NTFS 下的 Windows XP 权限与帐户-1

权限 与对象关联的规则，用来控制谁可以访问对象及访问的方式如何。权限由对象的所有者授予或拒绝。 对象 通过一组明确的已命名属性来描述的实体，例如文件、文件夹、共享文件夹、打印机或 Active Directory 对象。例如，文件对象的属性包括其名称、位置和大小；Active Directory 用户对象的属性可能包括该用户的姓、名和电子邮件地址。 对于 OLE 和 ActiveX，对象也可以是能够链接到或嵌入另一个对象的所有信息。 子对象 驻留在另一个对象中的对象。子对象隐含关系。例如，文件是驻留在文件夹中的子对象，该文件夹是父对象。 父对象 另一个对象驻留在其中的对象。父对象隐含关系。例如，文件夹是文件或子对象驻留的父对象。对象既可以是父对象，也可以是子对象。例如，包含文件的子文件夹既是其父文件夹的子文件夹，也是所包含的文件的父文件夹。 特殊访问权限 在 NTFS 卷上，权限的自定义设置。可以通过选择个别组件的权限标准设置来自定义文件和目录上的权限。 NTFS 文件系统 提供性能、安全性、可靠性和在所有 FAT 版本中都没有的高级功能的高级文件系统。例如，NTFS 通过使用标准的事务处理记录和还原技术来保证卷的一致性。如果系统出现故障，NTFS 将使用日志文件和检查点信息来恢复文件系统的一致性。在 Windows 2000 和 Windows XP 中，NTFS 还可以提供诸如文件和文件夹权限、加密、磁盘配额和压缩这样的高级功能。 安全描述符 包含和被保护对象相关联的安全信息的数据结构。安全描述符包括谁拥有对象，以何种方式访问以及何种审查访问类型等信息。 系统访问控制列表 (SACL) 表示部分对象的安全描述符的列表，该安全描述符指定了每个用户或组的哪个事件将被审核。审核事件的例子是文件访问、登录尝试和系统关闭。 任意访问控制列表 (DACL) 赋予或拒绝特定用户或组访问某个对象的权限的对象安全描述符的组成部分。只有某个对象的所有者才可以更改 DACL 中赋予或拒绝的权限，这样，此对象的所有者就可以自由访问该对象。 安全组 可以列在用于定义资源和对象权限的任意访问控制列表 (DACL) 中的组。安全组也可以被用作电子邮件实体。给组发送电子邮件会将该邮件发给组中的全部成员。 分发组 仅单独地用于分发电子邮件并且没有启用安全性的组。分发组不能被列在用于定义资源和对象权限的任意访问控制列表 (DACL) 中。分发组只能与电子邮件应用程序（例如，Microsoft Exchange）一起使用以便将电子邮件发送到用户集。如果因为安全目的而不需要组，请创建分发组而不要创建安全组。

 

　　本系列将详细讲解基于 NTFS 文件系统及 Windows NT 内核操作系统下的权限相关知识，包括文件系统、权限、帐户及组、安全设置等。

 

　　众所周知，Windows是一个支持多用户、多任务的操作系统，这是权限设置的基础，一切权限设置都是基于用户和进程而言的，不同的用户在访问这台计算机时，将会有不同的权限。

 

　　DOS是个单任务、单用户的操作系统。但是我们能说DOS没有权限吗？不能！当我们打开一台装有DOS操作系统的计算机的时候，我们就拥有了这个操作系统的管理员权限，而且，这个权限无处不在。所以，我们只能说DOS不支持权限的设置，不能说它没有权限。随着人们安全意识的提高，权限设置随着NTFS的发布诞生了。

 

　　在继续阅读前有几个问题要搞清楚：

　　首先，权限和权利的区别。在Windows操作系统中，权限和权利代表不同的内容。权限（Permission）代表一个用户对文件、文件夹、打印机等系统资源的访问能力；而权利（Right）代表用户对系统进行设置的能力。权限和权利可以统称为特权。

　　其次，只有Windows NT以及后续的Windows 2000/XP/2003中才有严格的特权等定义。除此之外如果要使用文件访问权限，文件还必须位于NTFS文件系统的分区上。跟FAT和FAT32文件系统相比，NTFS文件系统可以在保持簇大小不变的情况下支持更大的分区，还有一系列的安全特性，建议使用。不过DOS和Windows 9x操作系统并不能支持这种文件系统。有两种方法获得NTFS文件系统的分区：创建一个分区，然后格式化为NTFS文件系统；或者把现有的FAT或者FAT32文件系统的分区在保留数据的前提下转化为NTFS文件系统。这个转化可以使用Windows自带的convert.exe程序，在命令行状态下输入“convert c:/fs:ntfs”并回车就可以把C盘转换，其他盘需要替换C为相应的盘符。另外要注意，转换系统盘可能需要你重启动系统才能完成。

 

　　使用Windows 9x的时候，我们对用户帐户这个概念可能了解不多，因为Windows 9x中用户的概念不是很完善，所以很少有人使用。不过在Windows NT/2000/XP中，用户帐户则是和系统安全息息相关的一个重要因素，操作系统会根据不同的用户帐户以及预先的设置指派给每个用户相应的权限，以完成一定的任务。而且每个帐户之间是互相独立，各不打扰的。

 

