windows系统权限详解

Windows cmd 中的用户管理和权限控制命令详解在Windows操作系统中，命令提示符（cmd）是一个强大的工具，可以通过它来进行各种系统管理和配置操作。

本文将详细介绍Windows cmd中的用户管理和权限控制命令，帮助读者更好地理解和应用这些命令。

一、用户管理命令1. net user 命令net user命令是Windows cmd中用于管理用户的主要命令之一。

通过该命令，可以创建、修改、删除用户账户，以及设置用户密码等操作。

例如，要创建一个名为"John"的用户账户，可以使用以下命令：net user John /add要删除该用户账户，可以使用以下命令：net user John /delete2. net localgroup 命令除了创建和删除用户账户，我们还可以使用net localgroup命令来管理本地用户组。

通过该命令，可以创建、修改、删除本地用户组，以及向用户组中添加或删除成员。

例如，要创建一个名为"Developers"的本地用户组，可以使用以下命令：net localgroup Developers /add要将用户"John"添加到该用户组，可以使用以下命令：net localgroup Developers John /add3. net accounts 命令net accounts命令用于管理用户账户的一些基本设置，如密码策略、账户锁定等。

通过该命令，可以修改这些设置以提高系统的安全性。

例如，要设置密码最小长度为8个字符，可以使用以下命令：net accounts /minpwlen:8二、权限控制命令1. cacls 命令cacls命令用于设置和修改文件或目录的访问控制列表（ACL）。

通过该命令，可以控制哪些用户或用户组有权访问、修改或删除文件。

例如，要将文件"test.txt"的完全控制权限授予用户"John"，可以使用以下命令：cacls test.txt /e /g John:F2. icacls 命令icacls命令是cacls命令的升级版，提供了更多的权限控制选项。

Windows下NTFS权限设置详解Windows下的NTFS权限设置是操作系统中的关键功能之一，它能够帮助用户对文件和文件夹进行更精细的管理和控制。

本文将详细介绍NTFS权限设置的具体内容，包括权限类型、权限的层级关系以及如何设置NTFS权限。

一、权限类型在Windows系统中，NTFS权限主要分为两种类型：基本权限和高级权限。

基本权限主要包括对文件的读取、写入、执行等操作，而高级权限则包括对文件的修改、删除、更改权限等操作。

基本权限包括以下几种：1. 读取权限：允许对文件进行查看和复制操作。

2. 写入权限：允许对文件进行编辑和保存操作。

3. 执行权限：允许运行可执行文件或脚本。

高级权限包括以下几种：1. 修改权限：允许对文件进行修改和重命名操作。

2. 删除权限：允许对文件进行删除操作。

3. 更改权限：允许修改文件的安全设置和权限设置。

二、权限的层级关系NTFS权限是根据文件夹的继承关系进行设置的。

在Windows系统中，文件夹的权限会被自动传递给其子文件夹和文件，这种传递权限的机制被称为继承。

具体而言，当用户对一个文件夹设置了权限后，该文件夹内的所有文件和子文件夹都会继承这些权限。

然而，对于某些特定的文件或文件夹，用户也可以选择禁止继承权限，从而实现对文件夹内文件的个别控制。

三、设置NTFS权限在Windows系统中，设置NTFS权限可以通过以下步骤完成：1. 找到需要设置权限的文件夹或文件，在其属性中选择“安全”选项卡。

2. 在“安全”选项卡中，可以看到当前文件夹或文件的权限设置情况。

3. 点击“编辑”，可以对当前的权限进行修改。

用户可以添加、删除或修改权限，以满足自己的需求。

4. 点击“高级”，可以进一步设置更详细的权限，包括对特定用户或用户组的权限设置。

5. 根据个人需求进行权限的设置，设置完成后点击“确定”保存设置。

需要注意的是，设置NTFS权限需要具备管理员权限或拥有文件的所有者身份。

Windows XP用户帐户权限设置详解1:标准用户该用户可修改大部分计算机设制,安装不修改操作系统文件且不需要安装系统服务的应用程序,创建和管理本地用户帐户和组,启动或停止默认情况下不启动的服务,但不可访问NTFS分区上属于其他用户的私有文件.2:受限用户该用户可操作计算机并保存文档,但不可以安装程序或进行可能对系统文件和设置有潜在的破坏性的任何修改.3:其他用户(1)系统***--有对计算机的完全访问控制权.(2)备份操作员不能根改安全性设置(3)客人--权限同受限用户(4)高级用户--权限同标准用户在XP中设置用户权限按照一下步骤进行：进入"控制面板",在"控制面板"中双击"管理工具"打中开"管理工具",在"管理工具"中双击"计算机管理"打开"计算机管理"控制台,在"计算机管理"控制台左面窗口中双击"本地用户和组",再单下面的"用户",右面窗口即显示此计算机上的所有用户。

要更改某用户信息，右击右面窗口的该用户的图标，即弹出快捷菜单，该菜单包括：设置密码、删除、重命名、属性、帮助等项，单击设置密码、删除、重命名等项可进行相应的操作。

单击属性弹出属性对话框，“常规”选项卡可对用户密码安全，帐户的停锁等进行设置，“隶属于”选项卡可改变用户组，方法如下：先选中下面列表框中的用户，单击“删除”按纽，如此重复删除列表中的所有用户，单击“添加”按纽，弹出“选择组”对话柜，单击“高级”按纽，单击“立即查找”按纽，下面列表框中列出所有的用户组，Administrators组为***组（其成员拥有所有权限），Power Users组为超级用户组（其成员拥有除计算机管理以外的所有权限，可安装程序），User组为一般用户组（其成员只执行程序，不能安装和删程序）。

Adaptive Brightness 【禁用】监视氛围光传感器，以检测氛围光的变化并调节显示器的亮度。

如果此服务停止或被禁用，显示器亮度将不根据照明条件进行调节。

该服务的默认运行方式是手动，如果你没有使用触摸屏一类的智能调节屏幕亮度的设备，该功能就可以放心禁用。

Application Experience 【手动】在应用程序启动时为应用程序处理应用程序兼容性缓存请求。

该服务的默认运行方式是自动，建议手动。

Application Information 【手动】使用辅助管理权限便于交互式应用程序的运行。

如果停止此服务，用户将无法使用辅助管理权限启动应用程序，而执行所需用户任务可能需要这些权限。

该服务的默认运行方式是手动，不建议更改。

Application Layer Gateway Service 【禁用】【待测试结果】为Internet 连接共享提供第三方协议插件的支持，如果装有第三方防火墙且不需要用ICS 方式共享上网，完全可以禁用掉。

