Windows账户设置详解共14页.docx
《Windows账户设置详解共14页.docx》由会员分享,可在线阅读,更多相关《Windows账户设置详解共14页.docx(35页珍藏版)》请在冰点文库上搜索。
Windows账户设置详解共14页
2007年08月29日星期三下午03:
26
观察内容的选择,我本着先静后动,由近及远的原则,有目的、有计划的先安排与幼儿生活接近的,能理解的观察内容。
随机观察也是不可少的,是相当有趣的,如蜻蜓、蚯蚓、毛毛虫等,孩子一边观察,一边提问,兴趣很浓。
我提供的观察对象,注意形象逼真,色彩鲜明,大小适中,引导幼儿多角度多层面地进行观察,保证每个幼儿看得到,看得清。
看得清才能说得正确。
在观察过程中指导。
我注意帮助幼儿学习正确的观察方法,即按顺序观察和抓住事物的不同特征重点观察,观察与说话相结合,在观察中积累词汇,理解词汇,如一次我抓住时机,引导幼儿观察雷雨,雷雨前天空急剧变化,乌云密布,我问幼儿乌云是什么样子的,有的孩子说:
乌云像大海的波浪。
有的孩子说“乌云跑得飞快。
”我加以肯定说“这是乌云滚滚。
”当幼儿看到闪电时,我告诉他“这叫电光闪闪。
”接着幼儿听到雷声惊叫起来,我抓住时机说:
“这就是雷声隆隆。
”一会儿下起了大雨,我问:
“雨下得怎样?
”幼儿说大极了,我就舀一盆水往下一倒,作比较观察,让幼儿掌握“倾盆大雨”这个词。
雨后,我又带幼儿观察晴朗的天空,朗诵自编的一首儿歌:
“蓝天高,白云飘,鸟儿飞,树儿摇,太阳公公咪咪笑。
”这样抓住特征见景生情,幼儿不仅印象深刻,对雷雨前后气象变化的词语学得快,记得牢,而且会应用。
我还在观察的基础上,引导幼儿联想,让他们与以往学的词语、生活经验联系起来,在发展想象力中发展语言。
如啄木鸟的嘴是长长的,尖尖的,硬硬的,像医生用的手术刀―样,给大树开刀治病。
通过联想,幼儿能够生动形象地描述观察对象。
1:
标准用户
该用户可修改大部分计算机设制,安装不修改操作系统文件且不需要安装系统服务的应用程序,创建和管理本地用户帐户和组,启动或停止默认情况下不启动的服务,但不可访问NTFS分区上属于其他用户的私有文件.
2:
受限用户
该用户可操作计算机并保存文档,但不可以安装程序或进行可能对系统文件和设置有潜在的破坏性的任何修改.
3:
其他用户
(1)系统管理员--有对计算机的完全访问控制权.
(2)备份操作员不能根改安全性设置
(3)客人--权限同受限用户
(4)高级用户--权限同标准用户
在XP中设置用户权限按照一下步骤进行:
进入"控制面板",在"控制面板"中双击"管理工具"打中开"管理工具",在"管理工具"中双击"计算机管理"打开"计算机管理"控制台,在"计算机管理"控制台左面窗口中双击"本地用户和组",再单下面的"用户",右面窗口即显示此计算机上的所有用户。
要更改某用户信息,右击右面窗口的该用户的图标,即弹出快捷菜单,该菜单包括:
设置密码、删除、重命名、属性、帮助等项,单击设置密码、删除、重命名等项可进行相应的操作。
单击属性弹出属性对话框,“常规”选项卡可对用户密码安全,帐户的停锁等进行设置,“隶属于”选项卡可改变用户组,方法如下:
先选中下面列表框中的用户,单击“删除”按纽,如此重复删除列表中的所有用户,单击“添加”按纽,弹出“选择组”对话柜,单击“高级”按纽,单击“立即查找”按纽,下面列表框中列出所有的用户组,Administrators组为管理员组(其成员拥有所有权限),PowerUsers组为超级用户组(其成员拥有除计算机管理以外的所有权限,可安装程序),User组为一般用户组(其成员只执行程序,不能安装和删程序)。
根据需要选择用户组后,单击“确定”、单击“确定”,单击“确定”关闭“属性”对话框即将该用户改为新的用户组,其拥有新用户组的权限。
重启计算机后更改生效。
在家庭里或者在单位中,可能都存在一机多用户共用的现象。
根据各个用户的需要,合理设置相应的权限。
在WinXP中,你可以轻松完成这些设置(以家庭中多用户使用权限的设置为例)。
一、禁止安装软件
如果孩子总是喜欢无休止地往电脑中安装游戏软件,那么你该如何禁止他们的安装权限呢?
