windows許可權

windows許可權

windows中,許可權指的是不同賬戶對檔案,資料夾,註冊表等的訪問能力。在windows中,為不同的賬戶設定許可權很重要,可以防止重要檔案被其他人所修改,使系統崩潰。

基本介紹

  • 中文名:windows許可權
  • 防止:重要檔案修改
  • 提供:非常細緻的許可權控制項
  • 三個設計安全標識符"
  • 原則:許可權繼承性
概念,許可權定義,三個設計,安全標識符,訪問控制列表(ACL),安全主體(Security Principal),管理原則,拒絕優於允許原則,許可權最小化原則,許可權繼承性原則,累加原則,注意,高級套用,NTFS許可權,共享許可權(Shared Permission),注意,資源複製或移動時許可權的變化與處理,資源所有權的高級管理,注意,程式許可權,程式檔案許可權設定,授權多個用戶訪問加密檔案,日誌的訪問許可權,安全主體,安全主體的藏身之處,安全主體作用說明,

概念

我們可以在控制臺中設定賬戶時設定許可權
作為微軟第一個穩定且安全的作業系統,WindowsXP經過幾年的磨合過渡期,終於以超過Windows系列作業系統50%的用戶占有量成為目前用戶使用最多的作業系統。在慢慢熟悉了Windows XP後,人們逐漸開始不滿足基本的系統套用了,他們更加渴望學習一些較深入且實用的知識,以便能讓系統充分發揮出Windows XP的高級性能。
因此本文以Windows XP Professional版本為平台,引領大家感受一下Windows XP在"許可權"方面的設計魅力!

許可權定義

Windows XP提供了非常細緻的許可權控制項,能夠精確定製用戶對資源的訪問控制能力,大多數的許可權從其名稱上就可以基本了解其所能實現的內容。
" 許可權"(Permission)是針對資源而言的。也就是說,設定許可權只能是以資源為對象,即"設定某個資料夾有哪些用戶可以擁有相應的許可權",而不能是以用戶為主,即"設定某個用戶可以對哪些資源擁有許可權"。這就意味著"許可權"必須針對"資源"而言,脫離了資源去談許可權毫無意義──在提到許可權的具體實施時,"某個資源"是必須存在的。
利用許可權可以控制資源被訪問的方式,如User組的成員對某個資源擁有"讀取"操作許可權、Administrators組成員擁有"讀取+寫入+刪除"操作許可權等。
值得一提的是,有一些Windows用戶往往會將"權利"與"許可權"兩個非常相似的概念搞混淆,這裡做一下簡單解釋:“權利"(Right)主要是針對用戶而言的。"權利"通常包含"登錄權利" (Logon Right)和"特權"(Privilege)兩種。登錄權利決定了用戶如何登錄到計算機,如是否採用本地互動式登錄、是否為網路登錄等。特權則是一系列權力的總稱,這些權力主要用於幫助用戶對系統進行管理,如是否允許用戶安裝或載入驅動程式等。顯然,權利與許可權有本質上的區別。

三個設計

說到Windows XP的許可權,就不能不說說"安全標識符"(Security Identifier,SID)、"訪問控制列表"(Access Control List,ACL)和安全主體(Security Principal)這三個與其息息相關的設計了。

安全標識符

安全標識符在Windows XP中,系統是通過SID對用戶進行識別的,而不是很多用戶認為的"用戶名稱"。SID可以套用於系統內的所有用戶、組、服務或計算機,因為SID是一個具有惟一性、絕對不會重複產生的數值,所以,在刪除了一個賬戶(如名為"A"的賬戶)後,再次創建這個"A"賬戶時,前一個A與後一個A賬戶的SID是不相同的。這種設計使得賬戶的許可權得到了最基礎的保護,盜用許可權的情況也就徹底杜絕了。
查看用戶、組、服務或計算機的SID值,可以使用 "Whoami"工具來執行,該工具包含在Windows XP安裝光碟的"Support\Tools"目錄中,雙擊執行該目錄下的"Setup"檔案後,將會有包括Whoami工具在內的一系列命令行工具拷貝到"X:\Program Files\Support Tools"目錄中。此後在任意一個命令提示符視窗中都可以執行"Whoami /all"命令來查看當前用戶的全部信息。