Application Management 【禁用】为通过组策略部署的软件处理安装、删除以及枚举请求。

如果该服务被禁用，则用户将不能安装、删除或枚举通过组策略部署的软件。

如果此服务被禁用，则直接依赖于它的所有服务都将无法启动。

该服务默认的运行方式为手动，该功能主要适用于大型企业环境下的集中管理，因此家庭用户可以放心禁用该服务。

Ati External Event Utility 【手动】装了ATI 显卡驱动的就会有这个进程，建议手动。

Background Intelligent Transfer Service 【手动】使用空闲网络带宽在后台传送文件。

如果该服务被禁用，则依赖于BITS 的任何应用程序( 如Windows Update 或MSN Explorer) 将无法自动下载程序和其他信息。

这个服务的主要用途还是用于进行WindowsUpdate 或者自动更新，如果是采用更新包来更新的话，完全可以禁用。

Windows⽤户组权限详解内置普通组：Administrators 属于该administators本地组内的⽤户，都具备系统管理员的权限，它们拥有对这台计算机最⼤的控制权限，可以执⾏整台计算机的管理任务。

内置的系统管理员帐房Administrator就是本地组的成员，⽽且⽆法将它从该组删除。

如果这台计算机已加⼊域，则域的Domain Admins会⾃动地加⼊到该计算机的Administrators组内。

也就是说，域上的系统管理员在这台计算机上也具备着系统管理员的权限。

Backup OPerators 在该组内的成员，不论它们是否有权访问这台计算机中的⽂件夹或⽂件，都可以通过“开始”－“所有程序”－“附件”－“系统⼯具”－“备份”的途径，备份与还原这些⽂件夹与⽂件。

Guests 该组是提供没有⽤户帐户，但是需要访问本地计算机内资源的⽤户使⽤，该组的成员⽆法永久地改变其桌⾯的⼯作环境。

该组最常见的默认成员为⽤户帐号Guest。

Network Configuration Operators　该组内的⽤户可以在客户端执⾏⼀般的⽹络设置任务，例如更改ＩＰ地址，但是不可以安装/删除驱动程序与服务，也不可以执⾏与⽹络服务器设置有关的任务，例如DNS服务器、DHCP服务器的设置。

Power Users　该组内的⽤户具备⽐Users组更多的权利，但是⽐Administrators组拥有的权利更少⼀些，例如，可以：创建、删除、更改本地⽤户帐户创建、删除、管理本地计算机内的共享⽂件夹与共享打印机⾃定义系统设置，例如更改计算机时间、关闭计算机等Power Users　组的成员不可以更改Administrators与Backup Operators、⽆法夺取⽂件的所有权、⽆法备份与还原⽂件、⽆法安装删除与删除设备驱动程序、⽆法管理安全与审核⽇志。

Remote Desktop Users　该组的成员可以通过远程计算机登录，例如，利⽤终端服务器从远程计算机登录。

windows下权限设置详解随着动网论坛的广泛应用和动网上传漏洞的被发现以及sql注入式攻击越来越多的被使用，webshell让防火墙形同虚设，一台即使打了所有微软补丁、只让80端口对外开放的web服务器也逃不过被黑的命运。

难道我们真的无能为力了吗？其实，只要你弄明白了ntfs系统下的权限设置问题，我们可以对crackers们说：no!要打造一台安全的web服务器，那么这台服务器就一定要使用ntfs和windows nt/2000/2003。

众所周知，windows是一个支持多用户、多任务的操作系统，这是权限设置的基础，一切权限设置都是基于用户和进程而言的，不同的用户在访问这台计算机时，将会有不同的权限。