最有效的方法是为他们创建一个受限账户,这样,当孩子以自己的账户登录WinXP时,只能运行预先安装好的程序和存取属于自己的文件,对软件安装嘛,只能说拜拜了。
创建受限账户的具体步骤如下:
1.首先以系统管理员(Administrator)的身份登录到WinXP。
2.点击选择“开始→控制面板”命令,在“控制面板”窗口中双击“用户账户”图标。
3.在弹出的窗口任务列表中点击“创建一个新用户”^39020301a^1,然后在向导窗口的文本框内输入一个名称(例如“Moon”),这个名称将出现在欢迎屏幕或开始菜单中,点击“下一步”按钮。
4.在新出现的画面中提供了“计算机管理员”和“受限”两种权限。
用鼠标点选“受限”单选按钮,然后点击“创建账户”即可^39020301b^2。
另外,在任务列表窗口中你还可以完成对所建账户进行改名和删除等操作。
二、账户管理好帮手——家庭成员组
倘若你想要让其他用户对自己的某个文件夹只具有读的权限,通常的做法是分别为每个账户赋权限。
如果用户比较多的话,这样的做法比较麻烦,为了解决这个问题,就是创建一个家庭成员组,只要将其他账户添加到这个组中,然后再给这个组分配此权限,那么该组中的所有用户就都拥有了这个权限。
创建组的具体步骤如下:
1.点击选择“开始→控制面板”命令,依次双击“管理工具→计算机管理”图标,弹出“计算机管理”窗口。
2.在左侧窗格的树形结构中,逐级展开“系统工具→本地用户和组”,在该分支下有“用户”和“组”两个选项。
选择“组”,在右侧窗格中你会发现“Administrators”、“PowerUsers”、“Users”和“Guests”等系统内建的组^39020301c^3。
3.选择“操作→新建组”命令,弹出“新建组”窗口。
在“组名”框内输入“HomeMember”,然后点击“创建”按钮即可创建一个组。
4.接下来为该组填加成员,点击“添加”按钮,弹出“选择用户”窗口^39020301d^4。
5.点击“对象类型”按钮,将对象类型选择为“用户”;然后再点击“高级”按钮。
6.在进一步展开的选择用户窗口中点击“立即查找”,在搜寻结果列表中选取“Sun”用户,点击“确定”按钮^39020301e^5,即可将“Sun”账户添加到该组中,采用相同的方法,将其他用户也添加到这个组中。
三、WinXP也可实现标准账户权限
在家庭成员当中,倘若一个用户想要获得类似于Win2000中标准账户的权限时,可WinXP并没有直接提供创建这类账户的功能,那我们该如何实现呢?
具体设置步骤如下:
1.在“计算机管理”窗口的“系统工具→本地用户和组”分支下,选择“组”选项,在右侧窗格中双击“Users”组,弹出“Sun属性”窗口,在“成员”列表中点选“Sun”,然后单击“删除”按钮将该账户删除,点击“确定”按钮返回到“计算机管理”窗口。
2.双击“PowerUsers”组,在弹出“PowerUsers”属性窗口中点击“添加”按钮,按照上文介绍的方法将“Sun”账户添加到“PowerUsers”组中即可。
这样,一个受限账户Sun可以获得标准账户的权限,从此即可解除软件安装的限制了。
四、给文件加个护身符
当多人共用一台电脑时,想必你最担心的是自己的文档被他人误删除,或者秘密文档被偷看,倘若你用的是NTFS文件系统,那就让WinXP为你的文档(或文件夹)加个护身符吧!