訪問控制列表(ACL)

訪問控制列表是許可權的核心技術。顧名思義,這是一個許可權列表,用於定義特定用戶對某個資源的訪問許可權,實際上這就是Windows XP對資源進行保護時所使用的一個標準。
在訪問控制列表中,每一個用戶或用戶組都對應一組訪問控制項(Access Control Entry,ACE),這一點只需在"組或用戶名稱"列表中選擇不同的用戶或組時,通過下方的許可權列表設定項是不同的這一點就可以看出來。顯然,所有用戶或用戶組的許可權訪問設定都將會在這裡被存儲下來,並允許隨時被有許可權進行修改的用戶進行調整,如取消某個用戶對某個資源的"寫入"許可權。

安全主體(Security Principal)

在Windows XP中,可以將用戶、用戶組、計算機或服務都看成是一個安全主體,每個安全主體都擁有相對應的賬戶名稱和SID。根據系統架構的不同,賬戶的管理方式也有所不同──本地賬戶被本地的SAM管理;域的賬戶則會被活動目錄進行管理......
一般來說,許可權的指派過程實際上就是為某個資源指定安全主體(即用戶、用戶組等)可以擁有怎樣的操作過程。因為用戶組包括多個用戶,所以大多數情況下,為資源指派許可權時建議使用用戶組來完成,這樣可以非常方便地完成統一管理。

管理原則

在Windows XP中,針對許可權的管理有四項基本原則,即:拒絕優於允許原則、許可權最小化原則、累加原則和許可權繼承性原則。這四項基本原則
對於許可權的設定來說,將會起到非常重要的作用,下面就來了解一下:

拒絕優於允許原則

" 拒絕優於允許"原則是一條非常重要且基礎性的原則,它可以非常完美地處理好因用戶在用戶組的歸屬方面引起的許可權"糾紛",例如,"shyzhong"這個用戶既屬於"shyzhongs"用戶組,也屬於"xhxs"用戶組,當我們對"xhxs"組中某個資源進行"寫入"許可權的集中分配(即針對用戶組進行) 時,這個時候該組中 "shyzhong"賬戶將自動擁有"寫入"的許可權。
但令人奇怪的是,"shyzhong"賬戶明明擁有對這個資源的"寫入 "許可權,為什麼實際操作中卻無法執行呢?原來,在"shyzhongs"組中同樣也對"shyzhong"用戶進行了針對這個資源的許可權設定,但設定的許可權是"拒絕寫入"。基於"拒絕優於允許"的原則,"shyzhong"在"shyzhongs"組中被 "拒絕寫入"的許可權將優先"xhxs"組中被賦予的允許"寫入"許可權被執行。因此,在實際操作中,"shyzhong"用戶無法對這個資源進行"寫入"操作。

許可權最小化原則

Windows XP將"保持用戶最小的許可權"作為一個基本原則進行執行,這一點是非常有必要的。這條原則可以確保資源得到最大的安全保障。這條原則可以儘量讓用戶不能訪問或不必要訪問的資源得到有效的許可權賦予限制。
基於這條原則,在實際的許可權賦予操作中,我們就必須為資源明確賦予允許或拒絕操作的許可權。例如系統中新建的受限用戶"shyzhong"在默認狀態下對 "DOC"目錄是沒有任何許可權的,現在需要為這個用戶賦予對"DOC"目錄有"讀取"的許可權,那么就必須在"DOC"目錄的許可權列表中為 "shyzhong"用戶添加"讀取"許可權。

許可權繼承性原則

許可權繼承性原則可以讓資源的許可權設定變得更加簡單。假設現在有個"DOC"目錄,在這個目錄中有"DOC01"、"DOC02"、"DOC03"等子目錄,現在需要對DOC目錄及其下的子目錄均設定 "shyzhong"用戶有"寫入"許可權。因為有繼承性原則,所以只需對"DOC"目錄設定"shyzhong"用戶有"寫入"許可權,其下的所有子目錄將自動繼承這個許可權的設定。

累加原則

這個原則比較好理解,假設現在"zhong"用戶既屬於"A"用戶組,也屬於"B"用戶組,它在A用戶組的許可權是"讀取",在"B"用戶組中的許可權是"寫入",那么根據累加原則,"zhong"用戶的實際許可權將會是"讀取+寫入"兩種。
顯然,"拒絕優於允許"原則是用於解決許可權設定上的衝突問題的;"許可權最小化"原則是用於保障資源安全的;"許可權繼承性"原則是用於"自動化"執行許可權設定的;而"累加原則"則是讓許可權的設定更加靈活多變。幾個原則各有所用,缺少哪一項都會給許可權的設定帶來很多麻煩!