dos是个单任务、单用户的操作系统。

但是我们能说dos没有权限吗？不能！当我们打开一台装有dos操作系统的计算机的时候，我们就拥有了这个操作系统的管理员权限，而且，这个权限无处不在。

所以，我们只能说dos不支持权限的设置，不能说它没有权限。

随着人们安全意识的提高，权限设置随着ntfs的发布诞生了。

windows nt里，用户被分成许多组，组和组之间都有不同的权限，当然，一个组的用户和用户之间也可以有不同的权限。

下面我们来谈谈nt中常见的用户组。

administrators,管理员组，默认情况下，administrators 中的用户对计算机/域有不受限制的完全访问权。

分配给该组的默认权限允许对整个系统进行完全控制。

所以，只有受信任的人员才可成为该组的成员。

power users，高级用户组，power users 可以执行除了为administrators 组保留的任务外的其他任何操作系统任务。

分配给power users 组的默认权限允许power users 组的成员修改整个计算机的设置。

但power users 不具有将自己添加到administrators组的权限。

在权限设置中，这个组的权限是仅次于administrators的。

一. 只有磁盘的文件系统是NTFS,才能设置权限的.如何查看呢?在我的电脑里,右击你要查看的磁盘,点属性,在常规里面可以查看文件系统,有些是NTFS的,有些是FAT32的,有些是FAT的.二. 以管理员身份登陆,注意,这是一个要点.只有以管理员身份登陆,才能进行权限设置的.打开我的电脑,点工具,文件夹选项,查看,在高级设置里,找到使用简单文件共享(推荐),把前面的勾去掉.点确定.三. 经过第二步的设置,我们在NTFS文件系统的磁盘,随便找一个文件或者文件夹右击.会看到有一个安全选项.如果没有第二步的设置,则这个选项是不会有的.另外,在XP HOME版的系统里,一般也不会有安全选项的.但对于XP HOME版的系统,我们可以在命令行下进行设置的.为了讲解的方便,我们这里以在D盘新建一个文件夹为例.四. 在安全选项里面,我们可以看到组或用户名称里面有很多的用户名.这里面我们以everyone为例进行讲解.权限设置存在着诸多的复杂性的.各用户组的权限是相互关联的.我们只取everone进行设置,是为了简化.我们先在组或用户名称里面找到everone用户组.但是,有可能在这里找不到这个用户组,怎么办呢?点添加.再点高级.再点立即查找找到Everone点一下选定.点确定.再在选择用户或组中点确定这样我们就成功地在组或者用户名称里面添加了evervone用户组.点一下选定.然后在完全拒绝上打上勾.点应用.在弹出的安全对话框里点是.然后我们退出权限设置的界面,双击这个文件夹.会有一个对话框弹出.我们可以看到,这个文件我们已经无法访问了.然后我们重新进入权限设置的界面,也就是右击这个文件夹.点属性,安全,选定everyone,把完全控制选项打上勾.点应用.我们再双击这个文件夹.我们会发现,文件夹被成功打开.特别说明一下,只要把everyone设置为完全拒绝,则所有的用户都是不能访问的,包括具有最高权限的系统用户也不能访问.但是,特殊的软件可以突破这种权限,比如冰刃.如果把everyone设置为完全控制,则所有用户都将能够完全访问,这样是很危险的.权限究竟如何设置合理,本文不作探讨.本文主要的是教人如何设置权限.四. 然则有些文件夹或者文件,当我们点属性,安全,会弹出一个对话框.点确定.我们会发现,前面我们所教的权限设置的办法无法操作.组或用户名称里面是空的.有些也不是空的.但是,里面的用户和组都是灰色不可以选定的.添加和删除按钮都是灰色的.怎么办?难道这个文件夹我们就无奈它何?五. 不,办法是有的.我们现在点高级.有所有者上点一下.我们选择一个管理员,或者是管理员组Adminstrators,在上面点一下.把替换子容器及对象的所有者这个选项打上勾.点应用.在弹出的安全对话框中点是:现在我们来双击这个文件.我们将会发现,这个文件能够访问了.六. 我们关闭安全设置对话框,再重新进入.我们会发现,我们又可以对这个文件夹设置权限了.添加和删除按钮都是可以用的了.七. 但是,当我们进入刚才这个文件夹的子目录时,可能会发现,有些文件或者文件夹还是不能访问.如果文件不多,我们可以一一设置.如果文件特别多,一一设置就不那么现实了.怎么办?这时我们仍点高级.在权限里面设置.把这里面的几个用户全部选上(按CTRL+鼠标单击一一选定.把用在此显示的可以应用到子对象的项目替代所有子对象的权限项目打上勾.点应用.在弹出的安全对话框里点是.然后我们再进入子目录,我们会发现,所有的文件都可以访问了.当然,如果有那种XX..\一类的文件夹,仍是不能访问的.。

windows 用户名规则标题：Windows 用户名规则详解---**一、引言**在Windows操作系统中，用户名是用户身份的重要标识，用于登录系统以及确定用户权限。

理解和遵循Windows用户名的规则对于系统的稳定运行和安全管理至关重要。

本文将详细介绍Windows操作系统的用户名设定规则。

**二、Windows用户名基本要求**1. **字符长度限制**：- Windows用户名的长度通常应在1到20个字符之间（包括字母、数字及特殊字符）。

- 在Windows 10及更新版本中，用户名的最大长度实际上可以达到32个字符，但为了兼容性考虑，建议保持在20个字符以内。

2. **字符类型**：- 用户名可以包含字母（不区分大小写）、数字（0-9）以及下划线（_）。

- 不允许使用空格以及其他特殊字符，如 @, #, % 等。

- 特别注意，不能以句点（.）或减号（-）开头。

3. **保留名称**：- 有些特定的名称被Windows系统保留，例如 "Administrator"、“Guest”等，无法作为普通用户的用户名。

4. **全局唯一性**：- 在同一台计算机上，所有用户的用户名必须是唯一的，不可重复。

**三、注意事项**- 不推荐使用纯数字作为用户名，因为这可能会与SID（安全标识符）混淆，导致某些情况下出现问题。

- 避免使用可能导致命令行解析错误或者与其他系统资源冲突的用户名。

- 尽管Windows支持一些非英文字符作为用户名，但在跨平台或网络环境中可能产生兼容性问题，因此建议仅使用ASCII字符集内的字符。

**四、总结**理解并按照Windows用户名的规则创建用户账号，不仅能确保系统的正常运行，也有助于提升信息系统的安全性。

在实际操作中，应尽量选择既具有描述性又简洁易记的用户名，并始终确保其唯一性。

Windows下安全权限设置详解随着动网论坛的广泛应用和动网上传漏洞的被发现以及SQL注入式攻击越来越多的被使用，WEBSHELL让防火墙形同虚设，一台即使打了所有微软补丁、只让80端口对外开放的WEB 服务器也逃不过被黑的命运。

难道我们真的无能为力了吗？其实，只要你弄明白了NTFS系统下的权限设置问题，我们可以对crackers们说：NO!Windows NT里，用户被分成许多组，组和组之间都有不同的权限，当然，一个组的用户和用户之间也可以有不同的权限。

下面我们来谈谈NT中常见的用户组。

Administrators,管理员组，默认情况下，Administrators中的用户对计算机/域有不受限制的完全访问权。

分配给该组的默认权限允许对整个系统进行完全控制。

所以，只有受信任的人员才可成为该组的成员。

Power Users，高级用户组，Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。

分配给 Power Users 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。

但Power Users 不具有将自己添加到 Administrators 组的权限。

在权限设置中，这个组的权限是仅次于Administrators的。

Users:普通用户组，这个组的用户无法进行有意或无意的改动。

因此，用户可以运行经过验证的应用程序，但不可以运行大多数旧版应用程序。

Users 组是最安全的组，因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。

Users 组提供了一个最安全的程序运行环境。

在经过 NTFS 格式化的卷上，默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。

用户不能修改系统注册表设置、操作系统文件或程序文件。

Users 可以关闭工作站，但不能关闭服务器。

Users 可以创建本地组，但只能修改自己创建的本地组。

Win7操作系统用户帐户控制功能详解导读:用户帐户控制即User Account Control，简称UAC，是微软采用的一种控制机制，使用UAC授权来达到阻止恶意程序的目的。