倘若是这样,即使一个受限账户也可以拒绝管理员访问他的受保护的文件(或文件夹)。
现以实例介绍一下设置方法,例如禁止管理员访问“MyDocument”文件夹,而家庭成员组的账户可以对该文件夹进行只读访问。
具体步骤如下:
1.例如以“Moon”身份登录,用鼠标右键点击“MyDocument”文件夹,选择快捷菜单中的“属性”命令。
在打开的属性窗口中选择“安全”选项卡^39020301f^6。
2.点击“高级”按钮,在弹出的高级安全设置窗口中将“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”复选框前的勾选标记取消,此时屏幕上会弹出一个安全提示,这里选择“复制”(或者“删除”)即可^39020301g^7。
然后点击“确定”退回到属性窗口。
3.在“用户和组”列表中将“SYSTEM”、“CREATOROWNER”和“Users”组删除。
4.接着点击“添加”按钮,弹出“选择用户和组”对话框,按照上文介绍的方法,将“HomeMember”组添加到“组或用户名称”列表中。
5.接下来分别设置权限,在属性窗口的“组或用户名称”列表中首先选取“Administrators”组,然后在下面的权限列表中勾选“完全控制”行中的“拒绝”复选框,同时你会发现这一列的其他复选框也自动打上了勾选标记^39020301h^8。
这样管理员组的成员就被拒绝访问该文件夹了。
6.再选择“HomeMember”组,在权限列表中确保“读取和运行”的“允许”复选框处于勾选状态即可。
这样,该组中的成员(例如姐姐和弟弟)就能查看和运行该文件夹中的文档了。
倘若给“HomeMembe”组只设置读文件夹的权限,又给一个用户设置写的权限,但最终该用户只能获取读文件夹的权限,这是因为“安全”属性总是取所有权限中最严格的缘故。
提示:
在WinXP中,若要对文件夹进行安全权限设置时,首先该文件夹所在的磁盘驱动器必须是NTFS文件系统,倘若不是这种文件系统,必须先进行转换操作,其方法为:
在“运行”对话框内键入“ConvertX:
/fs:
ntfs”(其中X就是被转换的磁盘驱动器),点击“确定”即可。
另外,若文件夹属性窗口中没有发现“安全”选项卡时,你只要在资源管理器窗口中,选择“工具→文件夹选项”命令,在弹出的窗口中选择“查看”选项卡,然后将“高级设置”列表中的“使用简单文件共享”复选框的勾选标记去掉即可。
五、公共文件夹中设个安全屏障
倘若你的某个文件夹(例如“Public”)存放了一些公共文件,可以允许Users组成员读写,但是这个文件夹中还有一个“Secret”子文件夹用来存放一些重要文件,只允许Users组成员读取。
这样的安全屏障该如何设置呢?