注意

在Windows XP中,"Administrators"組的全部成員都擁有"取得所有者身份"(Take Ownership)的權力,也就是管理員組的成員可以從其他用戶手中"奪取"其身份的權力。例如受限用戶"shyzhong"建立了一個DOC目錄,並只賦予自己擁有讀取權力,這看似周到的許可權設定,實際上,"Administrators"組的全部成員將可以通過"奪取所有權"等方法獲得這個許可權。

高級套用

以檔案與資料夾的許可權為例,依據是否被共享到網路上,其許可權可以分為NTFS許可權與共享許可權兩種,這兩種許可權既可以單獨使用,也可以相輔使用。兩者之間既能夠相互制約,也可以相互補充。下面來看看如何進行設定:

NTFS許可權

首先我們要知道:只要是存在NTFS磁碟分區上的資料夾或檔案,無論是否被共享,都具有此許可權。此許可權對於使用FAT16/FAT32檔案系統的檔案與資料夾無效!
NTFS許可權有兩大要素:一是標準訪問許可權;二是特別訪問許可權。前者將一些常用的系統許可權選項比較籠統地組成6種"套餐型"的許可權,即:完全控制、修改、讀取和運行、列出資料夾目錄、讀取、寫入。
在大多數的情況下,"標準許可權"是可以滿足管理需要的,但對於許可權管理要求嚴格的環境,它往往就不能令管理員們滿意了,如只想賦予某用戶有建立資料夾的許可權,卻沒有建立檔案的許可權;如只能刪除當前目錄中的檔案,卻不能刪除當前目錄中的子目錄的許可權等......這個時候,就可以讓擁有所有許可權選項的"特別許可權"來大顯身手了。也就是說,特別許可權不再使用"套餐型",而是使用可以允許用戶進行"選單型"的細節化許可權管理選擇了。
那么如何設定標準訪問許可權呢?以對一個在NTFS分區中的名為"zhiguo"的資料夾進行設定標準訪問許可權為例,可以按照如下方法進行操作:
因為NTFS許可權需要在資源屬性頁面的"安全"選項卡設定界面中進行,而Windows XP在安裝後默認狀態下是沒有激活"安全"選項卡設定功能的,
所以需要首先啟用系統中的"安全"選項卡。方法是:依次點擊"開始"→"設定"→"控制臺 ",雙擊"資料夾選項",在"查看"標籤頁設定界面上的"高級設定"選項列表中清除"使用簡單檔案共享(推薦)"選項前的複選框後點擊"套用"按鈕即可。
設定完畢後就可以右鍵點擊"zhiguo" 資料夾,在彈出的快捷選單中選擇"共享與安全",在"zhiguo屬性"視窗中就可以看見"安全"選項卡的存在了。針對資源進行NTFS許可權設定就是通過這個選項卡來實現的,此時應首先在"組或用戶名稱"列表中選擇需要賦予許可權的用戶名組(這裡選擇"zhong"用戶),接著在下方的"zhong 的許可權"列表中設定該用戶可以擁有的許可權即可。
下面簡單解釋一下六個許可權選項的含義:
①完全控制(Full Control):
該許可權允許用戶對資料夾、子資料夾、檔案進行全權控制,如修改資源的許可權、獲取資源的所有者、刪除資源的許可權等,擁有完全控制許可權就等於擁有了其他所有的許可權;
②修改(Modify):
該許可權允許用戶修改或刪除資源,同時讓用戶擁有寫入及讀取和運行許可權;
