Windows权限简介

1访问控制
Windows可以通过相互关联的身份验证和授权机制来控制系统和网络资源的使用。在用户通过身份验证后，Windows 操作系统使用内置的授权和访问控制技术来实现资源的保护，在确定用户身份后，确认用户是否具有访问资源的正确权限。
授权用户、组和计算机访问网络或计算机上的对象的过程。构成访问控制的关键概念是权限、对象所有权、权限继承、用户权限和对象审计。
1.1特权
特权是一个帐户(如用户或组帐户)在本地计算机上执行各种系统相关操作(如关闭系统、加载设备驱动程序或更改系统时间)的权限。特权与访问权限有两个不同之处:
 特权控制对系统资源和系统相关任务的访问，而访问权限控制对安全对象的访问。
 系统管理员为用户和组帐户分配特权，系统根据安全对象的DACL中的ACE授予的访问权限授予或拒绝对安全对象的访问。
每个系统都有一个帐户数据库，该数据库存储用户和组帐户拥有的特权。当用户登录时，系统生成一个访问令牌，其中包含用户权限的列表，包括授予用户或用户所属组的权限。注意，这些特权只适用于本地计算机;域帐户可以在不同的计算机上拥有不同的特权。
当用户尝试执行特权操作时，系统检查用户的访问令牌，以确定用户是否拥有必要的特权，如果拥有，则检查是否启用了特权。如果测试失败，系统将不再执行该操作。
2Windows账户
本地用户帐户存储在服务器本地。可以为这些帐户分配特定的权限。本地用户帐户是安全主体，用于保护和管理服务或用户对独立服务器或成员服务器上的资源的访问
2.1Default local user accounts
默认本地用户帐户是安装 Windows 时自动创建的内置帐户。
Windows 安装后，默认的本地用户帐户无法删除。此外，默认本地用户帐户不提供对网络资源的访问。
2.1.1Administrator account
默认的本地管理员帐户是系统管理员的用户帐户。每台计算机都有一个管理员帐户（SID S-1-5-域-500，显示名称为管理员）。管理员帐户是在 Windows 安装过程中创建的第一个帐户。
管理员帐户可以完全控制本地计算机上的文件、目录、服务和其他资源。管理员帐户可以创建其他本地用户、分配用户权限和分配权限。管理员帐户可以随时通过更改用户权限和权限来控制本地资源。
默认管理员帐户无法删除或锁定，但可以重命名或禁用。