" 组或用户名称"列表中选中相应的用户或用户组后，点击下方的"删除"按钮即可。但实际上，这种删除并不能确保被删除的用户或用户组被拒绝访问某个资源，因此，如果希望拒绝某个用户或用户组访问某个资源，还要在"组或用户名称"列表中选择相应的用户名用户组后，为其选中下方的"拒绝"复选框即可。[size=10.5pt]
[size=10.5pt]
[size=10.5pt]那么如何设置特殊权限呢？假设现在需要对一个名为"zhiguo"的目录赋"zhong"用户对其具有"读取"、"建立文件和目录"的权限，基于安全考虑，又决定取消该账户的"删除"权限。此时，如果使用"标准权限"的话，将无法完成要求，而使用特别权限则可以很轻松地完成设置。方法如下：[size=10.5pt]
[size=10.5pt]
[size=10.5pt]首先，右键点击"zhiguo"目录，在右键快捷菜单中选择"共享与安全"项，随后在"安全"选项卡设置界面中选中"zhong"用户并点击下方的"高级"按钮，在弹出的对话框中点击清空"从父项继承那些可以应用到子对象的权限项目，包括那些在此明确定义的项目"项选中状态，这样可以断开当前权限设置与父级权限设置之前的继承关系。在随即弹出的" 安全"对话框中点击"复制"或"删除"按钮后(点击"复制"按钮可以首先复制继承的父级权限设置，然后再断开继承关系)，接着点击"应用"按钮确认设置，再选中"zhong"用户并点击"编辑"按钮，在弹出的"zhong的权限项目"对话框中请首先点击"全部清除"按钮，接着在"权限"列表中选择"遍历文件夹/运行文件"、"列出文件夹/读取数据"、"读取属性"、"创建文件/写入数据"、"创建文件夹/附加数据"、"读取权限"几项，最后点击"确定"按钮结束设置。[size=10.5pt]
[size=10.5pt]
[size=10.5pt]在经过上述设置后，"zhong"用户在对"zhiguo"进行删除操作时，就会弹出提示框警告操作不能成功的提示了。显然，相对于标准访问权限设置[size=10.5pt]
[size=10.5pt]
[size=10.5pt]上的笼统，特别访问权限则可以实现更具体、全面、精确的权限设置。[size=10.5pt]
[size=10.5pt]
[size=10.5pt]为了大家更好地理解特殊权限列表中的权限含义，以便做出更精确的权限设置，下面简单解释一下其含义：[size=10.5pt]
[size=10.5pt]
[size=10.5pt]⑴遍历文件夹/运行文件(Traverse Folder/Execute File)：[size=10.5pt]
[size=10.5pt]该权限允许用户在文件夹及其子文件夹之间移动(遍历)，即使这些文件夹本身没有访问权限。[size=10.5pt]
[size=10.5pt]注意：只有当在"组策略"中("计算机配置 "→"Windows设置"→"安全设置"→"本地策略"→"用户权利指派")将"跳过遍历检查"项授予了特定的用户或用户组，该项权限才能起作用。默认状态下，包"Administrators"、"Users"、"Everyone"等在内的组都可以使用该权限。[size=10.5pt]
[size=10.5pt]对于文件来说，拥了这项权限后，用户可以执行该程序文件。但是，如果仅为文件夹设置了这项权限的话，并不会让用户对其中的文件带上"执行"的权限；[size=10.5pt]
[size=10.5pt]
[size=10.5pt]⑵列出文件/读取数据(List Folder/Read Data)：[size=10.5pt]
[size=10.5pt]该权限允许用户查看文件夹中的文件名称、子文件夹名称和查看文件中的数据；[size=10.5pt]
[size=10.5pt]
[size=10.5pt]⑶读取属性(Read Attributes)：[size=10.5pt]
[size=10.5pt]该权限允许用户查看文件或文件夹的属性(如系统、只读、隐藏等属性)；[size=10.5pt]
[size=10.5pt]
[size=10.5pt]⑷读取扩展属性(Read Extended Attributes)：[size=10.5pt]
[size=10.5pt]该权限允许查看文件或文件夹的扩展属性，这些扩展属性通常由程序所定义，并可以被程序修改；[size=10.5pt]
[size=10.5pt]
[size=10.5pt]⑸创建文件/写入属性(Create Files/Write Data)：[size=10.5pt]
[size=10.5pt]该权限允许用户在文件夹中创建新文件，也允许将数据写入现有文件并覆盖现有文件中的数据；[size=10.5pt]
[size=10.5pt]
[size=10.5pt]⑹创建文件夹/附加数据(Create Folder/Append Data)：[size=10.5pt]
[size=10.5pt]该权限允许用户在文件夹中创建新文件夹或允许用户在现有文件的末尾添加数据，但不能对文件现有的数据进行覆盖、修改，也不能删除数据；[size=10.5pt]
[size=10.5pt]⑺写入属性(Write Attributes)：[size=10.5pt]