③讀取和運行(Read & Execute):
該許可權允許用戶擁有讀取和列出資源目錄的許可權,另外也允許用戶在資源中進行移動和遍歷,這使得用戶能夠直接訪問子資料夾與檔案,即使用戶沒有許可權訪問這個路徑;
④列出資料夾目錄(List Folder Contents):
該許可權允許用戶查看資源中的子資料夾與檔案名稱稱;
⑤讀取(Read):
該許可權允許用戶查看該資料夾中的檔案以及子資料夾,也允許查看該資料夾的屬性、所有者和擁有的許可權等;
⑥寫入(Write):
該許可權允許用戶在該資料夾中創建新的檔案和子資料夾,也可以改變資料夾的屬性、查看資料夾的所有者和許可權等。
如果在"組或用戶名稱"列表中沒有所需的用戶或組,那么就需要進行相應的添加操作了,方法如下:點擊"添加"按鈕後,在出現的"選擇用戶和組"對話框中,既可以直接在"輸入對象名稱來選擇"文本區域中輸入用戶或組的名稱(使用"計算機名\用戶名"這種方式),也可以點擊"高級"按鈕,在彈出的對話框中點擊" 立即查找"按鈕讓系統列出當前系統中所有的用戶組和用戶名稱列表。此時再雙擊選擇所需用戶或組將其加入即可。
如果想刪除某個用戶組或用戶的話,只需在" 組或用戶名稱"列表中選中相應的用戶或用戶組後,點擊下方的"刪除"按鈕即可。但實際上,這種刪除並不能確保被刪除的用戶或用戶組被拒絕訪問某個資源,因此,如果希望拒絕某個用戶或用戶組訪問某個資源,還要在"組或用戶名稱"列表中選擇相應的用戶名用戶組後,為其選中下方的"拒絕"複選框即可。
那么如何設定特殊許可權呢?假設現在需要對一個名為"zhiguo"的目錄賦"zhong"用戶對其具有"讀取"、"建立檔案和目錄"的許可權,基於安全考慮,又決定取消該賬戶的"刪除"許可權。此時,如果使用"標準許可權"的話,將無法完成要求,而使用特別許可權則可以很輕鬆地完成設定。方法如下:
首先,右鍵點擊"zhiguo"目錄,在右鍵快捷選單中選擇"共享與安全"項,隨後在"安全"選項卡設定界面中選中"zhong"用戶並點擊下方的"高級"按鈕,在彈出的對話框中點擊清空"從父項繼承那些可以套用到子對象的許可權項目,包括那些在此明確定義的項目"項選中狀態,這樣可以斷開當前許可權設定與父級許可權設定之前的繼承關係。在隨即彈出的" 安全"對話框中點擊"複製"或"刪除"按鈕後(點擊"複製"按鈕可以首先複製繼承的父級許可權設定,然後再斷開繼承關係),接著點擊"套用"按鈕確認設定,再選中"zhong"用戶並點擊"編輯"按鈕,在彈出的"zhong的許可權項目"對話框中請首先點擊"全部清除"按鈕,接著在"許可權"列表中選擇"遍歷資料夾/運行檔案"、"列出資料夾/讀取數據"、"讀取屬性"、"創建檔案/寫入數據"、"創建資料夾/附加數據"、"讀取許可權"幾項,最後點擊"確定"按鈕結束設定。
在經過上述設定後,"zhong"用戶在對"zhiguo"進行刪除操作時,就會彈出提示框警告操作不能成功的提示了。顯然,相對於標準訪問許可權設定
上的籠統,特別訪問許可權則可以實現更具體、全面、精確的許可權設定。
為了大家更好地理解特殊許可權列表中的許可權含義,以便做出更精確的許可權設定,下面簡單解釋一下其含義:
