在线播放免费人成毛片乱码_ Windows XP權限整合應用全解

一、什么是權限

Windows XP提供了非常細致的權限控制項，能夠精確定制用戶(hù)對資源的訪(fǎng)問(wèn)控制能力，大多數的權限從其名稱(chēng)上就可以基本了解其所能實(shí)現的內容。
"權限"(Permission)是針對資源而言的。也就是說(shuō)，設置權限只能是以資源為對象，即"設置某個(gè)文件夾有哪些用戶(hù)可以擁有相應的權限"，而不能是以用戶(hù)為主，即"設置某個(gè)用戶(hù)可以對哪些資源擁有權限"。這就意味著(zhù)"權限"必須針對"資源"而言，脫離了資源去談權限毫無(wú)意義──在提到權限的具體實(shí)施時(shí)，"某個(gè)資源"是必須存在的。
利用權限可以控制資源被訪(fǎng)問(wèn)的方式，如User組的成員對某個(gè)資源擁有"讀取"操作權限、Administrators組成員擁有"讀取+寫(xiě)入+刪除"操作權限等。
值得一提的是，有一些Windows用戶(hù)往往會(huì )將"權力"與"權限"兩個(gè)非常相似的概念搞混淆，這里做一下簡(jiǎn)單解釋?zhuān)?權力"(Right)主要是針對用戶(hù)而言的。"權力"通常包含"登錄權力" (Logon Right)和"特權"(Privilege)兩種。登錄權力決定了用戶(hù)如何登錄到計算機，如是否采用本地交互式登錄、是否為網(wǎng)絡(luò )登錄等。特權則是一系列權力的總稱(chēng)，這些權力主要用于幫助用戶(hù)對系統進(jìn)行管理，如是否允許用戶(hù)安裝或加載驅動(dòng)程序等。顯然，權力與權限有本質(zhì)上的區別。

二、安全標識符、訪(fǎng)問(wèn)控制列表、安全主體

說(shuō)到Windows XP的權限，就不能不說(shuō)說(shuō)"安全標識符"(Security Identifier, SID)、"訪(fǎng)問(wèn)控制列表"(Access Control List，ACL)和安全主體(Security Principal)這三個(gè)與其息息相關(guān)的設計了。

1.安全標識符

在Windows XP中，系統是通過(guò)SID對用戶(hù)進(jìn)行識別的，而不是很多用戶(hù)認為的"用戶(hù)名稱(chēng)"。SID可以應用于系統內的所有用戶(hù)、組、服務(wù)或計算機，因為SID是一個(gè)具有惟一性、絕對不會(huì )重復產(chǎn)生的數值，所以，在刪除了一個(gè)賬戶(hù)(如名為"A"的賬戶(hù))后，再次創(chuàng )建這個(gè)"A"賬戶(hù)時(shí)，前一個(gè)A與后一個(gè)A賬戶(hù)的SID是不相同的。這種設計使得賬戶(hù)的權限得到了最基礎的保護，盜用權限的情況也就徹底杜絕了。

查看用戶(hù)、組、服務(wù)或計算機的SID值，可以使用"Whoami"工具來(lái)執行，該工具包含在Windows XP安裝光盤(pán)的"Support\Tools"目錄中，雙擊執行該目錄下的"Setup"文件后，將會(huì )有包括Whoami工具在內的一系列命令行工具拷貝到"X:\Program Files\Support Tools"目錄中。此后在任意一個(gè)命令提示符窗口中都可以執行"Whoami /all"命令來(lái)查看當前用戶(hù)的全部信息。

2.訪(fǎng)問(wèn)控制列表(ACL)

訪(fǎng)問(wèn)控制列表是權限的核心技術(shù)。顧名思義，這是一個(gè)權限列表，用于定義特定用戶(hù)對某個(gè)資源的訪(fǎng)問(wèn)權限，實(shí)際上這就是Windows XP對資源進(jìn)行保護時(shí)所使用的一個(gè)標準。

在訪(fǎng)問(wèn)控制列表中，每一個(gè)用戶(hù)或用戶(hù)組都對應一組訪(fǎng)問(wèn)控制項(Access Control Entry, ACE)，這一點(diǎn)只需在"組或用戶(hù)名稱(chēng)"列表中選擇不同的用戶(hù)或組時(shí)，通過(guò)下方的權限列表設置項是不同的這一點(diǎn)就可以看出來(lái)。顯然，所有用戶(hù)或用戶(hù)組的權限訪(fǎng)問(wèn)設置都將會(huì )在這里被存儲下來(lái)，并允許隨時(shí)被有權限進(jìn)行修改的用戶(hù)進(jìn)行調整，如取消某個(gè)用戶(hù)對某個(gè)資源的"寫(xiě)入"權限。

3.安全主體(Security Principal)
在Windows XP中，可以將用戶(hù)、用戶(hù)組、計算機或服務(wù)都看成是一個(gè)安全主體，每個(gè)安全主體都擁有相對應的賬戶(hù)名稱(chēng)和SID。根據系統架構的不同，賬戶(hù)的管理方式也有所不同──本地賬戶(hù)被本地的SAM管理；域的賬戶(hù)則會(huì )被活動(dòng)目錄進(jìn)行管理......