具体方法如下:
1.首先用鼠标点击“Public”文件夹,选择快捷菜单中的“属性”命令,在弹出的属性窗口中点击“安全”选项卡。
2.在“组或用户名称”列表中选择“Users”组,然后将其权限设置为允许“完全控制”。
3.然后再打开“Public”文件夹,选择“Secret”右键菜单中的“属性”命令,在弹出的属性窗口中点击“安全”选项卡,此时你会发现“Users”组拥有“完全控制”的权限,并且允许权限显示为灰色,表明该权限是从上级文件夹“Public”上传递下来的,点击“拒绝”中的“写入”,选中该项,点击“确定”按钮,此时系统给出一个“安全”警告窗口,提示“拒绝”的优先级要高于“允许”,单击“是”即可。
这样,“Users”组成员再往“Secret”文件夹中写文件时,就会遭到拒绝。
拒绝权限好比是拦路设的屏障,用来阻止来自上一级(父级)下达的命令。
语文课本中的文章都是精选的比较优秀的文章,还有不少名家名篇。
如果有选择循序渐进地让学生背诵一些优秀篇目、精彩段落,对提高学生的水平会大有裨益。
现在,不少语文教师在分析课文时,把文章解体的支离破碎,总在文章的技巧方面下功夫。
结果教师费劲,学生头疼。
分析完之后,学生收效甚微,没过几天便忘的一干二净。
造成这种事倍功半的尴尬局面的关键就是对文章读的不熟。
常言道“书读百遍,其义自见”,如果有目的、有计划地引导学生反复阅读课文,或细读、默读、跳读,或听读、范读、轮读、分角色朗读,学生便可以在读中自然领悟文章的思想内容和写作技巧,可以在读中自然加强语感,增强语言的感受力。
久而久之,这种思想内容、写作技巧和语感就会自然渗透到学生的语言意识之中,就会在写作中自觉不自觉地加以运用、创造和发展。
WindowsNT里,用户被分成许多组,组和组之间都有不同的权限,当然,一个组的用户和用户之间也可以有不同的权限。
下面我们来谈谈NT中常见的用户组。
语文课本中的文章都是精选的比较优秀的文章,还有不少名家名篇。
如果有选择循序渐进地让学生背诵一些优秀篇目、精彩段落,对提高学生的水平会大有裨益。
现在,不少语文教师在分析课文时,把文章解体的支离破碎,总在文章的技巧方面下功夫。
结果教师费劲,学生头疼。
分析完之后,学生收效甚微,没过几天便忘的一干二净。
造成这种事倍功半的尴尬局面的关键就是对文章读的不熟。
常言道“书读百遍,其义自见”,如果有目的、有计划地引导学生反复阅读课文,或细读、默读、跳读,或听读、范读、轮读、分角色朗读,学生便可以在读中自然领悟文章的思想内容和写作技巧,可以在读中自然加强语感,增强语言的感受力。
久而久之,这种思想内容、写作技巧和语感就会自然渗透到学生的语言意识之中,就会在写作中自觉不自觉地加以运用、创造和发展。
Administrators,管理员组,默认情况下,Administrators中的用户对计算机/域有不受限制的完全访问权。
分配给该组的默认权限允许对整个系统进行完全控制。
所以,只有受信任的人员才可成为该组的成员。
PowerUsers,高级用户组,PowerUsers可以执行除了为Administrators组保留的任务外的其他任何操作系统任务。
分配给PowerUsers组的默认权限允许PowerUsers组的成员修改整个计算机的设置。
但PowerUsers不具有将自己添加到Administrators组的权限。
在权限设置中,这个组的权限是仅次于Administrators的。
Users:
普通用户组,这个组的用户无法进行有意或无意的改动。
因此,用户可以运行经过验证的应用程序,但不可以运行大多数旧版应用程序。
Users组是最安全的组,因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。
Users组提供了一个最安全的程序运行环境。
在经过NTFS格式化的卷上,默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。
用户不能修改系统注册表设置、操作系统文件或程序文件。
Users可以关闭工作站,但不能关闭服务器。
Users可以创建本地组,但只能修改自己创建的本地组。
Guests:
来宾组,按默认值,来宾跟普通Users的成员有同等访问权,但来宾帐户的限制更多。
Everyone:
顾名思义,所有的用户,这个计算机上的所有用户都属于这个组。
其实还有一个组也很常见,它拥有和Administrators一样、甚至比其还高的权限,但是这个组不允许任何用户的加入,在察看用户组的时候,它也不会被显示出来,它就是SYSTEM组。
系统和系统级的服务正常运行所需要的权限都是靠它赋予的。
由于该组只有这一个用户SYSTEM,也许把该组归为用户的行列更为贴切。
权限实例攻击
权限将是你的最后一道防线!