⑴遍歷資料夾/運行檔案(Traverse Folder/Execute File):
該許可權允許用戶在資料夾及其子資料夾之間移動(遍歷),即使這些資料夾本身沒有訪問許可權。
注意:只有當在"組策略"中("計算機配置 "→"Windows設定"→"安全設定"→"本地策略"→"用戶權利指派")將"跳過遍歷檢查"項授予了特定的用戶或用戶組,該項許可權才能起作用。默認狀態下,包"Administrators"、"Users"、"Everyone"等在內的組都可以使用該許可權。
對於檔案來說,擁了這項許可權後,用戶可以執行該程式檔案。但是,如果僅為資料夾設定了這項許可權的話,並不會讓用戶對其中的檔案帶上"執行"的許可權;
⑵列出檔案/讀取數據(List Folder/Read Data):
該許可權允許用戶查看資料夾中的檔案名稱稱、子資料夾名稱和查看檔案中的數據;
⑶讀取屬性(Read Attributes):
該許可權允許用戶查看檔案或資料夾的屬性(如系統、唯讀、隱藏等屬性);
⑷讀取擴展屬性(Read Extended Attributes):
該許可權允許查看檔案或資料夾的擴展屬性,這些擴展屬性通常由程式所定義,並可以被程式修改;
⑸創建檔案/寫入數據(Create Files/Write Data):
該許可權允許用戶在資料夾中創建新檔案,也允許將數據寫入現有檔案並覆蓋現有檔案中的數據;
⑹創建資料夾/附加數據(Create Folder/Append Data):
該許可權允許用戶在資料夾中創建新資料夾或允許用戶在現有檔案的末尾添加數據,但不能對檔案現有的數據進行覆蓋、修改,也不能刪除數據;
⑺寫入屬性(Write Attributes):
該許可權允許用戶改變檔案或資料夾的屬性;
⑻寫入擴展屬性(Write Extended Attributes):
該許可權允許用戶對檔案或資料夾的擴展屬性進行修改;
⑼刪除子資料夾及檔案(Delete Subfolders and Files):
該許可權允許用戶刪除資料夾中的子資料夾或檔案,即使在這些子資料夾和檔案上沒有設定刪除許可權;
⑽刪除(Delete):
該許可權允許用戶刪除當前資料夾和檔案,如果用戶在該檔案或資料夾上沒有刪除許可權,但是在其父級的資料夾上有刪除子檔案及資料夾許可權,那么就仍然可以刪除它;
⑾讀取許可權(Read Permissions):
該許可權允許用戶讀取檔案或資料夾的許可權列表;
⑿更改許可權(Change Permissions):
該許可權允許用戶改變檔案或資料夾上的現有許可權;
⒀取得所有權(Take Ownership):
該許可權允許用戶獲取檔案或資料夾的所有權,一旦獲取了所有權,用戶就可以對檔案或資料夾進行全權控制。
這裡需要單獨說明一下"修改"許可權與"寫入 "許可權的區別:如果僅僅對一個檔案擁有修改許可權,那么,不僅可以對該檔案數據進行寫入和附加,而且還可以創建新檔案或刪除現有檔案。而如果僅僅對一個檔案擁有寫入許可權,那么既可以對檔案數據進行寫入和附加,也可以創建新檔案,但是不能刪除檔案。也就是說,有寫入許可權不等於具有刪除許可權,但擁有修改許可權,就等同於擁有刪除和寫入許可權。