对于电脑的用户帐户控制功能，相信很多用户都还没搞明白，为了大家更好的使用用户帐户控制功能，下面小编给大家详细说说用户帐户控制功能。

在家庭和公司环境中，使用标准用户帐户可以提高安全性并降低总体拥有成本。

当用户使用标准用户权限（而不是管理权限）运行时，系统的安全配置（包括防病毒和防火墙配置）将得到保护。

这样，用户将能拥有一个安全的区域，可以保护他们的帐户及系统的其余部分。

对于企业部署，桌面IT 经理设置的策略将无法被覆盖，而在共享家庭计算机上，不同的用户帐户将受到保护，避免其他帐户对其进行更改。

但是，很久以来，Windows 的用户一直都在使用管理权限运行。

因此，软件通常都开发为使用管理帐户运行，并且（通常无意间）依赖于管理权限。

为了让更多软件能够使用标准用户权限运行，并且帮助开发人员编写能够使用标准用户权限正常运行的应用程序，Windows Vista 引入了用户帐户控制（UAC）。

UAC 集成了一系列技术，其中包括文件系统和注册表虚拟化、受保护的系统管理员（PA）帐户、UAC 提升权限提示，以及支持这些目标的Windows 完整性级别。

我在我的会议演示文稿和TechNet 杂志UAC 内部信息一文中详细讨论了这些内容。

Windows 7 沿用了UAC 的目标，基础技术相对未做改变。

但是，它引入了UAC 的PA 帐户可以运行的两种新模式，以及某些内置Windows 组件的自动提升机制。

在此文章中，我将论述推动UAC 技术发展的因素、重新探讨UAC 和安全性之间的关系、描述这两种新模式，并介绍自动提升的具体工作方式。

请注意，此文章中的信息反映了Windows 7 预发布版本的行为，该行为在许多方面与beta 版有所不同。

UAC 技术：UAC 技术的最基本元素和直接效益在于它能使标准用户更方便地使用Windows。

我们都知道，在Windows Vista中，当打开命令行窗口时，即使当前登录用户具有管理员身份，但其以默认的标准用户权限运行，这在很多时候带来不便，尤其当进行系统级设置时。

事实上，我们在操作中大部分弃图形界面而使用命令行的情况便是进行系统级设置，毕竟，图形界面虽然易于使用易于上手，但往往不具有效率，如需多次点击等十分繁琐——同时，Windows Vista中的UAC机制也使得在进行系统设置时需频繁地通过UAC弹出窗口提升操作者权限，有时甚至会到烦人的程度。

进入Msconfig(+上图可点击放大)因此，直接以管理员权限打开命令行窗口无疑更为方便。

但一般而言，无论是该文中介绍的鼠标操作还是键盘操作方式都不是―很简便‖的解决方案：要么需结合鼠标左右钮要么需同时按下―Ctrl+Shift+Enter‖组合键。

本文介绍更简单的方法，即在Windows Vista桌面创建打开具有管理员权限命令行窗口的快捷方式，或在开始菜单中集成打开具有管理员权限的命令行窗口的链接，这样，在使用时，我们只需鼠标一次点击便可完成。

创建打开具有管理员权限的命令行窗口的快捷方式最简单的方法当属直接在Windows Vista桌面创建默认使用管理员权限打开命令行窗口的快捷方式，步骤如下：1、在Windows Vista桌面单击右键；2、在弹出菜单中选择―新建‖―快捷方式‖；3、在创建快捷方式对话框中，输入―cmd‖；4、命名该快捷方式，在我们的例子中为―命令行(HighDiy)‖5、在该快捷方式上右键单击，选择―属性‖；6、在―快捷方式‖选项页中，点击―高级‖按钮；7、在高级属性中选中―以管理员身份运行‖选项，点击―确定‖完成设置。

在开始菜单中创建打开具有管理员权限命令行窗口的链接同样地，我们也可以把打开具有管理员权限命令行窗口的链接集成进开始菜单中，这样，日后在操作中同样也只需一次点击。

1、点击开始菜单；2、在搜索框中输入―cmd‖，将会在返回的搜索结果中看到命令行快捷方式；3、右键单击该快捷方式；4、在弹出菜单中选择―附到『开始』菜单‖，这样，该快捷方式便出现在开始菜单上；5、接下来我们设置操作权限。

Windows 最高权限（system）详解什么是system权限？为什么说它是最高的权限？请大家认真看完本贴。

（重新编辑下，删除NTFS权限内容，更改部分文字颜色这样不会感觉眼睛疲劳，删除增加某些内容。

）底下提供完整版的文章下载有doc 和txt 两种格式的一. 权限的由来远方的某个山脚下，有一片被森林包围的草原，草原边上居住着一群以牧羊为生的牧民。

草原边缘的森林里，生存着各种动物，包括野狼。

由于羊群是牧民们的主要生活来源，它们的价值便显得特别珍贵，为了防止羊的跑失和野兽的袭击，每户牧民都用栅栏把自己的羊群圈了起来，只留下一道小门，以便每天傍晚供羊群外出到一定范围的草原上活动，实现了一定规模的保护和管理效果。

最初，野狼只知道在森林里逮兔子等野生动物生存，没有发现远处草原边上的羊群，因此，在一段时间里实现了彼此和平相处，直到有一天，一只为了追逐兔子而凑巧跑到了森林边缘的狼，用它那灵敏的鼻子嗅到了远处那隐隐约约的烤羊肉香味。

当晚，突然出现的狼群袭击了草原上大部分牧民饲养的羊，它们完全无视牧民们修筑的仅仅能拦住羊群的矮小栅栏，轻轻一跃便突破了这道防线……虽然闻讯而来的牧民们合作击退了狼群，但是羊群已经遭到了一定的损失。

事后，牧民们明白了栅栏不是仅仅用来防止羊群逃脱的城墙，各户牧民都在忙着加高加固了栅栏……如今使用WINDOWS XP VISTA WIN7 的人都听说过“权限”(Privilege)这个概念，但是真正理解它的家庭用户，也许并不会太多，那么，什么是“权限”呢?对于一般的用户而言，我们可以把它理解为系统对用户能够执行的功能操作所设立的额外限制，用于进一步约束计算机用户能操作的系统功能和内容访问范围，或者说，权限是指某个特定的用户具有特定的系统资源使用权力。