一般來(lái)說(shuō)，權限的指派過(guò)程實(shí)際上就是為某個(gè)資源指定安全主體(即用戶(hù)、用戶(hù)組等)可以擁有怎樣的操作過(guò)程。因為用戶(hù)組包括多個(gè)用戶(hù)，所以大多數情況下，為資源指派權限時(shí)建議使用用戶(hù)組來(lái)完成，這樣可以非常方便地完成統一管理。

三、權限的四項基本原則

在Windows XP中，針對權限的管理有四項基本原則，即：拒絕優(yōu)于允許原則、權限最小化原則、累加原則和權限繼承性原則。這四項基本原則
對于權限的設置來(lái)說(shuō)，將會(huì )起到非常重要的作用，下面就來(lái)了解一下：

1.拒絕優(yōu)于允許原則

"拒絕優(yōu)于允許"原則是一條非常重要且基礎性的原則，它可以非常完美地處理好因用戶(hù)在用戶(hù)組的歸屬方面引起的權限"糾紛"，例如，"shyzhong"這個(gè)用戶(hù)既屬于"shyzhongs"用戶(hù)組，也屬于"xhxs"用戶(hù)組，當我們對"xhxs"組中某個(gè)資源進(jìn)行"寫(xiě)入"權限的集中分配(即針對用戶(hù)組進(jìn)行)時(shí)，這個(gè)時(shí)候該組中 "shyzhong"賬戶(hù)將自動(dòng)擁有"寫(xiě)入"的權限。

但令人奇怪的是，"shyzhong"賬戶(hù)明明擁有對這個(gè)資源的"寫(xiě)入"權限，為什么實(shí)際操作中卻無(wú)法執行呢？原來(lái)，在"shyzhongs"組中同樣也對"shyzhong"用戶(hù)進(jìn)行了針對這個(gè)資源的權限設置，但設置的權限是"拒絕寫(xiě)入"?；?拒絕優(yōu)于允許"的原則，"shyzhong"在"shyzhongs"組中被 "拒絕寫(xiě)入"的權限將優(yōu)先"xhxs"組中被賦予的允許"寫(xiě)入"權限被執行。因此，在實(shí)際操作中，"shyzhong"用戶(hù)無(wú)法對這個(gè)資源進(jìn)行"寫(xiě)入"操作。

2.權限最小化原則

Windows XP將"保持用戶(hù)最小的權限"作為一個(gè)基本原則進(jìn)行執行，這一點(diǎn)是非常有必要的。這條原則可以確保資源得到最大的安全保障。這條原則可以盡量讓用戶(hù)不能訪(fǎng)問(wèn)或不必要訪(fǎng)問(wèn)的資源得到有效的權限賦予限制。
基于這條原則，在實(shí)際的權限賦予操作中，我們就必須為資源明確賦予允許或拒絕操作的權限。例如系統中新建的受限用戶(hù)"shyzhong"在默認狀態(tài)下對"DOC"目錄是沒(méi)有任何權限的，現在需要為這個(gè)用戶(hù)賦予對"DOC"目錄有"讀取"的權限，那么就必須在"DOC"目錄的權限列表中為"shyzhong"用戶(hù)添加"讀取"權限。

3.權限繼承性原則

權限繼承性原則可以讓資源的權限設置變得更加簡(jiǎn)單。假設現在有個(gè)"DOC"目錄，在這個(gè)目錄中有"DOC01"、"DOC02"、"DOC03"等子目錄，現在需要對DOC目錄及其下的子目錄均設置"shyzhong"用戶(hù)有"寫(xiě)入"權限。因為有繼承性原則，所以只需對"DOC"目錄設置"shyzhong"用戶(hù)有"寫(xiě)入"權限，其下的所有子目錄將自動(dòng)繼承這個(gè)權限的設置。

4.累加原則

這個(gè)原則比較好理解，假設現在"zhong"用戶(hù)既屬于"A"用戶(hù)組，也屬于"B"用戶(hù)組，它在A(yíng)用戶(hù)組的權限是"讀取"，在"B"用戶(hù)組中的權限是"寫(xiě)入"，那么根據累加原則，"zhong"用戶(hù)的實(shí)際權限將會(huì )是"讀取+寫(xiě)入"兩種。
顯然，"拒絕優(yōu)于允許"原則是用于解決權限設置上的沖突問(wèn)題的；"權限最小化"原則是用于保障資源安全的；"權限繼承性"原則是用于"自動(dòng)化"執行權限設置的；而"累加原則"則是讓權限的設置更加靈活多變。幾個(gè)原則各有所用，缺少哪一項都會(huì )給權限的設置帶來(lái)很多麻煩！

注意：在Windows XP中，"Administrators"組的全部成員都擁有"取得所有者身份"(Take Ownership)的權力，也就是管理員組的成員可以從其他用戶(hù)手中"奪取"其身份的權力。例如受限用戶(hù)"shyzhong"建立了一個(gè)DOC目錄，并只賦予自己擁有讀取權力，這看似周到的權限設置，實(shí)際上，"Administrators"組的全部成員將可以通過(guò)"奪取所有權"等方法獲得這個(gè)權限。

