美女视频诱惑网站,3d美女视频,胸动漫美女视频

一、什么是權(quán)限

Windows XP提供了非常細(xì)致的權(quán)限控制項(xiàng)，能夠精確定制用戶對(duì)資源的訪問(wèn)控制能力，大多數(shù)的權(quán)限從其名稱上就可以基本了解其所能實(shí)現(xiàn)的內(nèi)容。
"權(quán)限"(Permission)是針對(duì)資源而言的。也就是說(shuō)，設(shè)置權(quán)限只能是以資源為對(duì)象，即"設(shè)置某個(gè)文件夾有哪些用戶可以擁有相應(yīng)的權(quán)限"，而不能是以用戶為主，即"設(shè)置某個(gè)用戶可以對(duì)哪些資源擁有權(quán)限"。這就意味著"權(quán)限"必須針對(duì)"資源"而言，脫離了資源去談權(quán)限毫無(wú)意義──在提到權(quán)限的具體實(shí)施時(shí)，"某個(gè)資源"是必須存在的。
利用權(quán)限可以控制資源被訪問(wèn)的方式，如User組的成員對(duì)某個(gè)資源擁有"讀取"操作權(quán)限、Administrators組成員擁有"讀取+寫入+刪除"操作權(quán)限等。
值得一提的是，有一些Windows用戶往往會(huì)將"權(quán)力"與"權(quán)限"兩個(gè)非常相似的概念搞混淆，這里做一下簡(jiǎn)單解釋："權(quán)力"(Right)主要是針對(duì)用戶而言的。"權(quán)力"通常包含"登錄權(quán)力" (Logon Right)和"特權(quán)"(Privilege)兩種。登錄權(quán)力決定了用戶如何登錄到計(jì)算機(jī)，如是否采用本地交互式登錄、是否為網(wǎng)絡(luò)登錄等。特權(quán)則是一系列權(quán)力的總稱，這些權(quán)力主要用于幫助用戶對(duì)系統(tǒng)進(jìn)行管理，如是否允許用戶安裝或加載驅(qū)動(dòng)程序等。顯然，權(quán)力與權(quán)限有本質(zhì)上的區(qū)別。

二、安全標(biāo)識(shí)符、訪問(wèn)控制列表、安全主體

說(shuō)到Windows XP的權(quán)限，就不能不說(shuō)說(shuō)"安全標(biāo)識(shí)符"(Security Identifier, SID)、"訪問(wèn)控制列表"(Access Control List，ACL)和安全主體(Security Principal)這三個(gè)與其息息相關(guān)的設(shè)計(jì)了。

1.安全標(biāo)識(shí)符

在Windows XP中，系統(tǒng)是通過(guò)SID對(duì)用戶進(jìn)行識(shí)別的，而不是很多用戶認(rèn)為的"用戶名稱"。SID可以應(yīng)用于系統(tǒng)內(nèi)的所有用戶、組、服務(wù)或計(jì)算機(jī)，因?yàn)镾ID是一個(gè)具有惟一性、絕對(duì)不會(huì)重復(fù)產(chǎn)生的數(shù)值，所以，在刪除了一個(gè)賬戶(如名為"A"的賬戶)后，再次創(chuàng)建這個(gè)"A"賬戶時(shí)，前一個(gè)A與后一個(gè)A賬戶的SID是不相同的。這種設(shè)計(jì)使得賬戶的權(quán)限得到了最基礎(chǔ)的保護(hù)，盜用權(quán)限的情況也就徹底杜絕了。

查看用戶、組、服務(wù)或計(jì)算機(jī)的SID值，可以使用"Whoami"工具來(lái)執(zhí)行，該工具包含在Windows XP安裝光盤的"Support\Tools"目錄中，雙擊執(zhí)行該目錄下的"Setup"文件后，將會(huì)有包括Whoami工具在內(nèi)的一系列命令行工具拷貝到"X:\Program Files\Support Tools"目錄中。此后在任意一個(gè)命令提示符窗口中都可以執(zhí)行"Whoami /all"命令來(lái)查看當(dāng)前用戶的全部信息。

2.訪問(wèn)控制列表(ACL)

訪問(wèn)控制列表是權(quán)限的核心技術(shù)。顧名思義，這是一個(gè)權(quán)限列表，用于定義特定用戶對(duì)某個(gè)資源的訪問(wèn)權(quán)限，實(shí)際上這就是Windows XP對(duì)資源進(jìn)行保護(hù)時(shí)所使用的一個(gè)標(biāo)準(zhǔn)。