对计算机来说，系统执行的代码可能会对它造成危害，因此处理器产生了Ring（圈内，环内）的概念，把“裸露在外”的一部分用于人机交互的操作界面限制起来，避免它一时头脑发热发出有害指令;而对于操作界面部分而言，用户的每一步操作仍然有可能伤害到它自己和底层系统——尽管它自身已经被禁止执行许多有害代码，但是一些不能禁止的功能却依然在对这层安全体系作出威胁，因此，为了保护自己，操作系统需要在Ring 的笼子里限制操作界面基础上，再产生一个专门用来限制用户的栅栏，这就是现在我们要讨论的权限，它是为限制用户而存在的，而且限制对每个用户并不是一样的，在这个思想的引导下，有些用户能操作的范围相对大些，有些只能操作属于自己的文件，有些甚至什么也不能做……正因为如此，计算机用户才有了分类:管理员、普通用户、受限用户、来宾等……二. 权限的指派 1.普通权限虽然Win2\X\V\win7等系统提供了“权限”的功能，但是这样就又带来一个新问题:权限如何分配才是合理的?如果所有人拥有的权限都一样，那么就等于所有人都没有权限的限制，那和使用Win9x有什么区别?幸好，系统默认就为我们设置好了“权限组”(Group)，只需把用户加进相应的组即可拥有由这个组赋予的操作权限，这种做法就称为权限的指派。

