文件或文件夹 | 用户组 | 建议权限 | 继承方式 |
%AllUsersProfile% 包含了每个用户的桌面以及配置文件的文件夹,通常位于C:/Documents and Settings/All Users下 | Administrators | 完全控制 | 继承 |
SYSTEM | 完全控制 |
Users | 读,执行 |
%AllUsersProfile%/Application Data 包含了应用程序的状态数据 | Administrators CREATOR OWNER | 完全控制 完全控制(仅子文件夹和文件) | 继承 |
SYSTEM | 完全控制 |
Users | 读,执行 |
Users | 写(仅该文件夹赫子文件夹) |
%AllUsersProfile%/Application Data/Microsoft 包含微软应用程序的状态信息 | Administrators | 完全控制 | 取代 |
Users | 读,执行 |
SYSTEM | 完全控制 |
%AllUsersProfile%/Application Data/Microsoft/Crypto/DSS/MachineKeys | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
Users | 列出文件夹、读取属性、读取扩展属性、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限(仅此文件夹) |
%AllUsersProfile%/Application Data/Microsoft/Crypto/RSA/MachineKeys | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
Users | 列出文件夹、读取属性、读取扩展属性、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限(仅此文件夹) |
%AllUsersProfile%/Application Data/Microsoft/Dr Watson 包含华生医生应用程序错误日志的文件夹 | Administrators CREATOR OWNER | 完全控制 完全控制(仅子文件夹和文件) | 取代 |
SYSTEM Users | 完全控制 读、执行 |
Users | 遍历文件夹、创建文件、创建文件夹(仅子文件夹和文件) |
%AllUsersProfile%/Application Data/Microsoft/DrWatson/drwtsn32.log 华生医生应用程序的错误日志 注意:这个设置仅在drwtsn32.log 文件被创建后才有意义。为了安全起见,我们不应冒着风险把这个日志文件保存在随便一个人都可以访问到的地方,drwtsn32.exe应用程序可以自己运行并在系统崩溃时保存文件到一个特定的安全位置。 | Administrators | 完全控制 | 取代 |
CREATOR OWNER | 完全控制(仅子文件夹和文件) |
SYSTEM | 完全控制 |
Users | 修改 |
%AllUsersProfile%/Application Data/ Microsoft/HTML Help | Administrators SYSTEM | 完全控制 完全控制 | 取代 |
Users | 完全控制 |
%AllUsersProfile%/Application Data/ Microsoft/Media Index | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
Users Users Users | 读、执行、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限(仅此文件夹)写(仅此文件和子文件夹) |
%AllUsersProfile%/Documents 注意:当在资源管理器中查看%AllUsersProfile%文件夹时,Documents子文件夹将显示为“共享的文档” | Administrators CREATOR OWNER | 完全控制 完全控制(仅子文件夹和文件) | 取代 |
SYSTEM Users | 完全控制 读、写入属性(仅此文件夹和子文件夹) |
%AllUsersProfile%/Documents/desktop.ini | Administrators SYSTEM | 完全控制 完全控制 | 取代 |
Users | 读、执行 |
%AllUsersProfile%/DRM | 忽略 | | 忽略 |
%ProgramFiles% 用来安装应用程序的文件夹,默认情况下,通常是%SystemDrive%/Program Files | Administrators CREATOR OWNER | 完全控制 完全控制(仅子文件夹和文件) | 取代 |
SYSTEM | 完全控制 |
Users | 读、执行 |
%SystemDrive% 用来安装Windows XP的硬盘分区,包含了启动系统所需的重要系统文件 | Administrators CREATOR OWNER SYSTEM Users | 完全控制 完全控制(仅子文件夹和文件) 完全控制 读、执行 | 继承 |
%SystemDrive%/autoexec.bat c:/autoexec.bat 一些遗留的DOS应用程序需要的路径,DOS应用程序实际的初始化文件是%SystemRoot%/system32/autoexec.nt | Administrators | 完全控制 | 取代 |
Users | 读、执行 |
SYSTEM | 完全控制 |
%SystemDrive%/boot.ini c:/boot.ini 引导菜单 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
%SystemDrive%/config.sys c:/config.sys 一些遗留的DOS应用程序需要的路径,DOS应用程序的实际初始化文件是 %SystemRoot%/system32/config.nt | Administrators | 完全控制 | 取代 |
Users | 读、执行 |
SYSTEM | 完全控制 |
%SystemDrive%/Documents and Settings 保存用户配置文件的文件夹 | Administrators | 完全控制 | 继承 |
SYSTEM | 完全控制 |
Users | 读、执行 |
%SystemDrive%/Documents and Settings/ Administrator 保存了默认管理员配置文件的文件夹 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
%SystemDrive%/Documents and Settings/ Default User 包含针对用户第一次登录所需要默认桌面和配置文件的文件夹 | Administrators SYSTEM | 完全控制 完全控制 | 取代 |
Users | 读、执行 |
%SystemDrive%/io.sys 作为DOS文件占位符的空文件,被用来判断系统分区的位置 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
Users | 读、执行 |
%SystemDrive%/msdos.sys 作为DOS文件占位符的空文件,被用来判断系统分区的位置 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
Users | 读、执行 |
%SystemDrive%/ntbootdd.sys SCSI设备的驱动程序,当由SCSI设备或者boot.ini文件中有相关记录是使用 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