四、資源權限高級應用

以文件與文件夾的權限為例，依據是否被共享到網(wǎng)絡(luò )上，其權限可以分為NTFS權限與共享權限兩種，這兩種權限既可以單獨使用，也可以相輔使用。兩者之間既能夠相互制約，也可以相互補充。下面來(lái)看看如何進(jìn)行設置：

1.NTFS權限

首先我們要知道：只要是存在NTFS磁盤(pán)分區上的文件夾或文件，無(wú)論是否被共享，都具有此權限。此權限對于使用FAT16/FAT32文件系統的文件與文件夾無(wú)效！
NTFS權限有兩大要素：一是標準訪(fǎng)問(wèn)權限；二是特別訪(fǎng)問(wèn)權限。前者將一些常用的系統權限選項比較籠統地組成6種"套餐型"的權限，即：完全控制、修改、讀取和運行、列出文件夾目錄、讀取、寫(xiě)入。

在大多數的情況下，"標準權限"是可以滿(mǎn)足管理需要的，但對于權限管理要求嚴格的環(huán)境，它往往就不能令管理員們滿(mǎn)意了，如只想賦予某用戶(hù)有建立文件夾的權限，卻沒(méi)有建立文件的權限；如只能刪除當前目錄中的文件，卻不能刪除當前目錄中的子目錄的權限等......這個(gè)時(shí)候，就可以讓擁有所有權限選項的"特別權限"來(lái)大顯身手了。也就是說(shuō)，特別權限不再使用"套餐型"，而是使用可以允許用戶(hù)進(jìn)行"菜單型"的細節化權限管理選擇了。

那么如何設置標準訪(fǎng)問(wèn)權限呢？以對一個(gè)在NTFS分區中的名為"zhiguo"的文件夾進(jìn)行設置標準訪(fǎng)問(wèn)權限為例，可以按照如下方法進(jìn)行操作：

因為NTFS權限需要在資源屬性頁(yè)面的"安全"選項卡設置界面中進(jìn)行，而Windows XP在安裝后默認狀態(tài)下是沒(méi)有激活"安全"選項卡設置功能的，

所以需要首先啟用系統中的"安全"選項卡。方法是：依次點(diǎn)擊"開(kāi)始"→"設置"→"控制面板 "，雙擊"文件夾選項"，在"查看"標簽頁(yè)設置界面上的"高級設置"選項列表中清除"使用簡(jiǎn)單文件共享(推薦)"選項前的復選框后點(diǎn)擊"應用"按鈕即可。

設置完畢后就可以右鍵點(diǎn)擊"zhiguo" 文件夾，在彈出的快捷菜單中選擇"共享與安全"，在"zhiguo屬性"窗口中就可以看見(jiàn)"安全"選項卡的存在了。針對資源進(jìn)行NTFS權限設置就是通過(guò)這個(gè)選項卡來(lái)實(shí)現的，此時(shí)應首先在"組或用戶(hù)名稱(chēng)"列表中選擇需要賦予權限的用戶(hù)名組(這里選擇"zhong"用戶(hù))，接著(zhù)在下方的"zhong 的權限"列表中設置該用戶(hù)可以擁有的權限即可。

下面簡(jiǎn)單解釋一下六個(gè)權限選項的含義：

①完全控制(Full Control)：
該權限允許用戶(hù)對文件夾、子文件夾、文件進(jìn)行全權控制，如修改資源的權限、獲取資源的所有者、刪除資源的權限等，擁有完全控制權限就等于擁有了其他所有的權限；

②修改(Modify)：
該權限允許用戶(hù)修改或刪除資源，同時(shí)讓用戶(hù)擁有寫(xiě)入及讀取和運行權限；

③讀取和運行(Read & Execute)：
該權限允許用戶(hù)擁有讀取和列出資源目錄的權限，另外也允許用戶(hù)在資源中進(jìn)行移動(dòng)和遍歷，這使得用戶(hù)能夠直接訪(fǎng)問(wèn)子文件夾與文件，即使用戶(hù)沒(méi)有權限訪(fǎng)問(wèn)這個(gè)路徑；

④列出文件夾目錄(List Folder Contents)：
該權限允許用戶(hù)查看資源中的子文件夾與文件名稱(chēng)；

⑤讀取(Read)：
該權限允許用戶(hù)查看該文件夾中的文件以及子文件夾，也允許查看該文件夾的屬性、所有者和擁有的權限等；

⑥寫(xiě)入(Write)：
該權限允許用戶(hù)在該文件夾中創(chuàng )建新的文件和子文件夾，也可以改變文件夾的屬性、查看文件夾的所有者和權限等。
如果在"組或用戶(hù)名稱(chēng)"列表中沒(méi)有所需的用戶(hù)或組，那么就需要進(jìn)行相應的添加操作了，方法如下：點(diǎn)擊"添加"按鈕后，在出現的"選擇用戶(hù)和組"對話(huà)框中，既可以直接在"輸入對象名稱(chēng)來(lái)選擇"文本區域中輸入用戶(hù)或組的名稱(chēng)(使用"計算機名\用戶(hù)名"這種方式)，也可以點(diǎn)擊"高級"按鈕，在彈出的對話(huà)框中點(diǎn)擊"立即查找"按鈕讓系統列出當前系統中所有的用戶(hù)組和用戶(hù)名稱(chēng)列表。此時(shí)再雙擊選擇所需用戶(hù)或組將其加入即可。

