Windows

Windows权限

Posted by Wh0ami-hy on November 14, 2021

1. Windows下的权限划分

windows中,权限指的是不同账户对文件,文件夹,注册表等的访问能力。在windows中,为不同的账户设置权限很重要,可以防止重要文件被其他人所修改,使系统崩溃

” 权限”(Permission)是针对资源而言的。也就是说,设置权限只能是以资源为对象,即”设置某个文件夹有哪些用户可以拥有相应的权限”,而不能是以用户为主,即”设置某个用户可以对哪些资源拥有权限”。这就意味着”权限”必须针对”资源”而言,脱离了资源去谈权限毫无意义──在提到权限的具体实施时,”某个资源”是必须存在的。

1.1. 普通权限

默认,系统给用户分了7个组

  • 管理员组 Administrator
administators 组内的用户,都具备系统管理员的权限,它们拥有对这台计算机最大的控制权限,可以执行整台计算机的管理任务。内置的系统管理员账号 Administrator 就是本地组的成员,而且无法将它从该组删除。如果这台计算机已加入域,则域的Domain Admins 会自动地加入到该计算机的Administrators组内。也就是说,域上的系统管理员在这台计算机上也具备着系统管理员的权限
  • 高级用户组 Power Users
Power Users 组内的用户具备比Users组更多的权利,但是比Administrators组拥有的权利更少一些,例如,可以:创建、删除、更改本地用户帐户;创建、删除、管理本地计算机内的共享文件夹与共享打印机;自定义系统设置,例如更改计算机时间、关闭计算机等。但是不可以更改Administrators,无法夺取文件的所有权、无法备份与还原文件、无法安装删除与删除设备驱动程序、无法管理安全与审核日志
  • 普通用户组 Users
Users 组内的成员只拥有一些基本的权利,例如运行应用程序,但是他们不能修改操作系统的设置、不能更改其它用户的数据、不能关闭服务器级的计算机。所有添加的本地用户帐户者自动属于Users组。如果这台计算机已经加入域,则域的Domain Users会自动地被加入到该计算机的Users组中
  • 备份操作组 Backup Operators
Backup Operators 加入改组的成员可以备份和还原服务器上的所有文件,而且不这些文件是否设置有权限
  • 文件复制组 Replicator
  • 来宾用户组 Guest
Guests 组是提供给没有用户帐户但是需要访问本地计算机内资源的用户使用,该组的成员无法永久地改变其桌面的工作环境。该组最常见的默认成员为用户帐号Guest
  • 身份验证用户组 Ahthenticated users
Ahthenticated users 组经过ms验证程序登录的用户都属于该组

1.2. 特殊权限

除了默认的7个用户组,系统中还存在一些特殊权限成员,这些成员是为了特殊用途而设置,这些特殊成员不被任何内置用户组吸纳,属于完全独立出来的账户

  • SYSTEM 系统
真正拥有“完全访问权”的只有一个成员 SYSTEM。这个成员是系统产生的,真正拥有整台计算机管理权限的账户,一般的操作是无法获取与它等价的权限的
  • Trustedinstaller 信任程序模块
  • Everyone 任何人
 “任何人”权限与普通用户组权限差不多,它的存在是为了让用户能访问被标记为“公有”的文件,这也是一些程序正常运行需要的访问权限——任何人都能正常访问被赋予“Everyone”权限的文件,包括来宾组成员。
  • CREATOR OWNER 创建者

被标记为 创建者 权限的文件只有建立文件的那个用户才能访问,做到了一定程度的隐私保护。但是所有的文件访问权限均可以被管理员组用户和SYSTEM成员忽略,除非用户使用了NTFS加密。

无论是普通权限还是特殊权限,它们都可以“叠加”使用,“叠加”就是指多个权限共同使用,例如一个账户原本属于Users组,而后我们把他加入Administrators组,再加入Trustedinstaller等权限提升,那么现在这个账户便同时拥有两个或多个权限身份,而不是用管理员权限去覆盖原来身份。权限叠加并不是没有意义的,在一些需要特定身份访问的场合,用户只有为自己设置了指定的身份才能访问,这个时候“叠加”的使用就能减轻一部分劳动量了

2. 创建用户并分配用户组

打开 计算机管理->本地用户和组->用户,创建用户

打开 计算机管理->本地用户和组->组,将新建的用户加入某个组

3. 管理组成员删除文件还要administrators的权限

情况

当前登录的用户隶属于Administrators组,但进行操作时还是没有管理员的权限的,一些程序还得通过“以管理员身份运行”才能解决,这个和Administrator不是隶属于同一组吗

解决

1、打开计算机管理中的用户和组管理,找到用户administrator,把账户已禁用对勾去掉

2、通过组策略编辑器(仅适用于专业版或企业版):

  • 按 Win + R,输入 gpedit.msc 并按回车。
  • 导航到 计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 安全选项
  • 找到“用户帐户控制:以管理员批准模式运行所有管理员”,将其设置为“已禁用”。

原理

这是因为从 Windows Vista 开始引入了用户帐户控制(User Account Control, UAC)机制,该机制旨在提高系统的安全性。UAC 通过将用户的权限分为标准用户权限和管理员权限来运行程序。即使用户属于 Administrators 组,程序默认也会以标准用户权限运行,除非明确要求以管理员身份运行

CATALOG
    FEATURED TAGS
    Java Python Windows MySQL MyBatis Spring 系统设计 Web C Maven Vue IDE 前端三大件 Docker SpringBoot SpringMVC Redis Linux 消息队列 GitHub 计算机网络 计算机基础 Nginx 业务场景 Node JavaWeb Quasar Google GitLab 架构 React
    FRIENDS
    本站总访问量