windows服务详解:搞定网络安全Windows帐户权限设置详解疯狂代码 / ĵ:http://SecurityFileWall/Article63628.html　随着动网论坛广泛应用和动网上传漏洞被发现以及SQL注入式攻击越来越多被使用WEBSHELL让防火墙形同虚设台即使打了所有微软补丁、只让80端口对外开放WEB服务器也逃不过被黑命运难道我们真无能为力了吗?其实只要你弄明白了NTFS系统下权限设置问题我们可以对crackers们说:NO! 要打造台安全WEB服务器那么这台服务器就定要使用NTFS和Windows NT/2000/2003众所周知Windows是个支持多用户、多任务操作系统这是权限设置基础切权限设置都是基于用户和进程而言区别用户在访问这台计算机时将会有区别权限DOS跟WinNT权限分别 DOS是个单任务、单用户操作系统但是我们能说DOS没有权限吗?不能!当我们打开台装有DOS操作系统计算机时候我们就拥有了这个操作系统管理员权限而且这个权限无处不在所以我们只能说DOS不支持权限设置不能说它没有权限随着人们安全意识提高权限设置随着NTFS发布诞生了 Windows NT里用户被分成许多组组和组的间都有区别权限当然个组用户和用户的间也可以有区别权限下面我们来谈谈NT中常见用户组 Administrators,管理员组默认情况下Administrators中用户对计算机/域有不受限制完全访问权分配给该组默认权限允许对整个系统进行完全控制所以只有受信任人员才可成为该组成员 Power Users高级用户组Power Users 可以执行除了为 Administrators 组保留任务外其他任何操作系统任务分配给 Power Users 组默认权限允许 Power Users 组成员修改整个计算机设置但Power Users 不具有将自己添加到 Administrators 组权限在权限设置中这个组权限是仅次于Administrators Users:普通用户组这个组用户无法进行有意或无意改动因此用户可以运行经过验证应用但不可以运行大多数旧版应用Users 组是最安全组分配给该组默认权限不允许成员修改操作系统设置或用户资料 Users组提供了个最安全运行环境在经过NTFS格式化卷上默认安全设置旨在禁止该组成员危及操作系统和已安装完整性用户不能修改系统注册表设置、操作系统文件或文件Users 可以关闭工作站但不能关闭服务器Users 可以创建本地组但只能修改自己创建本地组 Guests:来宾组按默认值来宾跟普通Users成员有同等访问权但来宾帐户限制更多 Everyone:顾名思义所有用户这个计算机上所有用户都属于这个组 其实还有个组也很常见它拥有和Administrators样、甚至比其还高权限但是这个组不允许任何用户加入在察看用户组时候它也不会被显示出来它就是SYSTEM组系统和系统级服务正常运行所需要权限都是靠它赋予由于该组只有这个用户SYSTEM也许把该组归为用户行列更为贴切权限权力大小分析 权限是有高低的分有高权限用户可以对低权限用户进行操作但除了Administrators的外其他组用户不能访问 NTFS 卷上其他用户资料除非他们获得了这些用户授权而低权限用户无法对高权限用户进行任何操作 我们平常使用计算机过程当中不会感觉到有权限在阻挠你去做某件事情这是我们在使用计算机时候都用是Administrators中用户登陆这样有利也有弊利当然是你能去做你想做任何件事情而不会遇到权限限制 弊就是以 Administrators 组成员身份运行计算机将使系统容易受到特洛伊木马、病毒及其他安全风险威胁访问 Internet 站点或打开电子邮件附件简单行动都可能破坏系统 不熟悉 Internet 站点或电子邮件附件可能有特洛伊木马代码这些代码可以下载到系统并被执行如果以本地计算机管理员身份登录特洛伊木马可能使用管理访问权重新格式化您硬盘造成不可估量损失所以在没有必要情况下最好不用Administrators中用户登陆Administrators中有个在系统安装时就创建默认用户----AdministratorAdministrator帐户具有对服务器完全控制权限并可以根据需要向用户指派用户权利和访问控制权限 因此强烈建议将此帐户设置为使用强密码永远也不可以从Administrators 组删除 Administrator帐户但可以重命名或禁用该帐户由于大家都知道“管理员”存在于许多版本Windows上所以重命名或禁用此帐户将使恶意用户尝试并访问该帐户变得更为困难 对于个好服务器管理员来说他们通常都会重命名或禁用此帐户Guests用户组下也有个默认用户----Guest,但是在默认情况下它是被禁用如果没有特别必要无须启用此账户 何谓强密码?就是字母和数字、大小互相组合大于8位复杂密码但这也不完全防得住众多黑客只是定程度上较为难破解 我们可以通过“控制面板”--“管理工具”--“计算机管理”--“用户和用户组”来查看用户组及该组下用户 我们用鼠标右键单击个NTFS卷或NTFS卷下个目录选择“属性”--“安全”就可以对个卷或者个卷下面目录进行权限设置此时我们会看到以下 7种权限:完全控制、修改、读取和运行、列出文件夹目录、读取、写入、和特别权限 “完全控制”就是对此卷或目录拥有不受限制完全访问地位就像Administrators在所有组中地位样选中了“完全控制”下面 5项属性将被自动被选中 “修改”则像Power users选中了“修改”下面 4项属性将被自动被选中下面任何项没有被选中时“修改”条件将不再成立“读取和运行”就是允许读取和运行在这个卷或目录下任何文件“列出文件夹目录”和“读取”是“读取和运行”必要条件 “列出文件夹目录”是指只能浏览该卷或目录下子目录不能读取也不能运行“读取”是能够读取该卷或目录下数据“写入”就是能往该卷或目录下写入数据而“特别”则是对以上 6种权限进行了细分读者可以自行对“特别”进行更深研究鄙人在此就不过多赘述了台简单服务器设置例子操作: 下面我们对台刚刚安装好操作系统和服务软件SoftwareWEB服务器系统和其权限进行全面刨析服务器采用Windows 2000 Server版安装好了SP4及各种补丁 WEB服务软件Software则是用了Windows 2000自带IIS 5.0删除了切不必要映射整个硬盘分为 4个NTFS卷C盘为系统卷只安装了系统和驱动;D盘为软件Software卷该服务器上所有安装软件Software都在D盘中;E盘是WEB卷网站WebSite都在该卷下WWW目录中;F盘是网站WebSite数据卷网站WebSite系统所有数据都存放在该卷WWWDATABASE目录下 这样分类还算是比较符合台安全服务器标准了希望各个新手管理员能合理给你服务器数据进行分类这样不光是查找起来方便更重要是这样大大增强了服务器安全性我们可以根据需要给每个卷或者每个目录都设置区别权限旦发生了网络安全事故也可以把损失降到最低 当然也可以把网站WebSite数据分布在区别服务器上使的成为个服务器群每个服务器都拥有区别用户名和密码并提供区别服务这样做安全性更高 该服务器数据库为MS-SQLMS-SQL服务软件SoftwareSQL2000安装在d:\ms-sqlserver2K目录下给SA账户设置好了足够强度密码安装好了SP3补丁为了方便网页制作员对网页进行管理该网站WebSite还开通了FTP服务FTP服务软件Software使用是SERV-U 5.1.0.0安装在d:\ftpservice\serv-u目录下杀毒软件Software和防火墙用分别是Norton Antivirus和BlackICE,路径分别为d:\nortonAV和d:\firewall\blackice,病毒库已经升级到最新防火墙规则库定义只有80端口和21端口对外开放网站WebSite内容是采用动网7.0论坛,网站WebSite在e:\www\bbs下 细心读者可能已经注意到了安装这些服务软件Software路径我都没有采用默认路径或者是仅仅更改盘符默认路径这也是安全上需要个黑客如果通过某些途径进入了你服务器但并没有获得管理员权限他首先做事情将是查看你开放了哪些服务以及安装了哪些软件Software他需要通过这些来提升他权限 个难以猜解路径加上好权限设置将把他阻挡在外相信经过这样配置WEB服务器已经足够抵挡大部分学艺不精黑客了读者可能又会问了:“这根本没用到权限设置嘛!我把其他都安全工作都做好了权限设置还有必要吗?”当然有!智者千虑还必有失呢就算你现在已经把系统安全做完美无缺你也要知道新安全漏洞总是在被不断发现 上页 ;1 ;2 ;3 ;4 ;下页权限例子攻击 权限将是你最后道防线!那我们现在就来对这台没有经过任何权限设置全部采用Windows默认权限服务器进行次模拟攻击看看其是否真固若金汤 假设服务器外网域名为用扫描软件Software对其进行扫描后发现开放WWW和FTP服务并发现其服务软件Software使用是IIS 5.0和Serv-u 5.1用些针对他们溢出工具后发现无效遂放弃直接远程溢出想法 打开网站WebSite页面发现使用是动网论坛系统于是在其域名后面加个/upfile.asp发现有文件上传漏洞便抓包把修改过ASP木马用NC提交提示上传成功成功得到WEBSHELL打开刚刚上传ASP木马发现有MS-SQL、Norton Antivirus和BlackICE在运行判断是防火墙上做了限制把SQL服务端口屏蔽了 通过ASP木马查看到了Norton Antivirus和BlackICEPID又通过ASP木马上传了个能杀掉进程文件运行后杀掉了Norton Antivirus和BlackICE再扫描发现1433端口开放了到此便有很多种途径获得管理员权限了可以查看网站WebSite目录下conn.asp得到SQL用户名密码再登陆进SQL执行添加用户提管理员权限也可以抓SERV-U下ServUDaemon.ini修改后上传得到系统管理员权限 还可以传本地溢出SERV-U工具直接添加用户到Administrators等等大家可以看到旦黑客找到了切入点在没有权限限制情况下黑客将帆风顺取得管理员权限 那我们现在就来看看Windows 2000默认权限设置到底是怎样对于各个卷根目录默认给了Everyone组完全控制权这意味着任何进入电脑用户将不受限制在这些根目录中为所欲为 对于WinntAdministrators拥有完全控制权;Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Users有读&运列和读权限而非系统卷下所有目录都将继承其父目录权限也就是Everyone组完全控制权! 