Windows XP用户账户权限设置.docx
《Windows XP用户账户权限设置.docx》由会员分享,可在线阅读,更多相关《Windows XP用户账户权限设置.docx(11页珍藏版)》请在冰点文库上搜索。
WindowsXP用户账户权限设置
WindowsXP用户账户权限设置
WindowsXP权限设置详解什么是XP权限设置,很多的朋友都不是很清楚。
这里收集了一些WindowsXP权限设置的教程,应该是比较全的。
以后大家用起WindowsXP来应该会方便很多哦!
作为微软第一个稳定且安全的作系统,WindowsXP经过几年的磨合过渡期,终于以超过Windows系列作系统50%的用户占有量成为目前用户使用最多的作系统。
在慢慢熟悉了WindowsXP后,兄弟们学学一些较深入且实用的知识,以便能让系统充分发挥出WindowsXP的高级性能。
因此本文以WindowsXPProfessional版本为平台,引领兄弟们感受一下WindowsXP在“权限”方面的设计魅力!
一、什么是权限
WindowsXP提供了非常细致的权限控制项,能够精确定制用户对资源的访问控制能力,大多数的权限从其名称上就可以基本了解其所能实现的内容。
“权限”(Permission)是针对资源而言的。
也就是说,设置权限只能是以资源为对象,即“设置某个文件夹有哪些用户可以拥有相应的权限”,而不能是以用户为主,即“设置某个用户可以对哪些资源拥有权限”。
这就意味着“权限”必须针对“资源”而言,脱离了资源去谈权限毫无意义──在提到权限的具体实施时,“某个资源”是必须存在的。
利用权限可以控制资源被访问的方式,如User组的成员对某个资源拥有“读取”作权限、Administrators组成员拥有“读取+写入+删除”作权限等。
值得一提的是,有一些Windows用户往往会将“权力”与“权限”两个非常相似的概念搞混淆,这里做一下简单解释:
“权力”(Right)主要是针对用户而言的。
“权力”通常包含“登录权力”(LogonRight)和“特权”(Privilege)两种。
登录权力决定了用户如何登录到计算机,如是否采用本地交互式登录、是否为网络登录等。
特权则是一系列权力的总称,这些权力主要用于帮助用户对系统进行管理,如是否允许用户安装或加载驱动程序等。
显然,权力与权限有本质上的区别。
二、安全标识符、访问控制列表、安全主体
说到WindowsXP的权限,就不能不说说“安全标识符”(SecurityIdentifier,SID)、“访问控制列表”(AccessControlList,ACL)和安全主体(SecurityPrincipal)这三个与其息息相关的设计了。
1.安全标识符
在WindowsXP中,系统是通过SID对用户进行识别的,而不是很多用户认为的“用户名称”。
SID可以应用于系统内的所有用户、组、服务或计算机,因为SID是一个具有惟一性、绝对不会重复产生的数值,所以,在删除了一个账户(如名为“A”的账户)后,再次创建这个“A”账户时,前一个A与后一个A账户的SID是不相同的。
这种设计使得账户的权限得到了最基础的保护,盗用权限的情况也就彻底杜绝了。
查看用户、组、服务或计算机的SID值,可以使用“Whoami”工具来执行,该工具包含在WindowsXP安装光盘的“Support\Tools”目录中,双击执行该目录下的“Setup”文件后,将会有包括Whoami工具在内的一系列命令行工具拷贝到“X:
\ProgramFiles\SupportTools”目录中。
此后在任意一个命令提示符窗口中都可以执行“Whoami/all”命令来查看当前用户的全部信息。
2.访问控制列表(ACL)
访问控制列表是权限的核心技术。
顾名思义,这是一个权限列表,用于定义特定用户对某个资源的访问权限,实际上这就是WindowsXP对资源进行保护时所使用的一个标准。