在訪問(wèn)控制列表中，每一個(gè)用戶或用戶組都對(duì)應(yīng)一組訪問(wèn)控制項(xiàng)(Access Control Entry, ACE)，這一點(diǎn)只需在"組或用戶名稱"列表中選擇不同的用戶或組時(shí)，通過(guò)下方的權(quán)限列表設(shè)置項(xiàng)是不同的這一點(diǎn)就可以看出來(lái)。顯然，所有用戶或用戶組的權(quán)限訪問(wèn)設(shè)置都將會(huì)在這里被存儲(chǔ)下來(lái)，并允許隨時(shí)被有權(quán)限進(jìn)行修改的用戶進(jìn)行調(diào)整，如取消某個(gè)用戶對(duì)某個(gè)資源的"寫入"權(quán)限。

3.安全主體(Security Principal)
在Windows XP中，可以將用戶、用戶組、計(jì)算機(jī)或服務(wù)都看成是一個(gè)安全主體，每個(gè)安全主體都擁有相對(duì)應(yīng)的賬戶名稱和SID。根據(jù)系統(tǒng)架構(gòu)的不同，賬戶的管理方式也有所不同──本地賬戶被本地的SAM管理；域的賬戶則會(huì)被活動(dòng)目錄進(jìn)行管理......

一般來(lái)說(shuō)，權(quán)限的指派過(guò)程實(shí)際上就是為某個(gè)資源指定安全主體(即用戶、用戶組等)可以擁有怎樣的操作過(guò)程。因?yàn)橛脩艚M包括多個(gè)用戶，所以大多數(shù)情況下，為資源指派權(quán)限時(shí)建議使用用戶組來(lái)完成，這樣可以非常方便地完成統(tǒng)一管理。

三、權(quán)限的四項(xiàng)基本原則

在Windows XP中，針對(duì)權(quán)限的管理有四項(xiàng)基本原則，即：拒絕優(yōu)于允許原則、權(quán)限最小化原則、累加原則和權(quán)限繼承性原則。這四項(xiàng)基本原則
對(duì)于權(quán)限的設(shè)置來(lái)說(shuō)，將會(huì)起到非常重要的作用，下面就來(lái)了解一下：

1.拒絕優(yōu)于允許原則

"拒絕優(yōu)于允許"原則是一條非常重要且基礎(chǔ)性的原則，它可以非常完美地處理好因用戶在用戶組的歸屬方面引起的權(quán)限"糾紛"，例如，"shyzhong"這個(gè)用戶既屬于"shyzhongs"用戶組，也屬于"xhxs"用戶組，當(dāng)我們對(duì)"xhxs"組中某個(gè)資源進(jìn)行"寫入"權(quán)限的集中分配(即針對(duì)用戶組進(jìn)行)時(shí)，這個(gè)時(shí)候該組中 "shyzhong"賬戶將自動(dòng)擁有"寫入"的權(quán)限。

但令人奇怪的是，"shyzhong"賬戶明明擁有對(duì)這個(gè)資源的"寫入"權(quán)限，為什么實(shí)際操作中卻無(wú)法執(zhí)行呢？原來(lái)，在"shyzhongs"組中同樣也對(duì)"shyzhong"用戶進(jìn)行了針對(duì)這個(gè)資源的權(quán)限設(shè)置，但設(shè)置的權(quán)限是"拒絕寫入"?；?拒絕優(yōu)于允許"的原則，"shyzhong"在"shyzhongs"組中被 "拒絕寫入"的權(quán)限將優(yōu)先"xhxs"組中被賦予的允許"寫入"權(quán)限被執(zhí)行。因此，在實(shí)際操作中，"shyzhong"用戶無(wú)法對(duì)這個(gè)資源進(jìn)行"寫入"操作。

2.權(quán)限最小化原則

Windows XP將"保持用戶最小的權(quán)限"作為一個(gè)基本原則進(jìn)行執(zhí)行，這一點(diǎn)是非常有必要的。這條原則可以確保資源得到最大的安全保障。這條原則可以盡量讓用戶不能訪問(wèn)或不必要訪問(wèn)的資源得到有效的權(quán)限賦予限制。
基于這條原則，在實(shí)際的權(quán)限賦予操作中，我們就必須為資源明確賦予允許或拒絕操作的權(quán)限。例如系統(tǒng)中新建的受限用戶"shyzhong"在默認(rèn)狀態(tài)下對(duì)"DOC"目錄是沒(méi)有任何權(quán)限的，現(xiàn)在需要為這個(gè)用戶賦予對(duì)"DOC"目錄有"讀取"的權(quán)限，那么就必須在"DOC"目錄的權(quán)限列表中為"shyzhong"用戶添加"讀取"權(quán)限。