%SystemDrive%/ntdetect.com c:/ntdetect.com 在Windows XP引导时探测硬件的文件 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
%SystemDrive%/ntldr c:/ntldr Windows XP 操作系统引导文件 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
%SystemDrive%/System Volume Information 只能被SYSTEM访问 | 忽略 | | 忽略 |
%SystemRoot% 安装了Windows XP操作系统的文件夹,对于全新安装的Windows XP,默认该文件夹名为WINDOWS。升级上来的Windows XP会沿用老系统的系统文件夹名称,如果是从Windows NT 4.0或者2000升级来得通常叫做Winnt,从Windows 9x升级来得通常叫做Windows。 | Administrators | 完全控制 | 取代 |
CREATOR OWNER | 完全控制(仅子文件夹和文件) |
SYSTEM | 完全控制 |
Users | 读、执行 |
%SystemRoot%/$NtServicePackUninstall$ 包含了要卸载Service Pack所需的老版本系统文件的备份 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
%SystemRoot%/CSC 包含了本机所有用户的离线文件,CSC意味着“client side caching” | Administrators | 完全控制 | 取代 |
%SystemRoot%/Debug 包含了大量的Log文件 | Administrators CREATOR OWNER | 完全控制 完全控制(仅子文件夹和文件) | 继承 |
SYSTEM | 完全控制 |
Users | 读、执行 |
%SystemRoot%/Debug/UserMode 包含了所使用的组策略应用的日志 | Administrators SYSTEM | 完全控制 完全控制 | 继承 |
Users | 遍历文件夹、列出文件夹、创建文件(仅此文件夹)、写入数据、附加数据(仅文件) |
%SystemRoot%/Debug/UserMode/ userenv.log 策略应用的日志文件 | Administrators SYSTEM | 完全控制 完全控制 | 取代 |
Users | 写入数据、附加数据 |
%SystemRoot%/Installer | Administrators SYSTEM | 完全控制 完全控制 | 取代 |
Users | 读、执行 |
%SystemRoot%/Offline Web Pages 用于保存脱机浏览的网页的文件夹 | 忽略 | | 忽略 |
%SystemRoot%/Prefetch 包含了预读取得缓存文件 | Administrators | 完全控制(仅此文件夹) | 取代 |
SYSTEM | 完全控制(仅此文件夹) |
%SystemRoot%/regedit.exe 注册表编辑器 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
%SystemRoot%/Registration 保存被COM+应用程序读取的CLB(Component Load Balancing,组件负载平衡)注册文件的文件夹 | Administrators SYSTEM | 完全控制(仅此文件夹和文件) 完全控制(仅此文件夹和文件) | 取代 |
Users | 读(仅此文件夹和文件) |
%SystemRoot%/Registration/CRMLog | Administrators | 完全控制 | 取代 |
CREATOR OWNER | 完全控制(仅子文件夹及文件) |
SYSTEM | 完全控制 |
Users | 遍历文件夹、列出文件夹、读取属性、读取扩展属性、创建文件、读取许可(仅此文件夹)、读取数据、写入数据、附加数据、写入属性、写入扩展属性、删除 |
%SystemRoot%/repair 保存在系统修复时所需要的SAM数据库备份以及其它重要注册表和系统文件备份的文件夹。 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
%SystemRoot%/security 包含了安全模板和分析数据库 | Administrators CREATOR OWNER | 完全控制 完全控制(仅子文件夹和文件) | 取代 |
SYSTEM | 完全控制 |
%SystemRoot%/system32 包含核心系统文件 | Administrators CREATOR OWNER | 完全控制 完全控制(仅子文件夹和文件) | 取代 |
SYSTEM | 完全控制 |
Users | 读、执行 |
%SystemRoot%/system32/arp.exe 显示和修改IP到MAC地址的ARP(address resolution protocol)转换表 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
%SystemRoot%/system32/at.exe 预设一个程序在指定的日期和时间运行 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
%SystemRoot%/system32/ciadv.msc 索引服务通用控制台 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
%SystemRoot%/system32/Com/comexp.msc 组件服务通用控制台 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
%SystemRoot%/system32/compmgmt.msc 计算机管理通用控制台 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
%SystemRoot%/system32/config 包含注册表文件和系统日志 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
%SystemRoot%/system32/devmgmt.msc 设备管理器通用控制台 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
%SystemRoot%/system32/dfrg.msc 磁盘碎片整理程序通用控制台 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
%SystemRoot%/system32/diskmgmt.msc 磁盘管理通用控制台 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
%SystemRoot%/system32/dllcache 包含了受保护的系统文件的副本,这些文件可以被系统文件检查器用来恢复被损坏或者修改过的系统文件 | Administrators | 完全控制 | 取代 |
CREATOR OWNER | 完全控制(仅子文件夹和文件) |
SYSTEM | 完全控制 |
%SystemRoot%/system32/eventvwr.msc 事件查看器通用控制台 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
%SystemRoot%/system32/fsmgmt.msc 共享文件夹通用控制台 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