那我们现在就来对这台没有经过任何权限设置,全部采用Windows默认权限的服务器进行一次模拟攻击,看看其是否真的固若金汤。
假设服务器外网域名为,用扫描软件对其进行扫描后发现开放WWW和FTP服务,并发现其服务软件使用的是IIS5.0和Serv-u5.1,用一些针对他们的溢出工具后发现无效,遂放弃直接远程溢出的想法。
打开网站页面,发现使用的是动网的论坛系统,于是在其域名后面加个/upfile.asp,发现有文件上传漏洞,便抓包,把修改过的ASP木马用NC提交,提示上传成功,成功得到WEBSHELL,打开刚刚上传的ASP木马,发现有MS-SQL、NortonAntivirus和BlackICE在运行,判断是防火墙上做了限制,把SQL服务端口屏蔽了。
通过ASP木马查看到了NortonAntivirus和BlackICE的PID,又通过ASP木马上传了一个能杀掉进程的文件,运行后杀掉了NortonAntivirus和BlackICE。
再扫描,发现1433端口开放了,到此,便有很多种途径获得管理员权限了,可以查看网站目录下的conn.asp得到SQL的用户名密码,再登陆进SQL执行添加用户,提管理员权限。
也可以抓SERV-U下的ServUDaemon.ini修改后上传,得到系统管理员权限。
还可以传本地溢出SERV-U的工具直接添加用户到Administrators等等。
大家可以看到,一旦黑客找到了切入点,在没有权限限制的情况下,黑客将一帆风顺的取得管理员权限。
那我们现在就来看看Windows2000的默认权限设置到底是怎样的。
对于各个卷的根目录,默认给了Everyone组完全控制权。
这意味着任何进入电脑的用户将不受限制的在这些根目录中为所欲为。
系统卷下有三个目录比较特殊,系统默认给了他们有限制的权限,这三个目录是Documentsandsettings、Programfiles和Winnt。
对于Documentsandsettings,默认的权限是这样分配的:
Administrators拥有完全控制权;Everyone拥有读&运,列和读权限;Powerusers拥有读&运,列和读权限;SYSTEM同Administrators;Users拥有读&运,列和读权限。
对于Programfiles,Administrators拥有完全控制权;Creatorowner拥有特殊权限;Powerusers有完全控制权;SYSTEM同Administrators;Terminalserverusers拥有完全控制权,Users有读&运,列和读权限。
对于Winnt,Administrators拥有完全控制权;Creatorowner拥有特殊权限;Powerusers有完全控制权;SYSTEM同Administrators;Users有读&运,列和读权限。
而非系统卷下的所有目录都将继承其父目录的权限,也就是Everyone组完全控制权!
现在大家知道为什么我们刚刚在测试的时候能一帆风顺的取得管理员权限了吧?
权限设置的太低了!
一个人在访问网站的时候,将被自动赋予IUSR用户,它是隶属于Guest组的。
本来权限不高,但是系统默认给的Everyone组完全控制权却让它“身价倍增”,到最后能得到Administrators了。
那么,怎样设置权限给这台WEB服务器才算是安全的呢?
大家要牢记一句话:
“最少的服务+最小的权限=最大的安全”对于服务,不必要的话一定不要装,要知道服务的运行是SYSTEM级的哦,对于权限,本着够用就好的原则分配就是了。
对于WEB服务器,就拿刚刚那台服务器来说,我是这样设置权限的,大家可以参考一下:
各个卷的根目录、Documentsandsettings以及Programfiles,只给Administrator完全控制权,或者干脆直接把Programfiles给删除掉;给系统卷的根目录多加一个Everyone的读、写权;给e:
\www目录,也就是网站目录读、写权。
最后,还要把cmd.exe这个文件给挖出来,只给Administrator完全控制权。
经过这样的设置后,再想通过我刚刚的方法入侵这台服务器就是不可能完成的任务了。
可能这时候又有读者会问:
“为什么要给系统卷的根目录一个Everyone的读、写权?
网站中的ASP文件运行不需要运行权限吗?