共享許可權(Shared Permission)

只要是共享出來的資料夾就一定具有此許可權。如該資料夾存在於NTFS分區中,那么它將同時具有NTFS許可權與共享許可權,如果這個資源同時擁有NTFS和共享兩種許可權,那么系統中對許可權的具體實施將以兩種許可權中的"較嚴格的許可權"為準──這也是"拒絕優於允許"原則的一種體現!
例如,某個共享資源的NTFS許可權設定為完全控制,而共享許可權設定為讀取,那么遠程用戶就只能使用"讀取"許可權對共享資源進行訪問了。
注意:如果是FAT16/FAT32檔案系統中的已分享檔案夾,那么將只能受到共享許可權的保護,這樣一來就容易產生安全性漏洞。這是因為共享許可權只能夠限制從網路上訪問資源的用戶,並無法限制直接登錄本機的人,即用戶只要能夠登錄本機,就可以任意修改、刪除FAT16/FAT32分區中的數據了。因此,從安全形度來看,我們是不推薦在Windows XP中使用FAT16/FAT32分區的。
設定共享許可權很簡單,在右鍵選中並點擊一個資料夾後,在右鍵快捷選單中選擇"共享與安全"項,在彈出的屬性對話框"共享"選項卡設定界面中點擊選中"共享該資料夾"項即可,這將使共享資源使用默認的許可權設定(即"Everyone"用戶擁有讀取許可權)。如果想具體設定共享許可權,那么請點擊"許可權"按鈕,在打開的對話框中可以看到許可權列表中有"完全控制 "、"更改"和"讀取"三項許可權可供選擇。
下面先簡單介紹一下這三個許可權的含義:
①完全控制:允許用戶創建、讀取、寫入、重命名、刪除當前資料夾中的檔案以及子資料夾,另外,也可以修改該資料夾中的NTFS訪問許可權和奪取所有權;
②更改:允許用戶讀取、寫入、重命名和刪除當前資料夾中的檔案和子資料夾,但不能創建新檔案;
③讀取:允許用戶讀取當前資料夾的檔案和子資料夾,但是不能進行寫入或刪除操作。
說完了許可權的含義,我們就可以點擊"添加"按鈕,將需要設定許可權的用戶或用戶組添加進來了。在預設情況下,當添加新的組或用戶時,該組或用戶將具備"讀取"(Read)許可權,我們可以根據實際情況在下方的許可權列表中進行複選框的選擇與清空。
接著再來說說令很多讀者感到奇怪的"組和用戶名稱"列表中的"Everyone"組的含義。在Windows 2000中,這個組因為包含了"Anonymous Logon"組,所以它表示"每個人"的意思。但在Windows XP中,請注意──這個組因為只包括"Authenticated Users"和"Guests"兩個組,而不再包括"Anonymous Logon"組,所以它表示了"可訪問計算機的所有用戶",而不再是"每個人"!請注意這是有區別的,"可訪問計算機的所有用戶"意味著必須是通過認證的用戶,而"每個人"則不必考慮用戶是否通過了認證。從安全方面來看,這一點是直接導致安全隱患是否存在關鍵所在!
當然,如果想在 Windows XP中實現Windows 2000中那種"Everyone"設計機制,那么可以通過編輯"本地安全策略"來實現,方法是:在"運行"欄中輸入"Secpol.msc"命令打開" 安全設定"管理單元,依次展開"安全設定"→"本地策略",然後進入"安全選項",雙擊右側的"網路訪問:讓‘每個人'許可權套用於匿名
用戶"項,然後選擇"已啟用"項即可。

注意

在Windows XP Professional中,最多可以同時有10個用戶通過網路登錄(指使用認證賬戶登錄的用戶,對於訪問由ⅡS提供的Web服務的用戶沒有限制)方式使用某一台計算機提供的共享資源。

資源複製或移動時許可權的變化與處理

在許可權的套用中,不可避免地會遇到設定了許可權後的資源需要複製或移動的情況,那么這個時候資源相應的許可權會發生怎樣的變化呢?下面來了解一下:
⑴複製資源時
在複製資源時,原資源的許可權不會發生變化,而新生成的資源,將繼承其目標位置父級資源的許可權。
⑵移動資源時
在移動資源時,一般會遇到兩種情況,一是如果資源的移動發生在同一驅動器內,那么對象保留本身原有的許可權不變(包括資源本身許可權及原先從父級資源中繼承的許可權);二是如果資源的移動發生在不同的驅動器之間,那么不僅對象本身的許可權會丟失,而且原先從父級資源中繼承的許可權也會被從目標位置的父級資源繼承的許可權所替代。實際上,移動操作就是首先進行資源的複製,然後從原有位置刪除資源的操作。
上述複製或移動資源時產生的許可權變化只是針對NTFS分區上而言的,如果將資源複製或移動到非NTFS分區(如FAT16/FAT32分區)上,那么所有的許可權均會自動全部丟失。