在访问控制列表中,每一个用户或用户组都对应一组访问控制项(AccessControlEntry,ACE),这一点只需在“组或用户名称”列表中选择不同的用户或组时,通过下方的权限列表设置项是不同的这一点就可以看出来。
显然,所有用户或用户组的权限访问设置都将会在这里被存储下来,并允许随时被有权限进行修改的用户进行调整,如取消某个用户对某个资源的“写入”权限。
3.安全主体(SecurityPrincipal)
在WindowsXP中,可以将用户、用户组、计算机或服务都看成是一个安全主体,每个安全主体都拥有相对应的账户名称和SID。
根据系统架构的不同,账户的管理方式也有所不同──本地账户被本地的SAM管理;域的账户则会被活动目录进行管理……
一般来说,权限的指派过程实际上就是为某个资源指定安全主体(即用户、用户组等)可以拥有怎样的作过程。
因为用户组包括多个用户,所以大多数情况下,为资源指派权限时建议使用用户组来完成,这样可以非常方便地完成统一管理。
三、权限的四项基本原则
在WindowsXP中,针对权限的管理有四项基本原则,即:
拒绝优于允许原则、权限最小化原则、累加原则和权限继承性原则。
这四项基本原则对于权限的设置来说,将会起到非常重要的作用,下面就来了解一下:
1.拒绝优于允许原则
“拒绝优于允许”原则是一条非常重要且基础性的原则,它可以非常完美地处理好因用户在用户组的归属方面引起的权限“纠纷”,例如,“shyzhong”这个用户既属于“shyzhongs”用户组,也属于“xhxs”用户组,当我们对“xhxs”组中某个资源进行“写入”权限的集中分配(即针对用户组进行)时,这个时候该组中的“shyzhong”账户将自动拥有“写入”的权限。
但令人奇怪的是,“shyzhong”账户明明拥有对这个资源的“写入”权限,为什么实际作中却无法执行呢?
原来,在“shyzhongs”组中同样也对“shyzhong”用户进行了针对这个资源的权限设置,但设置的权限是“拒绝写入”。
基于“拒绝优于允许”的原则,“shyzhong”在“shyzhongs”组中被“拒绝写入”的权限将优先于“xhxs”组中被赋予的允许“写入”权限被执行。
因此,在实际作中,“shyzhong”用户无法对这个资源进行“写入”作。
2.权限最小化原则
WindowsXP将“保持用户最小的权限”作为一个基本原则进行执行,这一点是非常有必要的。
这条原则可以确保资源得到最大的安全保障。
这条原则可以尽量让用户不能访问或不必要访问的资源得到有效的权限赋予限制。
基于这条原则,在实际的权限赋予作中,我们就必须为资源明确赋予允许或拒绝作的权限。
例如系统中新建的受限用户“shyzhong”在默认状态下对“DOC”目录是没有任何权限的,现在需要为这个用户赋予对“DOC”目录有“读取”的权限,那么就必须在“DOC”目录的权限列表中为“shyzhong”用户添加“读取”权限。
3.权限继承性原则
权限继承性原则可以让资源的权限设置变得更加简单。
假设现在有个“DOC”目录,在这个目录中有“DOC01”、“DOC02”、“DOC03”等子目录,现在需要对DOC目录及其下的子目录均设置“shyzhong”用户有“写入”权限。
因为有继承性原则,所以只需对“DOC”目录设置“shyzhong”用户有“写入”权限,其下的所有子目录将自动继承这个权限的设置。
4.累加原则
这个原则比较好理解,假设现在“zhong”用户既属于“A”用户组,也属于“B”用户组,它在A用户组的权限是“读取”,在“B”用户组中的权限是“写入”,那么根据累加原则,“zhong”用户的实际权限将会是“读取+写入”两种。
显然,“拒绝优于允许”原则是用于解决权限设置上的冲突问题的;“权限最小化”原则是用于保障资源安全的;“权限继承性”原则是用于“自动化”执行权限设置的;而“累加原则”则是让权限的设置更加灵活多变。
几个原则各有所用,缺少哪一项都会给权限的设置带来很多麻烦!