如果想刪除某個(gè)用戶(hù)組或用戶(hù)的話(huà)，只需在" 組或用戶(hù)名稱(chēng)"列表中選中相應的用戶(hù)或用戶(hù)組后，點(diǎn)擊下方的"刪除"按鈕即可。但實(shí)際上，這種刪除并不能確保被刪除的用戶(hù)或用戶(hù)組被拒絕訪(fǎng)問(wèn)某個(gè)資源，因此，如果希望拒絕某個(gè)用戶(hù)或用戶(hù)組訪(fǎng)問(wèn)某個(gè)資源，還要在"組或用戶(hù)名稱(chēng)"列表中選擇相應的用戶(hù)名用戶(hù)組后，為其選中下方的"拒絕"復選框即可。

那么如何設置特殊權限呢？假設現在需要對一個(gè)名為"zhiguo"的目錄賦"zhong"用戶(hù)對其具有"讀取"、"建立文件和目錄"的權限，基于安全考慮，又決定取消該賬戶(hù)的"刪除"權限。此時(shí)，如果使用"標準權限"的話(huà)，將無(wú)法完成要求，而使用特別權限則可以很輕松地完成設置。方法如下：

首先，右鍵點(diǎn)擊"zhiguo"目錄，在右鍵快捷菜單中選擇"共享與安全"項，隨后在"安全"選項卡設置界面中選中"zhong"用戶(hù)并點(diǎn)擊下方的"高級"按鈕，在彈出的對話(huà)框中點(diǎn)擊清空"從父項繼承那些可以應用到子對象的權限項目，包括那些在此明確定義的項目"項選中狀態(tài)，這樣可以斷開(kāi)當前權限設置與父級權限設置之前的繼承關(guān)系。在隨即彈出的" 安全"對話(huà)框中點(diǎn)擊"復制"或"刪除"按鈕后(點(diǎn)擊"復制"按鈕可以首先復制繼承的父級權限設置，然后再斷開(kāi)繼承關(guān)系)，接著(zhù)點(diǎn)擊"應用"按鈕確認設置，再選中"zhong"用戶(hù)并點(diǎn)擊"編輯"按鈕，在彈出的"zhong的權限項目"對話(huà)框中請首先點(diǎn)擊"全部清除"按鈕，接著(zhù)在"權限"列表中選擇"遍歷文件夾/運行文件"、"列出文件夾/讀取數據"、"讀取屬性"、"創(chuàng )建文件/寫(xiě)入數據"、"創(chuàng )建文件夾/附加數據"、"讀取權限"幾項，最后點(diǎn)擊"確定"按鈕結束設置。

在經(jīng)過(guò)上述設置后，"zhong"用戶(hù)在對"zhiguo"進(jìn)行刪除操作時(shí)，就會(huì )彈出提示框警告操作不能成功的提示了。顯然，相對于標準訪(fǎng)問(wèn)權限設置上的籠統，特別訪(fǎng)問(wèn)權限則可以實(shí)現更具體、全面、精確的權限設置。

為了大家更好地理解特殊權限列表中的權限含義，以便做出更精確的權限設置，下面簡(jiǎn)單解釋一下其含義：

⑴遍歷文件夾/運行文件(Traverse Folder/Execute File)：
該權限允許用戶(hù)在文件夾及其子文件夾之間移動(dòng)(遍歷)，即使這些文件夾本身沒(méi)有訪(fǎng)問(wèn)權限。
注意：只有當在"組策略"中("計算機配置 "→"Windows設置"→"安全設置"→"本地策略"→"用戶(hù)權利指派")將"跳過(guò)遍歷檢查"項授予了特定的用戶(hù)或用戶(hù)組，該項權限才能起作用。默認狀態(tài)下，包"Administrators"、"Users"、"Everyone"等在內的組都可以使用該權限。
對于文件來(lái)說(shuō)，擁了這項權限后，用戶(hù)可以執行該程序文件。但是，如果僅為文件夾設置了這項權限的話(huà)，并不會(huì )讓用戶(hù)對其中的文件帶上"執行"的權限；

⑵列出文件/讀取數據(List Folder/Read Data)：
該權限允許用戶(hù)查看文件夾中的文件名稱(chēng)、子文件夾名稱(chēng)和查看文件中的數據；

⑶讀取屬性(Read Attributes)：
該權限允許用戶(hù)查看文件或文件夾的屬性(如系統、只讀、隱藏等屬性)；

⑷讀取擴展屬性(Read Extended Attributes)：
該權限允許查看文件或文件夾的擴展屬性，這些擴展屬性通常由程序所定義，并可以被程序修改；

⑸創(chuàng )建文件/寫(xiě)入屬性(Create Files/Write Data)：
該權限允許用戶(hù)在文件夾中創(chuàng )建新文件，也允許將數據寫(xiě)入現有文件并覆蓋現有文件中的數據；

