Windows7用戶組和權(quán)限

1、 第三章第三章 Windows7Windows7用戶組用戶組和權(quán)限和權(quán)限本章要求 了解系統(tǒng)內(nèi)置用戶 了解系統(tǒng)內(nèi)置組的功能 熟練配置組和用戶 熟練配置NTFS權(quán)限 了解所有者本章內(nèi)容 3.1 內(nèi)置用戶與組 3.2 創(chuàng)建用戶與組 3.3 NTFS權(quán)限3.1.1內(nèi)置的本地賬戶每一臺Windows計算機都有一個本地安全賬戶管理器（SAM），用戶在使用計算機前都必須登錄該計算機，也就是要提供有效的用戶名與密碼。而這個用戶賬戶就是創(chuàng)建在SAM內(nèi)，這個賬戶被稱為本地用戶賬戶；同理，創(chuàng)建在SAM內(nèi)的組被稱為本地組賬戶。3.1.2內(nèi)置的本地賬戶Windows 7 內(nèi)置了兩個用戶賬號（built-in accou

2、nt)Administrator(系統(tǒng)管理員）Administrator擁有最高的權(quán)限，用戶可以用它來管理計算機，例如創(chuàng)建、更改、刪除用戶與組賬戶，設置安全原則、添加打印機、設置用戶權(quán)限等。此賬戶無法刪除，不過為 了更安全起見，建議將其改名。Guest(來賓）Guest是提供沒有賬戶的用戶臨時使用的，他只有有限的權(quán)限。您可以更改其名稱，但無法將其刪除。此賬戶默認是禁用的（disabled).3.1.3內(nèi)置的本地組賬戶系統(tǒng)內(nèi)置了許多本地組，這些組本身都已經(jīng)被賦予一些權(quán)限（permissions),它們具有管理本地計算機或訪問本地資源的權(quán)限。只要用戶賬戶加入到這些本地組內(nèi)，這回用戶賬戶也將具備該組

3、所擁有的權(quán)限。以下列出幾個較常用的本地組:Administrators此組內(nèi)的用戶具備系統(tǒng)管理員的權(quán)限，他們擁有對這臺計算機最大的控制權(quán)，可以執(zhí)行整臺計算機的管理功能。內(nèi)置的系統(tǒng)管理賬戶Administrators就是屬于此組Backup Operators此組內(nèi)的用戶可以通過Windows Sserver Backup 工具來備份或還原計算機內(nèi)的文件，不論它們是否有權(quán)限訪問這些文件。3.1.4內(nèi)置的本地組賬戶Guests此組內(nèi)的用戶無法永久改變其桌面的工作環(huán)境，當他們登入是，系統(tǒng)會為其創(chuàng)建一個臨時的用戶配置文件（參見第9章），而注銷時此配置文件就會刪除。此組默認成員為用戶賬戶Guest。Ne

4、twork Configuration Operators此組內(nèi)的用戶可以執(zhí)行一般的網(wǎng)絡配置功能，例如更改ip地址；但是不可以安裝、卸載驅(qū)動程序與服務，也不可以執(zhí)行與網(wǎng)絡服務器配置有關(guān)的功能，例如DNS服務器和DHCP服務器的配置Performance Monitor Users這個組內(nèi)的用戶具備從泵的和遠程訪問計算機的功能。3.1.5內(nèi)置的本地組賬戶Power Users為了簡化組，這個在舊版Windows系統(tǒng)存在的組即將被淘汰。Windows Server 2008 雖然還保留著這個組，不過并沒有像舊版Windows系統(tǒng)一樣被賦予較多的特殊權(quán)限，也就是它權(quán)限沒有比一般用戶大。Renmote

5、 Desktop Users此組內(nèi)的用戶可以從遠程計算機使用終端服務登錄。Users此組內(nèi)的用戶只擁有一些基本權(quán)限，例如運行應用程序、使用本地與網(wǎng)絡打印機、鎖定計算機等，但是他們不能將文件夾共享給網(wǎng)絡上其他的用戶、不能將計算機關(guān)機等。添加的所有本地用戶賬戶自動屬于此組。3.1.6 特殊組賬戶除了前面介紹的組之外，Windows Server 2008 內(nèi)還有一些特殊組，而且無法更改這些組的成員。以下列出幾個較常見到的特殊組：Everyone任何一位用戶都屬于這個組。若Guest賬戶被啟用，則委派權(quán)限個Everyone時需小心，因為若一個在計算機內(nèi)沒有賬戶的用戶，通過網(wǎng)絡來登錄該計算機，他會被自