注意:
在WindowsXP中,“Administrators”组的全部成员都拥有“取得所有者身份”(TakeOwnership)的权力,也就是管理员组的成员可以从其他用户手中“夺取”其身份的权力,例如受限用户“shyzhong”建立了一个DOC目录,并只赋予自己拥有读取权力,这看似周到的权限设置,实际上,“Administrators”组的全部成员将可以通过“夺取所有权”等方法获得这个权限。
四、资源权限高级应用
以文件与文件夹的权限为例,依据是否被共享到网络上,其权限可以分为NTFS权限与共享权限两种,这两种权限既可以单独使用,也可以相辅使用。
两者之间既能够相互制约,也可以相互补充。
下面来看看如何进行设置:
NTFS权限首先我们要知道:
只要是存在NTFS磁盘分区上的文件夹或文件,无论是否被共享,都具有此权限。
此权限对于使用FAT16/FAT32文件系统的文件与文件夹无效!
NTFS权限有两大要素:
一是标准访问权限;二是特别访问权限。
前者将一些常用的系统权限选项比较笼统地组成6种“套餐型”的权限,即:
完全控制、修改、读取和运行、列出文件夹目录、读取、写入。
在大多数的情况下,“标准权限”是可以满足管理需要的,但对于权限管理要求严格的环境,它往往就不能令管理员们满意了,如只想赋予某用户有建立文件夹的权限,却没有建立文件的权限;如只能删除当前目录中的文件,却不能删除当前目录中的子目录的权限等……这个时候,就可以让拥有所有权限选项的“特别权限”来大显身手了。
也就是说,特别权限不再使用“套餐型”,而是使用可以允许用户进行“菜单型”的细节化权限管理选择了。
那么如何设置标准访问权限呢?
以对一个在NTFS分区中的名为“zhiguo”的文件夹进行设置标准访问权限为例,可以按照如下方法进行作:
因为NTFS权限需要在资源属性页面的“安全”选项卡设置界面中进行,而WindowsXP在安装后默认状态下是没有激活“安全”选项卡设置功能的,所以需要首先启用系统中的“安全”选项卡。
方法是:
依次点击“开始”→“设置”→“控制面板”,双击“文件夹选项”,在“查看”标签页设置界面上的“高级设置”选项列表中清除“使用简单文件共享(推荐)”选项前的复选框后点击“应用”按钮即可。
设置完毕后就可以右键点击“zhiguo”文件夹,在弹出的快捷菜单中选择“共享与安全”,在“zhiguo属性”窗口中就可以看见“安全”选项卡的存在了。
针对资源进行NTFS权限设置就是通过这个选项卡来实现的,此时应首先在“组或用户名称”列表中选择需要赋予权限的用户名组(这里选择“zhong”用户),接着在下方的“zhong的权限”列表中设置该用户可以拥有的权限即可。
下面简单解释一下六个权限选项的含义:
1全控制(FullControl):
该权限允许用户对文件夹、子文件夹、文件进行全权控制,如修改资源的权限、获取资源的所有者、删除资源的权限等,拥有完全控制权限就等于拥有了其他所有的权限;
2修改(Modify):
该权限允许用户修改或删除资源,同时让用户拥有写入及读取和运行权限;
3读取和运行(Read&Execute):
该权限允许用户拥有读取和列出资源目录的权限,另外也允许用户在资源中进行移动和遍历,这使得用户能够直接访问子文件夹与文件,即使用户没有权限访问这个路径;
4列出文件夹目录(ListFolderContents):
该权限允许用户查看资源中的子文件夹与文件名称;
5读取(Read):
该权限允许用户查看该文件夹中的文件以及子文件夹,也允许查看该文件夹的属性、所有者和拥有的权限等;
6写入(Write):
该权限允许用户在该文件夹中创建新的文件和子文件夹,也可以改变文件夹的属性、查看文件夹的所有者和权限等。
如果在“组或用户名称”列表中没有所需的用户或组,那么就需要进行相应的添加作了,方法如下:
点击“添加”按钮后,在出现的“选择用户和组”对话框中,既可以直接在“输入对象名称来选择”文本区域中输入用户或组的名称(使用“计算机名\用户名”这种方式),也可以点击“高级”按钮,在弹出的对话框中点击“立即查找”按钮让系统列出当前系统中所有的用户组和用户名称列表。
此时再双击选择所需用户或组将其加入即可。
如图2所示。
如果想删除某个用户组或用户的话,只需在“组或用户名称”列表中选中相应的用户或用户组后,点击下方的“删除”按钮即可。
但实际上,这种删除并不能确保被删除的用户或用户组被拒绝访问某个资源,因此,如果希望拒绝某个用户或用户组访问某个资源,还要在“组或用户名称”列表中选择相应的用户名用户组后,为其选中下方的“拒绝”复选框即可。
那么如何设置特殊权限呢?