⑹創(chuàng )建文件夾/附加數據(Create Folder/Append Data)：
該權限允許用戶(hù)在文件夾中創(chuàng )建新文件夾或允許用戶(hù)在現有文件的末尾添加數據，但不能對文件現有的數據進(jìn)行覆蓋、修改，也不能刪除數據；

⑺寫(xiě)入屬性(Write Attributes)：
該權限允許用戶(hù)改變文件或文件夾的屬性；

⑻寫(xiě)入擴展屬性(Write Extended Attributes)：
該權限允許用戶(hù)對文件或文件夾的擴展屬性進(jìn)行修改；

⑼刪除子文件夾及文件(Delete Subfolders and Files)：
該權限允許用戶(hù)刪除文件夾中的子文件夾或文件，即使在這些子文件夾和文件上沒(méi)有設置刪除權限；

⑽刪除(Delete)：
該權限允許用戶(hù)刪除當前文件夾和文件，如果用戶(hù)在該文件或文件夾上沒(méi)有刪除權限，但是在其父級的文件夾上有刪除子文件及文件夾權限，那么就仍然可以刪除它；

⑾讀取權限(Read Permissions)：
該權限允許用戶(hù)讀取文件或文件夾的權限列表；

⑿更改權限(Change Permissions)：
該權限允許用戶(hù)改變文件或文件夾上的現有權限；
⒀取得所有權(Take Ownership)：
該權限允許用戶(hù)獲取文件或文件夾的所有權，一旦獲取了所有權，用戶(hù)就可以對文件或文件夾進(jìn)行全權控制。

這里需要單獨說(shuō)明一下"修改"權限與"寫(xiě)入 "權限的區別：如果僅僅對一個(gè)文件擁有修改權限，那么，不僅可以對該文件數據進(jìn)行寫(xiě)入和附加，而且還可以創(chuàng )建新文件或刪除現有文件。而如果僅僅對一個(gè)文件擁有寫(xiě)入權限，那么既可以對文件數據進(jìn)行寫(xiě)入和附加，也可以創(chuàng )建新文件，但是不能刪除文件。也就是說(shuō)，有寫(xiě)入權限不等于具有刪除權限，但擁有修改權限，就等同于擁有刪除和寫(xiě)入權限。

2.共享權限(Shared Permission)

只要是共享出來(lái)的文件夾就一定具有此權限。如該文件夾存在于NTFS分區中，那么它將同時(shí)具有NTFS權限與共享權限，如果這個(gè)資源同時(shí)擁有NTFS和共享兩種權限，那么系統中對權限的具體實(shí)施將以?xún)煞N權限中的"較嚴格的權限"為準──這也是"拒絕優(yōu)于允許"原則的一種體現！

例如，某個(gè)共享資源的NTFS權限設置為完全控制，而共享權限設置為讀取，那么遠程用戶(hù)就只能使用"讀取"權限對共享資源進(jìn)行訪(fǎng)問(wèn)了。

注意：如果是FAT16/FAT32文件系統中的共享文件夾，那么將只能受到共享權限的保護，這樣一來(lái)就容易產(chǎn)生安全性漏洞。這是因為共享權限只能夠限制從網(wǎng)絡(luò )上訪(fǎng)問(wèn)資源的用戶(hù)，并無(wú)法限制直接登錄本機的人，即用戶(hù)只要能夠登錄本機，就可以任意修改、刪除FAT16/FAT32分區中的數據了。因此，從安全角度來(lái)看，我們是不推薦在Windows XP中使用FAT16/FAT32分區的。

設置共享權限很簡(jiǎn)單，在右鍵選中并點(diǎn)擊一個(gè)文件夾后，在右鍵快捷菜單中選擇"共享與安全"項，在彈出的屬性對話(huà)框"共享"選項卡設置界面中點(diǎn)擊選中"共享該文件夾"項即可，這將使共享資源使用默認的權限設置(即"Everyone"用戶(hù)擁有讀取權限)。如果想具體設置共享權限，那么請點(diǎn)擊"權限"按鈕，在打開(kāi)的對話(huà)框中可以看到權限列表中有"完全控制"、"更改"和"讀取"三項權限可供選擇。

下面先簡(jiǎn)單介紹一下這三個(gè)權限的含義：

①完全控制：允許用戶(hù)創(chuàng )建、讀取、寫(xiě)入、重命名、刪除當前文件夾中的文件以及子文件夾，另外，也可以修改該文件夾中的NTFS訪(fǎng)問(wèn)權限和奪取所有權；

②更改：允許用戶(hù)讀取、寫(xiě)入、重命名和刪除當前文件夾中的文件和子文件夾，但不能創(chuàng )建新文件；

③讀?。涸试S用戶(hù)讀取當前文件夾的文件和子文件夾，但是不能進(jìn)行寫(xiě)入或刪除操作。

說(shuō)完了權限的含義，我們就可以點(diǎn)擊"添加"按鈕，將需要設置權限的用戶(hù)或用戶(hù)組添加進(jìn)來(lái)了。在缺省情況下，當添加新的組或用戶(hù)時(shí)，該組或用戶(hù)將具備"讀取"(Read)權限，我們可以根據實(shí)際情況在下方的權限列表中進(jìn)行復選框的選擇與清空。