資源所有權的高級管理

有時我們會發現當前登錄的用戶無法對某個資源進行任何操作,這是什麼原因呢?其實這種常見的現象很有可能是因為對某個資源進行的NTFS許可權設定得不夠完善導致的──這將會造成所有人(包括 "Administrator"組成員)都無法訪問資源,例如不小心將"zhiguo"這個資料夾的所有用戶都刪除了,這將會導致所有用戶都無法訪問這個資料夾,此時很多朋友就會束手無策了,其實通過使用更改所有權的方法就可以很輕鬆地解決這類許可權問題了。
首先,我們需要檢查一下資源的所有者是誰,如果想查看某個資源(如sony目錄)的用戶所有權的話,那么只需使用"dir sony /q"命令就可以了。在反饋信息的第一行就可以看到用戶是誰了,例如第一行的信息是"lovebook\zhong",那么意思就是lovebook這台計算機中的"zhong"用戶。
如果想在圖形界面中查看所有者是誰,那么需要進入資源的屬性對話框,點擊"安全"選項卡設定界面中的"高級"按鈕,在彈出的"(用戶名)高級安全設定"界面中點擊"所有者"選項卡,從其中的"目前該項目的所有者"列表中就可以看到當前資源的所有者是誰了。
如果想將所有者更改用戶,那么只需在"將所有者更改為"列表中選擇目標用戶名後,點擊"確定"按鈕即可。此外,也可以直接在"安全"選項卡設定界面中點擊"添加"按鈕添加一個用戶並賦予相應的許可權後,讓這個用戶來獲得當前資料夾的所有權。

注意

查看所有者究竟對資源擁有什麼樣的許可權,可點擊進入"有效許可權"選項卡設定界面,從中點擊"選擇"按鈕添加當前資源的所有者後,就可以從下方的列表中許可權選項的勾取狀態來獲知了。

程式許可權

Windows XP作業系統在檔案管理方面功能設計上頗為多樣、周全和智慧型化。這裡通過"程式檔案使用許可權"設定、將"加密檔案授權多個用戶可以訪問"和了解系統日誌的訪問許可權三個例子給大家解釋一下如何進行日常套用。

程式檔案許可權設定

要了解Windows XP中關於程式檔案的訪問許可權,我們應首先來了解一下Windows XP在這方面的兩個設計,
一、是組策略中軟體限制策略的設計;
二、是臨時分配程式檔案使用許可權的設計。
⑴軟體限制策略
在"運行"欄中輸入 "Gpedit.msc"命令打開組策略視窗後,在"計算機配置"→"Windows設定"→"安全設定"分支中,右鍵選中"軟體限制策略"分
支,在彈出的快捷選單中選擇新建一個策略後,就可以從"軟體限制策略"分支下新出現的"安全級別"中看到有兩種安全級別的存在了。
這兩條安全級別對於程式檔案與用戶許可權之前是有密切聯繫的:
①不允許的:從其解釋中可以看出,無論用戶的訪問權如何,軟體都不會運行;
② 不受限的:這是默認的安全級別,其解釋為 "軟體訪問權由用戶的訪問權來決定"。顯然,之所以在系統中可以設定各種許可權,是因為有這個默認安全策略在背後默默支持的緣故。如果想把"不允許的"安全級別設定為默認狀態,只需雙擊進入其屬性界面後點擊"設為默認值"按鈕即可。
⑵臨時分配程式檔案
為什麼要臨時分配程式檔案的管理許可權呢?這是因為在Windows XP中,有許多很重要的程式都是要求用戶具有一定的管理許可權才能使用的,因此在使用許可權不足以使用某些程式的賬戶時,為了能夠使用程式,我們就需要為自己臨時分配一個訪問程式的管理許可權了。為程式分配臨時管理許可權的方法很簡單:右鍵點擊要運行的程式圖示,在彈出的快捷選單中選擇"運行方式",在打開的"運行身份"對話框中選中"下列用戶"選項,在"用戶名"和"密碼"右側的文本框中指定用戶及密碼即可。
顯然,這個臨時切換程式檔案管理許可權的設計是十分有必要的,它可以很好地起到保護系統的目的。

授權多個用戶訪問加密檔案

Windows XP在EFS上的改進之一就是可以允許多個用戶訪問加密檔案,這些用戶既可以是本地用戶,也可以是域用戶或受信任域的用戶。由於無法將證書頒發給用戶組,而只能頒發給用戶,所以只能授權單個的賬戶訪問加密檔案,而用戶組將不能被授權。
要授權加密檔案可以被多個用戶訪問,可以按照如下方法進行操作:
選中已經加密的檔案,用滑鼠右鍵點擊該加密檔案,選擇"屬性",在打開的屬性對話框中"常規"選項卡下點擊"高級"按鈕,打開加密檔案的高級屬性對話框,點擊其中的"詳細信息"按鈕(加密資料夾此按鈕無效),在打開的對話框中點擊"添加"按鈕添加一個或多個新用戶即可(如果計算機加入了域,則還可以點擊"尋找用戶"按鈕在整個域範圍內尋找用戶)。
如果要刪除某個用戶對加密檔案的訪問許可權,那么只需選中此用戶後點擊"刪除"按鈕即可。