假设现在需要对一个名为“zhiguo”的目录赋予“zhong”用户对其具有“读取”、“建立文件和目录”的权限,基于安全考虑,又决定取消该账户的“删除”权限。
此时,如果使用“标准权限”的话,将无法完成要求,而使用特别权限则可以很轻松地完成设置。
首先,右键点击“zhiguo”目录,在右键快捷菜单中选择“共享与安全”项,随后在“安全”选项卡设置界面中选中“zhong”用户并点击下方的“高级”按钮,在弹出的对话框中点击清空“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”项选中状态,这样可以断开当前权限设置与父级权限设置之前的继承关系。
在随即弹出的“安全”对话框中点击“复制”或“删除”按钮后(点击“复制”按钮可以首先复制继承的父级权限设置,然后再断开继承关系),接着点击“应用”按钮确认设置,再选中“zhong”用户并点击“编辑”按钮,在弹出的“zhong的权限项目”对话框中请首先点击“全部清除”按钮,接着在“权限”列表中选择“遍历文件夹/运行文件”、“列出文件夹/读取数据”、“读取属性”、“创建文件/写入数据”、“创建文件夹/附加数据”、“读取权限”几项,最后点击“确定”按钮结束设置。
在经过上述设置后,“zhong”用户在对“zhiguo”进行删除作时,就会弹出提示框警告作不能成功的提示了。
显然,相对于标准访问权限设置上的笼统,特别访问权限则可以实现更具体、全面、精确的权限设置。
为了大家更好地理解特殊权限列表中的权限含义,以便做出更精确的权限设置,下面简单解释一下其含义:
1历文件夹/运行文件(TraverseFolder/ExecuteFile):
该权限允许用户在文件夹及其子文件夹之间移动(遍历),即使这些文件夹本身没有访问权限。
注意:
只有当在“组策略”中(“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“用户权利指派”)将“跳过遍历检查”项授予了特定的用户或用户组,该项权限才能起作用。
默认状态下,包括“Administrators”、“Users”、“Everyone”等在内的组都可以使用该权限。
对于文件来说,拥了这项权限后,用户可以执行该程序文件。
但是,如果仅为文件夹设置了这项权限的话,并不会让用户对其中的文件带上“执行”的权限;
2列出文件/读取数据(ListFolder/ReadData):
该权限允许用户查看文件夹中的文件名称、子文件夹名称和查看文件中的数据;
3读取属性(ReadAttributes):
该权限允许用户查看文件或文件夹的属性(如系统、只读、隐藏等属性);
4读取扩展属性(ReadExtendedAttributes):
该权限允许查看文件或文件夹的扩展属性,这些扩展属性通常由程序所定义,并可以被程序修改;
5创建文件/写入属性(CreateFiles/WriteData):
该权限允许用户在文件夹中创建新文件,也允许将数据写入现有文件并覆盖现有文件中的数据;
6建文件夹/附加数据(CreateFolder/AppendData):
该权限允许用户在文件夹中创建新文件夹或允许用户在现有文件的末尾添加数据,但不能对文件现有的数据进行覆盖、修改,也不能删除数据;
7写入属性(WriteAttributes):
该权限允许用户改变文件或文件夹的属性;
8写入扩展属性(WriteExtendedAttributes):
该权限允许用户对文件或文件夹的扩展属性进行修改;
9删除子文件夹及文件(DeleteSubfoldersandFiles):
该权限允许用户删除文件夹中的子文件夹或文件,即使在这些子文件夹和文件上没有设置删除权限;