接著(zhù)再來(lái)說(shuō)說(shuō)令很多讀者感到奇怪的"組和用戶(hù)名稱(chēng)"列表中的"Everyone"組的含義。在Windows 2000中，這個(gè)組因為包含了"Anonymous Logon"組，所以它表示"每個(gè)人"的意思。但在Windows XP中，請注意──這個(gè)組因為只包括"Authenticated Users"和"Guests"兩個(gè)組，而不再包括"Anonymous Logon"組，所以它表示了"可訪(fǎng)問(wèn)計算機的所有用戶(hù)"，而不再是"每個(gè)人"！請注意這是有區別的，"可訪(fǎng)問(wèn)計算機的所有用戶(hù)"意味著(zhù)必須是通過(guò)認證的用戶(hù)，而"每個(gè)人"則不必考慮用戶(hù)是否通過(guò)了認證。從安全方面來(lái)看，這一點(diǎn)是直接導致安全隱患是否存在關(guān)鍵所在！

當然，如果想在Windows XP中實(shí)現Windows 2000中那種"Everyone"設計機制，那么可以通過(guò)編輯"本地安全策略"來(lái)實(shí)現，方法是：在"運行"欄中輸入"Secpol.msc"命令打開(kāi)"安全設置"管理單元，依次展開(kāi)"安全設置"→"本地策略"，然后進(jìn)入"安全選項"，雙擊右側的"網(wǎng)絡(luò )訪(fǎng)問(wèn)：讓‘每個(gè)人‘權限應用于匿名
用戶(hù)"項，然后選擇"已啟用"項即可。

注意：在Windows XP Professional中，最多可以同時(shí)有10個(gè)用戶(hù)通過(guò)網(wǎng)絡(luò )登錄(指使用認證賬戶(hù)登錄的用戶(hù)，對于訪(fǎng)問(wèn)由IIS提供的Web服務(wù)的用戶(hù)沒(méi)有限制)方式使用某一臺計算機提供的共享資源。

3.資源復制或移動(dòng)時(shí)權限的變化與處理

在權限的應用中，不可避免地會(huì )遇到設置了權限后的資源需要復制或移動(dòng)的情況，那么這個(gè)時(shí)候資源相應的權限會(huì )發(fā)生怎樣的變化呢？下面來(lái)了解一下：

(1)復制資源時(shí)

在復制資源時(shí)，原資源的權限不會(huì )發(fā)生變化，而新生成的資源，將繼承其目標位置父級資源的權限。

(2)移動(dòng)資源時(shí)

在移動(dòng)資源時(shí)，一般會(huì )遇到兩種情況，一是如果資源的移動(dòng)發(fā)生在同一驅動(dòng)器內，那么對象保留本身原有的權限不變(包括資源本身權限及原先從父級資源中繼承的權限)；二是如果資源的移動(dòng)發(fā)生在不同的驅動(dòng)器之間，那么不僅對象本身的權限會(huì )丟失，而且原先從父級資源中繼承的權限也會(huì )被從目標位置的父級資源繼承的權限所替代。實(shí)際上，移動(dòng)操作就是首先進(jìn)行資源的復制，然后從原有位置刪除資源的操作。

(3)非NTFS分區

上述復制或移動(dòng)資源時(shí)產(chǎn)生的權限變化只是針對NTFS分區上而言的，如果將資源復制或移動(dòng)到非NTFS分區(如FAT16/FAT32分區)上，那么所有的權限均會(huì )自動(dòng)全部丟失。

4.資源所有權的高級管理

有時(shí)我們會(huì )發(fā)現當前登錄的用戶(hù)無(wú)法對某個(gè)資源進(jìn)行任何操作，這是什么原因呢？其實(shí)這種常見(jiàn)的現象很有可能是因為對某個(gè)資源進(jìn)行的NTFS權限設置得不夠完善導致的──這將會(huì )造成所有人(包括 "Administrator"組成員)都無(wú)法訪(fǎng)問(wèn)資源，例如不小心將"zhiguo"這個(gè)文件夾的所有用戶(hù)都刪除了，這將會(huì )導致所有用戶(hù)都無(wú)法訪(fǎng)問(wèn)這個(gè)文件夾，此時(shí)很多朋友就會(huì )束手無(wú)策了，其實(shí)通過(guò)使用更改所有權的方法就可以很輕松地解決這類(lèi)權限問(wèn)題了。

首先，我們需要檢查一下資源的所有者是誰(shuí)，如果想查看某個(gè)資源(如sony目錄)的用戶(hù)所有權的話(huà)，那么只需使用"dir sony /q"命令就可以了。在反饋信息的第一行就可以看到用戶(hù)是誰(shuí)了，例如第一行的信息是"lovebook\zhong"，那么意思就是lovebook這臺計算機中的"zhong"用戶(hù)。
如果想在圖形界面中查看所有者是誰(shuí)，那么需要進(jìn)入資源的屬性對話(huà)框，點(diǎn)擊"安全"選項卡設置界面中的"高級"按鈕，在彈出的"(用戶(hù)名)高級安全設置"界面中點(diǎn)擊"所有者"選項卡，從其中的"目前該項目的所有者"列表中就可以看到當前資源的所有者是誰(shuí)了。