”问的好,有深度。
是这样的,系统卷如果不给Everyone的读、写权的话,启动计算机的时候,计算机会报错,而且会提示虚拟内存不足。
当然这也有个前提----虚拟内存是分配在系统盘的,如果把虚拟内存分配在其他卷上,那你就要给那个卷Everyone的读、写权。
ASP文件的运行方式是在服务器上执行,只把执行的结果传回最终用户的浏览器,这没错,但ASP文件不是系统意义上的可执行文件,它是由WEB服务的提供者----IIS来解释执行的,所以它的执行并不需要运行的权限。
WindowsXP权限设置详解什么是XP权限设置,很多的朋友都不是很清楚。
这里收集了一些WindowsXP权限设置的教程,应该是比较全的。
以后大家用起WindowsXP来应该会方便很多哦!
作为微软第一个稳定且安全的作系统,WindowsXP经过几年的磨合过渡期,终于以超过Windows系列作系统50%的用户占有量成为目前用户使用最多的作系统。
在慢慢熟悉了WindowsXP后,兄弟们学学一些较深入且实用的知识,以便能让系统充分发挥出WindowsXP的高级性能。
因此本文以WindowsXPProfessional版本为平台,引领兄弟们感受一下WindowsXP在“权限”方面的设计魅力!
一、什么是权限
WindowsXP提供了非常细致的权限控制项,能够精确定制用户对资源的访问控制能力,大多数的权限从其名称上就可以基本了解其所能实现的内容。
“权限”(Permission)是针对资源而言的。
也就是说,设置权限只能是以资源为对象,即“设置某个文件夹有哪些用户可以拥有相应的权限”,而不能是以用户为主,即“设置某个用户可以对哪些资源拥有权限”。
这就意味着“权限”必须针对“资源”而言,脱离了资源去谈权限毫无意义──在提到权限的具体实施时,“某个资源”是必须存在的。
利用权限可以控制资源被访问的方式,如User组的成员对某个资源拥有“读取”作权限、Administrators组成员拥有“读取+写入+删除”作权限等。
值得一提的是,有一些Windows用户往往会将“权力”与“权限”两个非常相似的概念搞混淆,这里做一下简单解释:
“权力”(Right)主要是针对用户而言的。
“权力”通常包含“登录权力”(LogonRight)和“特权”(Privilege)两种。
登录权力决定了用户如何登录到计算机,如是否采用本地交互式登录、是否为网络登录等。
特权则是一系列权力的总称,这些权力主要用于帮助用户对系统进行管理,如是否允许用户安装或加载驱动程序等。
显然,权力与权限有本质上的区别。
二、安全标识符、访问控制列表、安全主体
说到WindowsXP的权限,就不能不说说“安全标识符”(SecurityIdentifier,SID)、“访问控制列表”(AccessControlList,ACL)和安全主体(SecurityPrincipal)这三个与其息息相关的设计了。
1.安全标识符
在WindowsXP中,系统是通过SID对用户进行识别的,而不是很多用户认为的“用户名称”。
SID可以应用于系统内的所有用户、组、服务或计算机,因为SID是一个具有惟一性、绝对不会重复产生的数值,所以,在删除了一个账户(如名为“A”的账户)后,再次创建这个“A”账户时,前一个A与后一个A账户的SID是不相同的。
这种设计使得账户的权限得到了最基础的保护,盗用权限的情况也就彻底杜绝了。
查看用户、组、服务或计算机的SID值,可以使用“Whoami”工具来执行,该工具包含在WindowsXP安装光盘的“Support\Tools”目录中,双击执行该目录下的“Setup”文件后,将会有包括Whoami工具在内的一系列命令行工具拷贝到“X:
\ProgramFiles\SupportTools”目录中。
此后在任意一个命令提示符窗口中都可以执行“Whoami/all”命令来查看当前用户的全部信息。
2.访问控制列表(ACL)
访问控制列表是权限的核心技术。
顾名思义,这是一个权限列表,用于定义特定用户对某个资源的访问权限,实际上这就是WindowsXP对资源进行保护时所使用的一个标准。
在访问控制列表中,每一个用户或用户组都对应一组访问控制项(AccessControlEntry,ACE),这一点只需在“组或用户名称”列表中选择不同的用户或组时,通过下方的权限列表设置项是不同的这一点就可以看出来。
显然,所有用户或用户组的权
升级会员 