10删除(Delete):
该权限允许用户删除当前文件夹和文件,如果用户在该文件或文件夹上没有删除权限,但是在其父级的文件夹上有删除子文件及文件夹权限,那么就仍然可以删除它;
11读取权限(ReadPermissions):
该权限允许用户读取文件或文件夹的权限列表;
12更改权限(ChangePermissions):
该权限允许用户改变文件或文件夹上的现有权限;
13取得所有权(TakeOwnership):
该权限允许用户获取文件或文件夹的所有权,一旦获取了所有权,用户就可以对文件或文件夹进行全权控制。
这里需要单独说明一下“修改”权限与“写入”权限的区别:
如果仅仅对一个文件拥有修改权限,那么,不仅可以对该文件数据进行写入和附加,而且还可以创建新文件或删除现有文件。
而如果仅仅对一个文件拥有写入权限,那么既可以对文件数据进行写入和附加,也可以创建新文件,但是不能删除文件。
也就是说,有写入权限不等于具有删除权限,但拥有修改权限,就等同于拥有删除和写入权限。
共享权限(SharedPermission)
只要是共享出来的文件夹就一定具有此权限。
如该文件夹存在于NTFS分区中,那么它将同时具有NTFS权限与共享权限,如果这个资源同时拥有NTFS和共享两种权限,那么系统中对权限的具体实施将以两种权限中的“较严格的权限”为准──这也是“拒绝优于允许”原则的一种体现!
例如,某个共享资源的NTFS权限设置为完全控制,而共享权限设置为读取,那么远程用户就只能使用“读取”权限对共享资源进行访问了。
注意:
如果是FAT16/FAT32文件系统中的共享文件夹,那么将只能受到共享权限的保护,这样一来就容易产生安全性漏洞。
这是因为共享权限只能够限制从网络上访问资源的用户,并无法限制直接登录本机的人,即用户只要能够登录本机,就可以任意修改、删除FAT16/FAT32分区中的数据了。
因此,从安全角度来看,我们是不推荐在WindowsXP中使用FAT16/FAT32分区的。
设置共享权限很简单,在右键选中并点击一个文件夹后,在右键快捷菜单中选择“共享与安全”项,在弹出的属性对话框“共享”选项卡设置界面中点击选中“共享该文件夹”项即可,这将使共享资源使用默认的权限设置(即“Everyone”用户拥有读取权限)。
如果想具体设置共享权限,那么请点击“权限”按钮,在打开的对话框中可以看到权限列表中有“完全控制”、“更改”和“读取”三项权限可供选择。
下面先简单介绍一下这三个权限的含义:
①全控制:
允许用户创建、读取、写入、重命名、删除当前文件夹中的文件以及子文件夹,另外,也可以修改该文件夹中的NTFS访问权限和夺取所有权;
②更改:
允许用户读取、写入、重命名和删除当前文件夹中的文件和子文件夹,但不能创建新文件;
③读取:
允许用户读取当前文件夹的文件和子文件夹,但是不能进行写入或删除作。
说完了权限的含义,我们就可以点击“添加”按钮,将需要设置权限的用户或用户组添加进来了。
在缺省情况下,当添加新的组或用户时,该组或用户将具备“读取”(Read)权限,我们可以根据实际情况在下方的权限列表中进行复选框的选择与清空。
接着再来说说令很多读者感到奇怪的“组和用户名称”列表中的“Everyone”组的含义。
在Windows2000中,这个组因为包含了“AnonymousLogon”组,所以它表示“每个人”的意思。
但在WindowsXP中,请注意──这个组因为只包括“AuthenticatedUsers”和“Guests”两个组,而不再包括“AnonymousLogon”组,所以它表示了“可访问计算机的所有用户”,而不再是“每个人”!