[size=10.5pt]该权限允许用户改变文件或文件夹的属性；[size=10.5pt]
[size=10.5pt]
[size=10.5pt]⑻写入扩展属性(Write Extended Attributes)：[size=10.5pt]
[size=10.5pt]该权限允许用户对文件或文件夹的扩展属性进行修改；[size=10.5pt]
[size=10.5pt]
[size=10.5pt]⑼删除子文件夹及文件(Delete Subfolders and Files)：[size=10.5pt]
[size=10.5pt]该权限允许用户删除文件夹中的子文件夹或文件，即使在这些子文件夹和文件上没有设置删除权限；[size=10.5pt]
[size=10.5pt]
[size=10.5pt]⑽删除(Delete)：[size=10.5pt]
[size=10.5pt]该权限允许用户删除当前文件夹和文件，如果用户在该文件或文件夹上没有删除权限，但是在其父级的文件夹上有删除子文件及文件夹权限，那么就仍然可以删除它；[size=10.5pt]
[size=10.5pt]
[size=10.5pt]⑾读取权限(Read Permissions)：[size=10.5pt]
[size=10.5pt]该权限允许用户读取文件或文件夹的权限列表；[size=10.5pt]
[size=10.5pt]
[size=10.5pt]⑿更改权限(Change Permissions)：[size=10.5pt]
[size=10.5pt]该权限允许用户改变文件或文件夹上的现有权限；[size=10.5pt]
[size=10.5pt]⒀取得所有权(Take Ownership)：[size=10.5pt]
[size=10.5pt]该权限允许用户获取文件或文件夹的所有权，一旦获取了所有权，用户就可以对文件或文件夹进行全权控制。[size=10.5pt]
[size=10.5pt]
[size=10.5pt]这里需要单独说明一下"修改"权限与"写入 "权限的区别：如果仅仅对一个文件拥有修改权限，那么，不仅可以对该文件数据进行写入和附加，而且还可以创建新文件或删除现有文件。而如果仅仅对一个文件拥有写入权限，那么既可以对文件数据进行写入和附加，也可以创建新文件，但是不能删除文件。也就是说，有写入权限不等于具有删除权限，但拥有修改权限，就等同于拥有删除和写入权限。[size=10.5pt]
[size=10.5pt]
[size=10.5pt]1.程序文件权限设定[size=10.5pt]
[size=10.5pt]
[size=10.5pt]要了解Windows XP中关于程序文件的访问权限，我们应首先来了解一下Windows XP在这方面的两个设计，[size=10.5pt]
[size=10.5pt]一、是组策略中软件限制策略的设计；[size=10.5pt]
[size=10.5pt]二、是临时分配程序文件使用权限的设计。[size=10.5pt]
[size=10.5pt]
[size=10.5pt](1)软件限制策略[size=10.5pt]
[size=10.5pt]
[size=10.5pt]在"运行"栏中输入 "Gpedit.msc"命令打开组策略窗口后，在"计算机配置"→"Windows设置"→"安全设置"分支中，右键选中"软件限制策略"分[size=10.5pt]
[size=10.5pt]支，在弹出的快捷菜单中选择新建一个策略后，就可以从"软件限制策略"分支下新出现的"安全级别"中看到有两种安全级别的存在了。[size=10.5pt]
[size=10.5pt]
[size=10.5pt]这两条安全级别对于程序文件与用户权限之前是有密切联系的：[size=10.5pt]
[size=10.5pt]
[size=10.5pt]①不允许的：从其解释中可以看出，无论用户的访问权如何，软件都不会运行；[size=10.5pt]
[size=10.5pt]
[size=10.5pt]② 不受限的：这是默认的安全级别，其解释为 "软件访问权由用户的访问权来决定"。显然，之所以在系统中可以设置各种权限，是因为有这个默认安全策略在背后默默支持的缘故。如果想把"不允许的"安全级别设置为默认状态，只需双击进入其属性界面后点击"设为默认值"按钮即可。[size=10.5pt]
[size=10.5pt]
[size=10.5pt](2)临时分配程序文件[size=10.5pt]
[size=10.5pt]
[size=10.5pt]为什么要临时分配程序文件的管理权限呢？这是因为在Windows XP中，有许多很重要的程序都是要求用户具有一定的管理权限才能使用的，因此在使用权限不足以使用某些程序的账户时，为了能够使用程序，我们就需要为自己临时分配一个访问程序的管理权限了。为程序分配临时管理权限的方法很简单：右键点击要运行的程序图标，在弹出的快捷菜单中选择"运行方式"，在打开的"运行身份"对话框中选中"下列用户"选项，在"用户名"和"密码"右侧的文本框中指定用户及密码即可。[size=10.5pt]
[size=10.5pt]