如果想將所有者更改用戶(hù)，那么只需在"將所有者更改為"列表中選擇目標用戶(hù)名后，點(diǎn)擊"確定"按鈕即可。此外，也可以直接在"安全"選項卡設置界面中點(diǎn)擊"添加"按鈕添加一個(gè)用戶(hù)并賦予相應的權限后，讓這個(gè)用戶(hù)來(lái)獲得當前文件夾的所有權。

注意：查看所有者究竟對資源擁有什么樣的權限，可點(diǎn)擊進(jìn)入"有效權限"選項卡設置界面，從中點(diǎn)擊"選擇"按鈕添加當前資源的所有者后，就可以從下方的列表中權限選項的勾取狀態(tài)來(lái)獲知了。

五、程序使用權限設定

Windows XP操作系統在文件管理方面功能設計上頗為多樣、周全和智能化。這里通過(guò)"程序文件使用權限"設置、將"加密文件授權多個(gè)用戶(hù)可以訪(fǎng)問(wèn)"和了解系統日志的訪(fǎng)問(wèn)權限三個(gè)例子給大家解釋一下如何進(jìn)行日常應用。

1.程序文件權限設定

要了解Windows XP中關(guān)于程序文件的訪(fǎng)問(wèn)權限，我們應首先來(lái)了解一下Windows XP在這方面的兩個(gè)設計，
一、是組策略中軟件限制策略的設計；
二、是臨時(shí)分配程序文件使用權限的設計。

(1)軟件限制策略

在"運行"欄中輸入 "Gpedit.msc"命令打開(kāi)組策略窗口后，在"計算機配置"→"Windows設置"→"安全設置"分支中，右鍵選中"軟件限制策略"分
支，在彈出的快捷菜單中選擇新建一個(gè)策略后，就可以從"軟件限制策略"分支下新出現的"安全級別"中看到有兩種安全級別的存在了。

這兩條安全級別對于程序文件與用戶(hù)權限之前是有密切聯(lián)系的：

①不允許的：從其解釋中可以看出，無(wú)論用戶(hù)的訪(fǎng)問(wèn)權如何，軟件都不會(huì )運行；

②不受限的：這是默認的安全級別，其解釋為 "軟件訪(fǎng)問(wèn)權由用戶(hù)的訪(fǎng)問(wèn)權來(lái)決定"。顯然，之所以在系統中可以設置各種權限，是因為有這個(gè)默認安全策略在背后默默支持的緣故。如果想把"不允許的"安全級別設置為默認狀態(tài)，只需雙擊進(jìn)入其屬性界面后點(diǎn)擊"設為默認值"按鈕即可。

(2)臨時(shí)分配程序文件

為什么要臨時(shí)分配程序文件的管理權限呢？這是因為在Windows XP中，有許多很重要的程序都是要求用戶(hù)具有一定的管理權限才能使用的，因此在使用權限不足以使用某些程序的賬戶(hù)時(shí)，為了能夠使用程序，我們就需要為自己臨時(shí)分配一個(gè)訪(fǎng)問(wèn)程序的管理權限了。為程序分配臨時(shí)管理權限的方法很簡(jiǎn)單：右鍵點(diǎn)擊要運行的程序圖標，在彈出的快捷菜單中選擇"運行方式"，在打開(kāi)的"運行身份"對話(huà)框中選中"下列用戶(hù)"選項，在"用戶(hù)名"和"密碼"右側的文本框中指定用戶(hù)及密碼即可。

顯然，這個(gè)臨時(shí)切換程序文件管理權限的設計是十分有必要的，它可以很好地起到保護系統的目的。

2.授權多個(gè)用戶(hù)訪(fǎng)問(wèn)加密文件

Windows XP在EFS上的改進(jìn)之一就是可以允許多個(gè)用戶(hù)訪(fǎng)問(wèn)加密文件，這些用戶(hù)既可以是本地用戶(hù)，也可以是域用戶(hù)或受信任域的用戶(hù)。由于無(wú)法將證書(shū)頒發(fā)給用戶(hù)組，而只能頒發(fā)給用戶(hù)，所以只能授權單個(gè)的賬戶(hù)訪(fǎng)問(wèn)加密文件，而用戶(hù)組將不能被授權。

要授權加密文件可以被多個(gè)用戶(hù)訪(fǎng)問(wèn)，可以按照如下方法進(jìn)行操作：

選中已經(jīng)加密的文件，用鼠標右鍵點(diǎn)擊該加密文件，選擇"屬性"，在打開(kāi)的屬性對話(huà)框中"常規"選項卡下點(diǎn)擊"高級"按鈕，打開(kāi)加密文件的高級屬性對話(huà)框，點(diǎn)擊其中的"詳細信息"按鈕(加密文件夾此按鈕無(wú)效)，在打開(kāi)的對話(huà)框中點(diǎn)擊"添加"按鈕添加一個(gè)或多個(gè)新用戶(hù)即可(如果計算機加入了域，則還可以點(diǎn)擊"尋找用戶(hù)"按鈕在整個(gè)域范圍內尋找用戶(hù))。