现在大家知道为什么我们刚刚在测试时候能帆风顺取得管理员权限了吧?权限设置太低了!个人在访问网站WebSite时候将被自动赋予IUSR用户它是隶属于Guest组本来权限不高但是系统默认给Everyone组完全控制权却让它“身价倍增”到最后能得到Administrators了 那么怎样设置权限给这台WEB服务器才算是安全呢?大家要牢记句话:“最少服务+最小权限=最大安全”对于服务不必要话定不要装要知道服务运行是SYSTEM级哦对于权限本着够用就好原则分配就是了 对于WEB服务器就拿刚刚那台服务器来说我是这样设置权限大家可以参考下:各个卷根目录、Documents and tings以及Program files只给Administrator完全控制权或者干脆直接把Program files给删除掉;给系统卷根目录多加个Everyone读、写权;给e:\www目录也就是网站WebSite目录读、写权 最后还要把cmd.exe这个文件给挖出来只给Administrator完全控制权经过这样设置后再想通过我刚刚思路方法入侵这台服务器就是不可能完成任务了可能这时候又有读者会问:“为什么要给系统卷根目录个Everyone读、写权? 网站WebSite中ASP文件运行不需要运行权限吗?”问好有深度是这样系统卷如果不给Everyone读、写权话启动计算机时候计算机会报错而且会提示虚拟内存不足 当然这也有个前提----虚拟内存是分配在系统盘如果把虚拟内存分配在其他卷上那你就要给那个卷Everyone读、写权ASP文件运行方式是在服务器上执行只把执行结果传回最终用户浏览器这没错但ASP文件不是系统意义上可执行文件它是由WEB服务提供者----IIS来解释执行所以它执行并不需要运行权限 上页 ;1 ;2 ;3 ;4 ;下页深入了解权限背后意义 经过上面讲解以后你定对权限有了个初步了了解了吧?想更深入了解权限那么权限些特性你就不能不知道了权限是具有继承性、累加性 、优先性、交叉性 继承性是说下级目录在没有经过重新设置的前是拥有上级目录权限设置这里还有种情况要介绍说明下在分区内复制目录或文件时候复制过去目录和文件将拥有它现在所处位置上级目录权限设置但在分区内移动目录或文件时候移动过去目录和文件将拥有它原先权限设置 累加是说如个组GROUP1中有两个用户USER1、USER2他们同时对某文件或目录访问权限分别为“读取”和“写入”那么组GROUP1对该文件或目录访问权限就为USER1和USER2访问权限的和实际上是取其最大那个即“读取”+“写入”=“写入” 又如个用户USER1同属于组GROUP1和GROUP2而GROUP1对某文件或目录访问权限为“只读”型而GROUP2对这文件或文件夹访问权限为“完全控制”型则用户USER1对该文件或文件夹访问权限为两个组权限累加所得即:“只读”+“完全控制”=“完全控制” 优先性权限这特性又包含两种子特性其是文件访问权限优先目录权限也就是说文件权限可以越过目录权限不顾上级文件夹设置另特性就是“拒绝”权限优先其它权限也就是说“拒绝”权限可以越过其它所有其它权限旦选择了“拒绝”权限则其它权限也就不能取任何作用相当于没有设置 交叉性是指当同文件夹在为某用户设置了共享权限同时又为用户设置了该文件夹访问权限且所设权限不致时它取舍原则是取两个权限交集也即最严格、最小那种权限如目录A为用户USER1设置共享权限为“只读”同时目录A为用户USER1设置访问权限为“完全控制”那用户USER1最终访问权限为“只读” 权限设置问题我就说到这了在最后我还想给各位读者提醒下权限设置必须在NTFS分区中才能实现FAT32是不支持权限设置同时还想给各位管理员们些建议: 1.养成良好习惯给服务器硬盘分区时候分类明确些在不使用服务器时候将服务器锁定经常更新各种补丁和升级杀毒软件Software 2.设置足够强度密码这是老生常谈了但总有管理员设置弱密码甚至空密码 3.尽量不要把各种软件Software安装在默认路径下 4.在英文水平不是问题情况下尽量安装英文版操作系统 5.切忌在服务器上乱装软件Software或不必要服务 6.牢记:没有永远安全系统经常更新你知识上页 ;1 ;2 ;3 ;4 ;权限权力大小分析 权限是有高低的分有高权限用户可以对低权限用户进行操作但除了Administrators的外其他组用户不能访问 NTFS 卷上其他用户资料除非他们获得了这些用户授权而低权限用户无法对高权限用户进行任何操作 我们平常使用计算机过程当中不会感觉到有权限在阻挠你去做某件事情这是我们在使用计算机时候都用是Administrators中用户登陆这样有利也有弊利当然是你能去做你想做任何件事情而不会遇到权限限制 弊就是以 Administrators 组成员身份运行计算机将使系统容易受到特洛伊木马、病毒及其他安全风险威胁访问 Internet 站点或打开电子邮件附件简单行动都可能破坏系统 不熟悉 Internet 站点或电子邮件附件可能有特洛伊木马代码这些代码可以下载到系统并被执行如果以本地计算机管理员身份登录特洛伊木马可能使用管理访问权重新格式化您硬盘造成不可估量损失所以在没有必要情况下最好不用Administrators中用户登陆Administrators中有个在系统安装时就创建默认用户----AdministratorAdministrator帐户具有对服务器完全控制权限并可以根据需要向用户指派用户权利和访问控制权限 因此强烈建议将此帐户设置为使用强密码永远也不可以从Administrators 组删除 Administrator帐户但可以重命名或禁用该帐户由于大家都知道“管理员”存在于许多版本Windows上所以重命名或禁用此帐户将使恶意用户尝试并访问该帐户变得更为困难 对于个好服务器管理员来说他们通常都会重命名或禁用此帐户Guests用户组下也有个默认用户----Guest,但是在默认情况下它是被禁用如果没有特别必要无须启用此账户 何谓强密码?就是字母和数字、大小互相组合大于8位复杂密码但这也不完全防得住众多黑客只是定程度上较为难破解 我们可以通过“控制面板”--“管理工具”--“计算机管理”--“用户和用户组”来查看用户组及该组下用户 我们用鼠标右键单击个NTFS卷或NTFS卷下个目录选择“属性”--“安全”就可以对个卷或者个卷下面目录进行权限设置此时我们会看到以下 7种权限:完全控制、修改、读取和运行、列出文件夹目录、读取、写入、和特别权限 “完全控制”就是对此卷或目录拥有不受限制完全访问地位就像Administrators在所有组中地位样选中了“完全控制”下面 5项属性将被自动被选中 “修改”则像Power users选中了“修改”下面 4项属性将被自动被选中下面任何项没有被选中时“修改”条件将不再成立“读取和运行”就是允许读取和运行在这个卷或目录下任何文件“列出文件夹目录”和“读取”是“读取和运行”必要条件 “列出文件夹目录”是指只能浏览该卷或目录下子目录不能读取也不能运行“读取”是能够读取该卷或目录下数据“写入”就是能往该卷或目录下写入数据而“特别”则是对以上 6种权限进行了细分读者可以自行对“特别”进行更深研究鄙人在此就不过多赘述了台简单服务器设置例子操作: 下面我们对台刚刚安装好操作系统和服务软件SoftwareWEB服务器系统和其权限进行全面刨析服务器采用Windows 2000 Server版安装好了SP4及各种补丁 WEB服务软件Software则是用了Windows 2000自带IIS 5.0删除了切不必要映射整个硬盘分为 4个NTFS卷C盘为系统卷只安装了系统和驱动;D盘为软件Software卷该服务器上所有安装软件Software都在D盘中;E盘是WEB卷网站WebSite都在该卷下WWW目录中;F盘是网站WebSite数据卷网站WebSite系统所有数据都存放在该卷WWWDATABASE目录下 这样分类还算是比较符合台安全服务器标准了希望各个新手管理员能合理给你服务器数据进行分类这样不光是查找起来方便更重要是这样大大增强了服务器安全性我们可以根据需要给每个卷或者每个目录都设置区别权限旦发生了网络安全事故也可以把损失降到最低 当然也可以把网站WebSite数据分布在区别服务器上使的成为个服务器群每个服务器都拥有区别用户名和密码并提供区别服务这样做安全性更高 该服务器数据库为MS-SQLMS-SQL服务软件SoftwareSQL2000安装在d:\ms-sqlserver2K目录下给SA账户设置好了足够强度密码安装好了SP3补丁为了方便网页制作员对网页进行管理该网站WebSite还开通了FTP服务FTP服务软件Software使用是SERV-U 5.1.0.0安装在d:\ftpservice\serv-u目录下杀毒软件Software和防火墙用分别是Norton Antivirus和BlackICE,路径分别为d:\nortonAV和d:\firewall\blackice,病毒库已经升级到最新防火墙规则库定义只有80端口和21端口对外开放网站WebSite内容是采用动网7.0论坛,网站WebSite在e:\www\bbs下 细心读者可能已经注意到了安装这些服务软件Software路径我都没有采用默认路径或者是仅仅更改盘符默认路径这也是安全上需要个黑客如果通过某些途径进入了你服务器但并没有获得管理员权限他首先做事情将是查看你开放了哪些服务以及安装了哪些软件Software他需要通过这些来提升他权限 个难以猜解路径加上好权限设置将把他阻挡在外相信经过这样配置WEB服务器已经足够抵挡大部分学艺不精黑客了读者可能又会问了:“这根本没用到权限设置嘛!我把其他都安全工作都做好了权限设置还有必要吗?”当然有!智者千虑还必有失呢就算你现在已经把系统安全做完美无缺你也要知道新安全漏洞总是在被不断发现 上页 ;1 ;2 ;3 ;4 ;下页2009-3-12 19:12:33疯狂代码 /。