日誌的訪問許可權

什麼是日誌?我們可以將日誌理解為系統日記,這本"日記"可以按系統管理員預先的設定,自動將系統中發生的所有事件都一一記錄在案,供管理員查詢。既然日誌信息具有如此重要的參考作用,那么就應該做好未經授權的用戶修改或查看的許可權控制。因此,我們非常有必要去了解一下日誌的訪問許可權在Windows XP中是怎樣設計的。一般來說,Administrators、SYSTEM、Everyone三種類型的賬戶可以訪問日誌。
這三種類型的賬戶對不同類型的日誌擁有不同的訪問許可權,下面來看一下表格中具體的說明,請注意"√"表示擁有此許可權;"×"表示無此許可權。
通過對比,可以看出SYSTEM擁有的許可權最高,可以對任意類型的日誌進行讀寫和清除操作;Everyone用戶則可以讀取應用程式和系統日誌,但對安全日誌無法讀取。這是因為安全日誌相對其他幾種類型的日誌在安全性方面的要求要高一些,只有SYSTEM 能夠對之寫入。
如果想為其他用戶賦予管理審核安全日誌的許可權,那么可以在"運行"欄中輸入"Gpedit.msc"命令打開組策略編輯器視窗後,依次進入"計算機配置 "→"Windows設定"→"安全設定 "→"本地策略"→"用戶權利指派",雙擊右側的"管理審核和安全日誌"項,在彈出的對話框中添加所需的用戶即可。

安全主體

在Windows XP中,有一群不為人知的用戶,它們的作用是可以讓我們指派許可權到某種"狀態"的用戶(如"匿名用戶"、"網路用戶")等,而不是某個特定的用戶或組(如 "zhong"、"CPCW"這類用戶)。這樣一來,對用戶許可權的管理就更加容易精確控制了。這群用戶在Windows XP中,統一稱
為內置安全主體。下面讓我們來了解一下:

安全主體的藏身之處

下面假設需要為一個名為"zhiguo"的目錄設定內置安全主體中的"Network"類用戶許可權為例,看看這群"默默無聞"的用戶藏身在系統何處。
首先進入"zhiguo"目錄屬性界面的"安全"選項卡設定界面,點擊其中的"添加"按鈕,在彈出的"選擇用戶或組"對話框中點擊"對象類型"按鈕。
在彈出對話框中只保留列表中的"內置安全主體"項,並點擊"確定"按鈕。
在接下來的對話框中點擊"高級"按鈕,然後在展開的對話框中點擊"立即查找"按鈕,就可以看到內置安全主體中包含的用戶列表了。

安全主體作用說明

雖然內置安全主體有很多,但正常能在許可權設定中使用到的並不多,所以下面僅說明其中幾個較重要的:
①Anonymous Logon:任何沒有經過Windows XP驗證程式(Authentication),而以匿名方式登錄域的用戶均屬於此組;
②Authenticated Users:與前項相反,所有經過Windows XP驗證程式登錄的用戶均屬於此組。設定許可權和用戶權力時,可考慮用此項代替
Everyone組;
BATCH:這個組包含任何訪問這台計算機的批處理程式(Batch Process);
④DIALUP:任何通過撥號網路登錄的用戶;
⑤Everyone:指所有經驗證登錄的用戶及來賓(Guest);
⑥Network:任何通過網路登錄的用戶;
⑦Interactive:指任何直接登錄本機的用戶;
⑧Terminal server user:指任何通過終端服務登錄的用戶。
......
在明白了內置安全主體的作用後,在進行許可權的具體指派時就可以讓許可權的套用精確程度更高、許可權的套用效果更加高效。顯然,Windows XP中設定此類賬戶是十分有必要的,畢竟計算機是以套用為主,以套用類型進行賬戶分類,必然會使許可權的管理不再混亂,管理更加合理!

相關詞條

熱門詞條

聯絡我們