%SystemRoot%/system32/gpedit.msc 组策略通用控制台 | Administrators SYSTEM | 完全控制 完全控制 | 取代 |
%SystemRoot%/system32/Group Policy 保存组策略对象的文件夹 | Administrators | 完全控制 | 继承 |
Authenticated Users | 读、执行 |
SYSTEM | 完全控制 |
%SystemRoot%/system32/ias 包含了Internet认证服务所需的数据库 | Administrators | 完全控制 | 取代 |
CREATOR OWNER | 完全控制 |
SYSTEM | 完全控制 |
%SystemRoot%/system32/lusrmgr.msc 本地用户和组通用控制台 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
%SystemRoot%/system32/MSDTC 包含微软分布式处理协调文件,分布处理服务器所需要的 | Administrators | 完全控制 | 取代 |
NETWORK SERVICE | 读、写、执行 |
SYSTEM | 完全控制 |
%SystemRoot%/system32/nbtstat.exe 显示协议状态以及当前TCP/IP连接的情况。 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
%SystemRoot%/system32/netsh.exe 命令行网络配置工具 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
%SystemRoot%/system32/netstat.exe 显示协议状态以及当前的TCP/IP连接 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
%SystemRoot%/system32/nslookup.exe 显示DNS信息 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
%SystemRoot%/system32/Ntbackup.exe 文件备份程序 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
%SystemRoot%/system32/NTMSData 可移动存储数据库的默认保存位置 | Administrators | 完全控制 | 继承 |
SYSTEM | 完全控制 |
%SystemRoot%/system32/ntmsmgr.msc 可移动存储通用控制台 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
%SystemRoot%/system32/ntmsoprq.msc 移动存储操作请求通用控制台 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
%SystemRoot%/system32/perfmon.msc 性能监视器通用控制台 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
%SystemRoot%/system32/rcp.exe 用于执行远程过程调用的程序 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
%SystemRoot%/system32/reg.exe 用于编辑和查询注册表的命令行工具 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
%SystemRoot%/system32/regedt32.exe 指向regedit.exe,在之前版本的Windows NT(包括Windows 2000)中这是另一个注册表编辑器 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
%SystemRoot%/system32/regini.exe 用于编辑和查询注册表的命令行工具 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
%SystemRoot%/system32/rexec.exe 用于执行远程呼叫(remote calls)的程序 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
%SystemRoot%/system32/route.exe 用于操作网络路由表的程序 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
%SystemRoot%/system32/rsh.exe 执行远程外壳(remote shell)的程序 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
%SystemRoot%/system32/RSoP.msc 策略结果集通用控制台 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
%SystemRoot%/system32/secedit.exe 安全配置和分析工具 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
%SystemRoot%/system32/secpol.msc 本地安全策略通用控制台 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
%SystemRoot%/system32/services.msc 服务管理通用控制台 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
%SystemRoot%/system32/Setup 包含可选组件管理器文件 | Administrators | 完全控制 | 继承 |
SYSTEM | 完全控制 |
Users | 读、执行 |
%SystemRoot%/system32/spool/Printers 打印机池 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
Users | 遍历文件夹、读取属性、读取扩展属性、创建文件、创建文件夹(仅此文件夹和子文件夹) |
CREATOR OWNER | 完全控制(仅子文件夹和文件) |
%SystemRoot%/system32/systeminfo.exe 查询基本系统信息的程序 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
%SystemRoot%/system32/tftp.exe 使用Trivial File Transfer Protocol服务传送文件到或者来自未经认证的计算机 | Administrators | 完全控制 | 取代 |
SYSTEM | 完全控制 |
%SystemRoot%/system32/wmimgmt.msc Windows Management Instrumentation控制台文件 | Administrators | 完全控制 | 取代 |
SYSTEM <, /P> | 完全控制 |
%SystemRoot%/Temp 包含临时文件的文件夹 | Administrators CREATOR OWNER System Users | 完全控制 完全控制(仅子文件夹和文件) 完全控制 遍历文件夹、创建文件、创建文件夹(仅此文件夹和子文件夹) | 取代 |