　　Windows NT里，用户被分成许多组，组和组之间都有不同的权限，当然，一个组的用户和用户之间也可以有不同的权限。下面我们来谈谈Windows NT中常见的用户组。
　　
　　Administrators,管理员组，默认情况下，Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以，只有受信任的人员才可成为该组的成员。
　　
　　Power Users，高级用户组，Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。分配给 Power Users 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。但Power Users 不具有将自己添加到 Administrators 组的权限。在权限设置中，这个组的权限是仅次于Administrators的。
　　
　　Users:普通用户组，这个组的用户无法进行有意或无意的改动。因此，用户可以运行经过验证的应用程序，但不可以运行大多数旧版应用程序。Users 组是最安全的组，因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。Users 组提供了一个最安全的程序运行环境。在经过 NTFS 格式化的卷上，默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。Users 可以关闭工作站，但不能关闭服务器。Users 可以创建本地组，但只能修改自己创建的本地组。
　　
　　Guests:来宾组，按默认值，来宾跟普通Users的成员有同等访问权，但来宾帐户的限制更多。
　　
　　Everyone:顾名思义，所有的用户，这个计算机上的所有用户都属于这个组。
　　
　　其实还有一个组也很常见，它拥有和Administrators一样、甚至比其还高的权限，但是这个组不允许任何用户的加入，在察看用户组的时候，它也不会被显示出来，它就是SYSTEM组。系统和系统级的服务正常运行所需要的权限都是靠它赋予的。由于该组只有这一个用户SYSTEM，也许把该组归为用户的行列更为贴切。

 

　　通过使用Windows中的帐户，我们可以登录（可以是本地登录，也可以是网络登录）到Windows操作系统，使用相应的系统资源、查看自己的文件。除此之外，利用Windows的帐户我们还可以做到更多，例如每个帐户都有独立的收藏夹、我的文档文件夹、桌面快捷方式设置、Cookie等，每个用户用自己的帐户对系统进行的一般性设置都不会影响其他用户。

 

　　相关问题1：当Administrators组中创建了其他用户帐户，则Administrator会被自动隐藏，如果要将其显示出来，请运行：

 

cmd /k reg add "HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/SpecialAccounts/UserList" /v Administrator /t reg_dword /d 1 /f

 

　　相关问题2：出于安全原因，一般推荐将默认的Administrator帐户更名。如果要做此操作，请运行：gpedit.msc。依次打开“本地计算机”策略-Windows 设置-安全设置-本地策略-安全选项-帐户: 重命名管理员帐户。

 

帐户: 重命名管理员帐户 　　此安全设置确定是否存在另一个帐户名称与帐户 Administrator 的安全标识符(SID)相关联。因为人们都知道在运行 Windows 2000 Server、Windows 2000 Professional、Windows XP Professional 和 Windows Server 2003 家族的所有计算机上都存在 Administrator 帐户，重命名该帐户会使未授权的人猜测此权限用户名和密码组合的难度稍微大一些。 默认: Administrator。

 

　　　　相关问题3：出于安全原因，一般推荐将默认的Administrator帐户启用。如果要做此操作，请运行：gpedit.msc。依次打开“本地计算机”策略-Windows 设置-安全设置-本地策略-安全选项-帐户: 管理员帐户状态。

来源：(http://blog.sina.com.cn/s/blog_51a4af870100b8ad.html) - NTFS 下的 Windows XP 权限与帐户-1_寒夜孤星_新浪博客

 

帐户: 管理员帐户状态 此安全设置确定是启用还是禁用本地管理员帐户。 默认: 启用。 注意: 如果在管理员帐户被禁用之后试图重新启用它，且如果当前管理员密码不符合密码要求，则无法重新启用该帐户。在这种情况下，Administrators 组的某个备用成员必须重置管理员帐户上的密码。有关如何重置密码的信息，请参阅“重置密码”。 在某些环境下，禁用管理员帐户会成为一个维护问题。例如，在域环境中，如果构成您的加入的安全通道由于任何原因失败，且不存在其他本地管理员帐户，则必须重新启动到安全模式下解决导致加入状态损坏的问题。 在安全模式下启动，不管此设置如何，总是启用管理员帐户。

 

　　相关问题4：出于安全原因，一般推荐将默认的Guest帐户更名。如果要做此操作，请运行：gpedit.msc。依次打开“本地计算机”策略-Windows 设置-安全设置-本地策略-安全选项-帐户: 重命名来宾帐户。

 

帐户: 重命名来宾帐户 　　此安全设置确定是否存在另一个帐户名称与帐户 "Guest" 的安全标识符(SID)相关联。因为人们都知道在运行 Windows 2000 Server、Windows 2000 Professional、Windows XP Professional 和 Windows Server 2003 家族的所有计算机上都存在 Guest 帐户，重命名该帐户会使未授权的人猜测此用户名和密码组合的难度稍微大一些。 默认: Guest。

 

　　相关问题5：出于安全原因，一般推荐将默认的Guest帐户禁用。如果要做此操作，请运行：gpedit.msc。依次打开“本地计算机”策略-Windows 设置-安全设置-本地策略-安全选项-帐户: 来宾帐户状态。

 

帐户: 来宾帐户状态 此安全设置确定是启用还是禁用来宾帐户。 默认: 禁用。 注意: 如果来宾帐户被禁用且安全选项“网络访问: 本地帐户的共享和安全模型”被设置为“仅来宾”，则网络登录(如由 Microsoft 网络服务器(SMB 服务)所执行的网络登录)将失败。

 

　　相关问题6：为Windows的帐户设置了登陆密码后，如果想保留密码，又不希望登陆时键入密码，请运行：control userpasswords2。将“要使用本机，用户输入使用用户名和密码”的复选框的勾去掉。