administrators、 Power User、users、guest权限区别

下面是对windows系统中的几个常用的用户类型进行简单的描述：

Users组

“Users”组是最安全的组，因为分配给该组的默认权限不允许成员修改操作系统的设置或其他用户资料。在全新安装（非升级安装）的系统的NTFS格式的卷上，默认的安全设置被设计为禁止该组的成员危及操作系统的完整性及安装程序。用户不能修改系统注册表设置，操作系统文件或程序文件。用户可以关闭工作站，但不能关闭服务器。Users可以创建本地组，但只能修改自己创建的本地组。他们可以运行经认证的Windows 2000或Windows XP Professional程序，这些程序由管理员安装或部署。用户对自己的数据文件(%userprofile%)和注册表中有关自己的部分(HKEY_CURRENT_USER)具有完全控制权。然而，用户级别权限通常不允许用户成功地运行旧版应用程序。仅保证Users组的成员可运行经认证的Windows应用程序。

要保证Win 2000或Win XP系统的安全，管理员应该：

确保最终用户只属于Users组。

部署Users组的成员可以成功运行的程序，如经认证的Windows2000或Windows XP Professional程序。

Administrators组

管理员组成员可以完成：

Ø安装操作系统和组件（例如硬件驱动程序、系统服务等等）。

Ø安装Service Packs和Windows Packs。

Ø升级操作系统。

Ø修复操作系统。

Ø配置关键操作系统参数（例如密码策略、访问控制、审核策略、内核模式驱动程序配置等等）。

Ø获取已经不能访问的文件的所有权。

Ø管理安全和审核xx。

Ø备份和还原系统。

在实际应用中，通常必须使用Administrator帐户来安装和运行为Windows2000以前版本编写的应用程序。

Power User组

Power Users组主要为运行未经认证的应用程序而提供向后兼容性。分配给该组的默认权限允许该组的成员修改计算机的大部分设置。若必须支持未经验证的应用程序，则最终用户需要成为Power Users组的成员。

Power Users组的成员拥有的权限比Users组的成员多，但

比Administrators组的成员少。超级用户可以执行除了为管理员组保留的任务外的其他任何操作系统任务。Power Users可以完成：

Ø除了Windows 2000或Windows XP Professional认证的应用程序外，还可以运行一些旧版应用程序。

Ø安装不修改操作系统文件并且不需要安装系统服务的应用程序。

Ø自定义系统资源，包括打印机、日期/时间、电源选项和其他控制面板资源。

Ø创建和管理本地用户帐户和组。

Ø启动或停止默认情况下不启动的服务。

Power Users不具有将自己添加到Administrators组的权限。PowerUsers不能访问NTFS卷上的其它用户资料，除非他们获得了这些用户的授权。

Backup Operators组

Backup Operators组的成员可以备份和还原计算机上的文件，而不管保护这些文件的权限如何。他们还可以登录到计算机和关闭计算机，但不能更改安全性设置。备份和还原数据文件和系统文件都需要对这些文件的读写权限。在默认情况下，赋予备份操作员的备份和还原文件权限也可能被用于其他目的，例如读取其他用户的文件或者安装特洛伊木马程序。组策略设置可用于创建仅由Backup Operators运行备份程序的环境。

一个特殊的账号：

guest，guest账号同样也是Windows 2000/XP系统内建的用户，和users （受限用户）组中的账号拥有同样的访问能力，但是受到的限制更多。