如果要刪除某個(gè)用戶(hù)對加密文件的訪(fǎng)問(wèn)權限，那么只需選中此用戶(hù)后點(diǎn)擊"刪除"按鈕即可。

3.日志的訪(fǎng)問(wèn)權限

什么是日志？我們可以將日志理解為系統日記，這本"日記"可以按系統管理員預先的設定，自動(dòng)將系統中發(fā)生的所有事件都一一記錄在案，供管理員查詢(xún)。既然日志信息具有如此重要的參考作用，那么就應該做好未經(jīng)授權的用戶(hù)修改或查看的權限控制。因此，我們非常有必要去了解一下日志的訪(fǎng)問(wèn)權限在Windows XP中是怎樣設計的。一般來(lái)說(shuō)，Administrators、SYSTEM、Everyone三種類(lèi)型的賬戶(hù)可以訪(fǎng)問(wèn)日志。

這三種類(lèi)型的賬戶(hù)對不同類(lèi)型的日志擁有不同的訪(fǎng)問(wèn)權限，下面來(lái)看一下表格中具體的說(shuō)明，請注意"√"表示擁有此權限；"×"表示無(wú)此權限。

通過(guò)對比，可以看出SYSTEM擁有的權限最高，可以對任意類(lèi)型的日志進(jìn)行讀寫(xiě)和清除操作；Everyone用戶(hù)則可以讀取應用程序和系統日志，但對安全日志無(wú)法讀取。這是因為安全日志相對其他幾種類(lèi)型的日志在安全性方面的要求要高一些，只有SYSTEM 能夠對之寫(xiě)入。

如果想為其他用戶(hù)賦予管理審核安全日志的權限，那么可以在"運行"欄中輸入"Gpedit.msc"命令打開(kāi)組策略編輯器窗口后，依次進(jìn)入"計算機配置"→"Windows設置"→"安全設置 "→"本地策略"→"用戶(hù)權利指派"，雙擊右側的"管理審核和安全日志"項，在彈出的對話(huà)框中添加所需的用戶(hù)即可。

六、內置安全主體與權限

在Windows XP中，有一群不為人知的用戶(hù)，它們的作用是可以讓我們指派權限到某種"狀態(tài)"的用戶(hù)(如"匿名用戶(hù)"、"網(wǎng)絡(luò )用戶(hù)")等，而不是某個(gè)特定的用戶(hù)或組(如 "zhong"、"CPCW"這類(lèi)用戶(hù))。這樣一來(lái)，對用戶(hù)權限的管理就更加容易精確控制了。這群用戶(hù)在Windows XP中，統一稱(chēng)

為內置安全主體。下面讓我們來(lái)了解一下：

1.安全主體的藏身之處

下面假設需要為一個(gè)名為"zhiguo"的目錄設置內置安全主體中的"Network"類(lèi)用戶(hù)權限為例，看看這群"默默無(wú)聞"的用戶(hù)藏身在系統何處。

首先進(jìn)入"zhiguo"目錄屬性界面的"安全"選項卡設置界面，點(diǎn)擊其中的"添加"按鈕，在彈出的"選擇用戶(hù)或組"對話(huà)框中點(diǎn)擊"對象類(lèi)型"按鈕。

在彈出對話(huà)框中只保留列表中的"內置安全主體"項，并點(diǎn)擊"確定"按鈕。

在接下來(lái)的對話(huà)框中點(diǎn)擊"高級"按鈕，然后在展開(kāi)的對話(huà)框中點(diǎn)擊"立即查找"按鈕，就可以看到內置安全主體中包含的用戶(hù)列表了。

2.安全主體作用說(shuō)明

雖然內置安全主體有很多，但正常能在權限設置中使用到的并不多，所以下面僅說(shuō)明其中幾個(gè)較重要的：

①Anonymous Logon：任何沒(méi)有經(jīng)過(guò)Windows XP驗證程序(Authentication)，而以匿名方式登錄域的用戶(hù)均屬于此組；

②A(yíng)uthenticated Users：與前項相反，所有經(jīng)過(guò)Windows XP驗證程序登錄的用戶(hù)均屬于此組。設置權限和用戶(hù)權力時(shí)，可考慮用此項代替

Everyone組；

③BATCH：這個(gè)組包含任何訪(fǎng)問(wèn)這臺計算機的批處理程序(Batch Process)；
④DIALUP：任何通過(guò)撥號網(wǎng)絡(luò )登錄的用戶(hù)；
⑤Everyone：指所有經(jīng)驗證登錄的用戶(hù)及來(lái)賓(Guest)；
⑥Network：任何通過(guò)網(wǎng)絡(luò )登錄的用戶(hù)；
⑦Interactive：指任何直接登錄本機的用戶(hù)；
⑧Terminal server user：指任何通過(guò)終端服務(wù)登錄的用戶(hù)。

本站僅提供存儲服務(wù)，所有內容均由用戶(hù)發(fā)布，如發(fā)現有害或侵權內容，請點(diǎn)擊舉報。

欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久