[size=10.5pt]显然，这个临时切换程序文件管理权限的设计是十分有必要的，它可以很好地起到保护系统的目的。[size=10.5pt]
[size=10.5pt]
[size=10.5pt]2.授权多个用户访问加密文件[size=10.5pt]
[size=10.5pt]
[size=10.5pt]Windows XP在EFS上的改进之一就是可以允许多个用户访问加密文件，这些用户既可以是本地用户，也可以是域用户或受信任域的用户。由于无法将证书颁发给用户组，而只能颁发给用户，所以只能授权单个的账户访问加密文件，而用户组将不能被授权。[size=10.5pt]
[size=10.5pt]
[size=10.5pt]要授权加密文件可以被多个用户访问，可以按照如下方法进行操作：[size=10.5pt]
[size=10.5pt]
[size=10.5pt]选中已经加密的文件，用鼠标右键点击该加密文件，选择"属性"，在打开的属性对话框中"常规"选项卡下点击"高级"按钮，打开加密文件的高级属性对话框，点击其中的"详细信息"按钮(加密文件夹此按钮无效)，在打开的对话框中点击"添加"按钮添加一个或多个新用户即可(如果计算机加入了域，则还可以点击"寻找用户"按钮在整个域范围内寻找用户)。[size=10.5pt]
[size=10.5pt]
[size=10.5pt]如果要删除某个用户对加密文件的访问权限，那么只需选中此用户后点击"删除"按钮即可。[size=10.5pt]
[size=10.5pt]
[size=10.5pt]虽然内置安全主体有很多，但正常能在权限设置中使用到的并不多，所以下面仅说明其中几个较重要的：[size=10.5pt]
[size=10.5pt]
[size=10.5pt]①Anonymous Logon：任何没有经过Windows XP验证程序(Authentication)，而以匿名方式登录域的用户均属于此组；[size=10.5pt]
[size=10.5pt]
[size=10.5pt]②Authenticated Users：与前项相反，所有经过Windows XP验证程序登录的用户均属于此组。设置权限和用户权力时，可考虑用此项代替[size=10.5pt]
[size=10.5pt]
[size=10.5pt]Everyone组；[size=10.5pt]
[size=10.5pt]
[size=10.5pt]③BATCH：这个组包含任何访问这台计算机的批处理程序(Batch Process)；[size=10.5pt]
[size=10.5pt]④DIALUP：任何通过拨号网络登录的用户；[size=10.5pt]
[size=10.5pt]⑤Everyone：指所有经验证登录的用户及来宾(Guest)；[size=10.5pt]
[size=10.5pt]⑥Network：任何通过网络登录的用户；[size=10.5pt]
[size=10.5pt]⑦Interactive：指任何直接登录本机的用户；[size=10.5pt]
[size=10.5pt]⑧Terminal server user：指任何通过终端服务登录的用户。[size=10.5pt]
[size=10.5pt]
[size=10.5pt]上面写了很多，是不是看得眼睛都花了，其实也不需要完全了解，只要知道，给予用户尽量低的权限就可以了，比如系统盘只读，注册表只读---[size=10.5pt] 只[size=10.5pt]对普通用户，管理员还是要开放的。[size=10.5pt]
[size=10.5pt]
[size=10.5pt] 另外，权限及特权很有帮助，但WINDOWS系统本身就有不少漏洞，此时就需要HIPS来进行辅助，同时，相对而言，权限设置还是比较麻烦的（特权不麻烦），在一些精细的地方（例如控制QQ只能写本身目录及以下），虽然也有方法达到，但总的来说，麻烦了点，所以还是用HIPS的好（唉 [size=10.5pt]createprocessasuser需要特权要求太高，要不自己编个RUNAS就方便了[size=10.5pt]）。所以说，总得管理，最好用系统本身的功能，细微处，HIPS处理。-----呵呵，HIPS也可以做到总的，但是，你想，比如要保护注册表配置HKLM（[size=10.5pt]hkey_local_machine[size=10.5pt]）[size=10.5pt] ，HIPS通常的规则都是一大片，还时有遗漏，但权限设置就简单了，设置为HKLM全键只读，一下搞定。[size=10.5pt]
[size=10.5pt]
[size=10.5pt] 为什么绝大部分用户只用管理员用户？[size=10.5pt]
[size=10.5pt] 偶窃窃分析，心理因素居多，是不是会认为自己的电脑就要自己做主，想干什么就干什么，而用非管理员心理上就觉得有无形的枷锁，觉得这不行，那也不行？[size=10.5pt]
[size=10.5pt] 静下心来，想一想，平时的操作哪些非管理员不可？[size=10.5pt]

(摘自 http://www.safee.net/html/27/t-1927.html)