请注意这是有区别的,“可访问计算机的所有用户”意味着必须是通过认证的用户,而“每个人”则不必考虑用户是否通过了认证。
从安全方面来看,这一点是直接导致安全隐患是否存在关键所在!
当然,如果想在WindowsXP中实现Windows2000中那种“Everyone”设计机制,那么可以通过编辑“本地安全策略”来实现,方法是:
在“运行”栏中输入“Secpol.msc”命令打开“安全设置”管理单元,依次展开“安全设置”→“本地策略”,然后进入“安全选项”,双击右侧的“网络访问:
让‘每个人’权限应用于匿名用户”项,然后选择“已启用”项既可。
注意:
在WindowsXPProfessional中,最多可以同时有10个用户通过网络登录(指使用认证账户登录的用户,对于访问由IIS提供的Web服务的用户没有限制)方式使用某一台计算机提供的共享资源。
资源复制或移动时权限的变化与处理
在权限的应用中,不可避免地会遇到设置了权限后的资源需要复制或移动的情况,那么这个时候资源相应的权限会发生怎样的变化呢?
下面来了解一下:
(1)复制资源时
在复制资源时,原资源的权限不会发生变化,而新生成的资源,将继承其目标位置父级资源的权限。
(2)移动资源时
在移动资源时,一般会遇到两种情况,一是如果资源的移动发生在同一驱动器内,那么对象保留本身原有的权限不变(包括资源本身权限及原先从父级资源中继承的权限);二是如果资源的移动发生在不同的驱动器之间,那么不仅对象本身的权限会丢失,而且原先从父级资源中继承的权限也会被从目标位置的父级资源继承的权限所替代。
实际上,移动作就是首先进行资源的复制,然后从原有位置删除资源的作。
(3)非NTFS分区
上述复制或移动资源时产生的权限变化只是针对NTFS分区上而言的,如果将资源复制或移动到非NTFS分区(如FAT16/FAT32分区)上,那么所有的权限均会自动全部丢失。
资源所有权的高级管理
有时我们会发现当前登录的用户无法对某个资源进行任何作,这是什么原因呢?
其实这种常见的现象很有可能是因为对某个资源进行的NTFS权限设置得不够完善导致的──这将会造成所有人(包括“Administrator”组成员)都无法访问资源,例如不小心将“zhiguo”这个文件夹的所有用户都删除了,这将会导致所有用户都无法访问这个文件夹,此时很多朋友就会束手无策了,其实通过使用更改所有权的方法就可以很轻松地解决这类权限问题了。
首先,我们需要检查一下资源的所有者是谁,如果想查看某个资源(如sony目录)的用户所有权的话,那么只需使用“dirsony/q”命令就可以了。
在反馈信息的第一行就可以看到用户是谁了,例如第一行的信息是“lovebook\zhong”,那么意思就是lovebook这台计算机中的“zhong”用户。
如果想在图形界面中查看所有者是谁,那么需要进入资源的属性对话框,点击“安全”选项卡设置界面中的“高级”按钮,在弹出的“(用户名)高级安全设置”界面中点击“所有者”选项卡,从其中的“目前该项目的所有者”列表中就可以看到当前资源的所有者是谁了。
如果想将所有者更改用户,那么只需在“将所有者更改为”列表中选择目标用户名后,点击“确定”按钮即可。
此外,也可以直接在“安全”选项卡设置界面中点击“添加”按钮添加一个用户并赋予相应的权限后,让这个用户来获得当前文件夹的所有权。
注意:
查看所有者究竟对资源拥有什么样的权限,可点击进入“有效权限”选项卡设置界面,从中点击“选择”按钮添加当前资源的所有者后,就可以从下方的列表中权限选项的勾取状态来获知了。
五、程序使用权限设定
WindowsXP作系统在文件管理方面功能设计上颇为多样、周全和智能化。
这里通过“程序文件使用权限”设置、将“加密文件授权多个用户可以访问”和
升级会员 