NTFS权限详解NTFS权限是作为⼀个Windows管理员必备的知识，许多经验丰富的管理员都能够很熟悉地对⽂件、⽂件夹、注册表项等进⾏安全性的权限设置，包括完全控制、修改、只读等。

⽽谈论NTFS权限这个话题也算是⽼⽣常谈了，但是对于⼀些“新⼿”，还是会有⼀些不是⾮常清楚的地⽅，本⽂就针对NTFS权限的重点要素进⾏探讨，以给⼤家对于NTFS权限的内容有⼀个初步的了解。

⼀、⽤户和组权限设置必然涉及的三要素为访问者、权限、被访问的对象，那么我们⾸先来看⼀下“访问者”这⼀要素。

“访问者”其实就是我们常说的“⽤户和组”，⽤户是授予权限的最⼩单位，⽽组则可以看作是⽤户的集合，在Windows系统中，⽤户与组都是使⽤SID作为其唯⼀标识符，应⽤到NTFS权限上也是如此，实际上也是对这些SID进⾏权限的授予。

那么在这⾥我们先来了解⼀下在⼯作组环境中的Windows系统内置的⼀些具备特殊功能作⽤的⽤户和组⼆、 NTFS权限NTFS权限是基于NTFS分区实现的，通过对⽤户或组授予NTFS权限可以有效地控制⽤户对⽂件和⽬录的访问。

对于NTFS磁盘分区上的每⼀个⽂件和⽂件夹，NTFS都存储了⼀个访问控制列表（ACL，Access Control Lists）。

ACL中包含有那些被授权访问该⽂件或者⽂件夹的所有⽤户账号、组和计算机，还包含他们被授予的访问类型。

为了让⼀个⽤户访问某个⽂件或⽂件夹，针对相应的⽤户账号、组，或者该⽤户所属的计算机，ACL中必须包含⼀个对应的⼊⼝，这样的⼊⼝叫做访问控制⼊⼝（ACE，Access Control Entries）。

为了让⽤户能够访问⽂件或者⽂件夹，访问控制⼊⼝必须具有⽤户所请求的访问类型。

如果ACL没有相应的ACE存在，Windows系统就拒绝该⽤户访问相应资源。

NTFS权限分为标准NTFS权限和特殊NTFS权限两⼤类。

标准NTFS权限可以说是特殊NTFS权限的特定组合。

特殊NTFS权限包含了在各种情况下对资源的访问权限，其组合限制了⽤户访问资源的所有⾏为。

查看文章Windows XP权限设置详解2008-12-19 12:25Windows XP权限设置详解什么是XP权限设置，很多的朋友都不是很清楚。

这里收集了一些Windows XP权限设置的教程，应该是比较全的。

以后大家用起Windows XP来应该会方便很多哦！作为微软第一个稳定且安全的作系统，Windows XP经过几年的磨合过渡期，终于以超过Windows系列作系统50%的用户占有量成为目前用户使用最多的作系统。

在慢慢熟悉了Windows XP后，兄弟们学学一些较深入且实用的知识，以便能让系统充分发挥出Windows XP的高级性能。

因此本文以Windows XP Professional版本为平台，引领兄弟们感受一下Windows XP在“权限”方面的设计魅力！一、什么是权限Windows XP提供了非常细致的权限控制项，能够精确定制用户对资源的访问控制能力，大多数的权限从其名称上就可以基本了解其所能实现的内容。

“权限”(Permission)是针对资源而言的。

也就是说，设置权限只能是以资源为对象，即“设置某个文件夹有哪些用户可以拥有相应的权限”，而不能是以用户为主，即“设置某个用户可以对哪些资源拥有权限”。

这就意味着“权限”必须针对“资源”而言，脱离了资源去谈权限毫无意义──在提到权限的具体实施时，“某个资源”是必须存在的。

利用权限可以控制资源被访问的方式，如User组的成员对某个资源拥有“读取”作权限、Administrators组成员拥有“读取+写入+删除”作权限等。

值得一提的是，有一些Windows用户往往会将“权力”与“权限”两个非常相似的概念搞混淆，这里做一下简单解释：“权力”(Right)主要是针对用户而言的。

“权力”通常包含“登录权力”(Logon Right)和“特权”(Privilege)两种。

登录权力决定了用户如何登录到计算机，如是否采用本地交互式登录、是否为网络登录等。