6、動允許使用Guest賬戶來連接。此時因為Guest也屬于Everyone組，所以他將具有Everyone所擁有的權(quán)限Authenticated Users任何使用有效用戶帳戶來登錄此計算機的用戶，都屬于這個組。Interactive任何在本地登錄（按Ctrl+Alt+Del)的用戶，都屬 于這個組。3.1.7 特殊組賬戶Network任何通過網(wǎng)絡來登錄此計算機的用戶，都屬于這個組。Anonymous Logon任何未使用有效的一般用戶帳戶來登錄的用戶，都屬于這個組。不過Anonymous Logon默認并不屬于Everyone組。Dialup任何使用撥號方式來聯(lián)機的用戶，都是屬于此組。3.2.

7、1 創(chuàng)建本地用戶賬戶開始管理工具計算機管理本地用戶和組3.2.3 創(chuàng)建本地組賬戶開始管理工具計算機管理本地用戶和組3.3.1 NTFS磁盤安全與管理 NTFS權(quán)限的種類 讀取 寫入 讀取和執(zhí)行 修改 完全控制注：除了寫入權(quán)限以外，用戶至少還需要讀取權(quán)限才可修改文件內(nèi)容3.3.2 NTFS權(quán)限的種類讀?。≧ead）它可以查看文件夾內(nèi)的文件名與子文件夾名、查看文件夾屬性和權(quán)限等。寫入（Write）它可以在文件夾內(nèi)新建文件與子文件夾、修改文件夾屬性等。列出文件夾目錄（List Folder Contents）它除了擁有讀取的權(quán)限之外，還具備遍歷文件夾（traverse folder）權(quán)限，也將是可以

8、打開或關(guān)閉此文件夾讀取和執(zhí)行（Read&Execute）它擁有與列出文件夾目錄幾乎完全相同的權(quán)限，只有在權(quán)限繼承方面有所不同：列出文件夾夾目錄權(quán)限 只會被文件夾繼承，而讀取和執(zhí)行回同時被文 件夾與文件繼承。3.3.3 NTFS權(quán)限的種類修改（Modify）它除了擁有前面的所有權(quán)限外，還可以刪除子文件夾。完全控制（Full Control）它擁有所有的NTFS文件夾權(quán)限，也將是除了擁有上述的所有權(quán)限之外，還擁有更改權(quán)限與取得所有權(quán)的特殊權(quán)限3.3.4 NTFS權(quán)限的設置目標文件夾屬性安全編輯3.3.5 NTFS權(quán)限的高級設置目標文件夾屬性安全高級編輯3.3.6 NTFS權(quán)限的注意事項 N

9、TFS權(quán)限是可以被繼承的 NTFS權(quán)限是有累加性的 拒絕權(quán)限優(yōu)先級較高 即使用戶對此文件夾或文件沒有刪除的權(quán)限，但是只要對父文件夾具有刪除子文件夾及文件的權(quán)限，還是可以將此文件刪除3.3.7 文件與文件夾的所有權(quán) NTFS磁盤內(nèi)的每一個文件與文件夾都有所有者（owner），默認是創(chuàng)建文件或文件夾的用戶，就是該文件或文件夾的所有者。 所有者可以更改其所擁有的文件或文件夾的權(quán)限，無論其當前是否有權(quán)限訪問此文件或文件夾。3.3.8 文件與文件夾的所有權(quán)用戶可以獲取文件或文件夾的所有權(quán)，使其成為新所有者。然而用戶必須具備以下的條件之一，才可以獲取所有權(quán)： 具備取得文件或其他對象的所有權(quán)全鄉(xiāng)的用戶，系統(tǒng)默認是賦予 administrator組這個權(quán)限。 對該文件或文件夾具有取得所有權(quán)的特殊權(quán)限。 具備還原文件和路率權(quán)限的用戶。任何用戶只要具有取得文件或其他對象的所有權(quán)的權(quán)限，就可以通過其他用戶或組來將所有權(quán)移交給其他用戶和組3.3.9 修改所有者目標文件夾屬性安全高級所有者編輯3.3