3.權(quán)限繼承性原則

權(quán)限繼承性原則可以讓資源的權(quán)限設(shè)置變得更加簡(jiǎn)單。假設(shè)現(xiàn)在有個(gè)"DOC"目錄，在這個(gè)目錄中有"DOC01"、"DOC02"、"DOC03"等子目錄，現(xiàn)在需要對(duì)DOC目錄及其下的子目錄均設(shè)置"shyzhong"用戶有"寫入"權(quán)限。因?yàn)橛欣^承性原則，所以只需對(duì)"DOC"目錄設(shè)置"shyzhong"用戶有"寫入"權(quán)限，其下的所有子目錄將自動(dòng)繼承這個(gè)權(quán)限的設(shè)置。

4.累加原則

這個(gè)原則比較好理解，假設(shè)現(xiàn)在"zhong"用戶既屬于"A"用戶組，也屬于"B"用戶組，它在A用戶組的權(quán)限是"讀取"，在"B"用戶組中的權(quán)限是"寫入"，那么根據(jù)累加原則，"zhong"用戶的實(shí)際權(quán)限將會(huì)是"讀取+寫入"兩種。
顯然，"拒絕優(yōu)于允許"原則是用于解決權(quán)限設(shè)置上的沖突問(wèn)題的；"權(quán)限最小化"原則是用于保障資源安全的；"權(quán)限繼承性"原則是用于"自動(dòng)化"執(zhí)行權(quán)限設(shè)置的；而"累加原則"則是讓權(quán)限的設(shè)置更加靈活多變。幾個(gè)原則各有所用，缺少哪一項(xiàng)都會(huì)給權(quán)限的設(shè)置帶來(lái)很多麻煩！

注意：在Windows XP中，"Administrators"組的全部成員都擁有"取得所有者身份"(Take Ownership)的權(quán)力，也就是管理員組的成員可以從其他用戶手中"奪取"其身份的權(quán)力。例如受限用戶"shyzhong"建立了一個(gè)DOC目錄，并只賦予自己擁有讀取權(quán)力，這看似周到的權(quán)限設(shè)置，實(shí)際上，"Administrators"組的全部成員將可以通過(guò)"奪取所有權(quán)"等方法獲得這個(gè)權(quán)限。

四、資源權(quán)限高級(jí)應(yīng)用

以文件與文件夾的權(quán)限為例，依據(jù)是否被共享到網(wǎng)絡(luò)上，其權(quán)限可以分為NTFS權(quán)限與共享權(quán)限兩種，這兩種權(quán)限既可以單獨(dú)使用，也可以相輔使用。兩者之間既能夠相互制約，也可以相互補(bǔ)充。下面來(lái)看看如何進(jìn)行設(shè)置：

1.NTFS權(quán)限

首先我們要知道：只要是存在NTFS磁盤分區(qū)上的文件夾或文件，無(wú)論是否被共享，都具有此權(quán)限。此權(quán)限對(duì)于使用FAT16/FAT32文件系統(tǒng)的文件與文件夾無(wú)效！
NTFS權(quán)限有兩大要素：一是標(biāo)準(zhǔn)訪問(wèn)權(quán)限；二是特別訪問(wèn)權(quán)限。前者將一些常用的系統(tǒng)權(quán)限選項(xiàng)比較籠統(tǒng)地組成6種"套餐型"的權(quán)限，即：完全控制、修改、讀取和運(yùn)行、列出文件夾目錄、讀取、寫入。

在大多數(shù)的情況下，"標(biāo)準(zhǔn)權(quán)限"是可以滿足管理需要的，但對(duì)于權(quán)限管理要求嚴(yán)格的環(huán)境，它往往就不能令管理員們滿意了，如只想賦予某用戶有建立文件夾的權(quán)限，卻沒(méi)有建立文件的權(quán)限；如只能刪除當(dāng)前目錄中的文件，卻不能刪除當(dāng)前目錄中的子目錄的權(quán)限等......這個(gè)時(shí)候，就可以讓擁有所有權(quán)限選項(xiàng)的"特別權(quán)限"來(lái)大顯身手了。也就是說(shuō)，特別權(quán)限不再使用"套餐型"，而是使用可以允許用戶進(jìn)行"菜單型"的細(xì)節(jié)化權(quán)限管理選擇了。

那么如何設(shè)置標(biāo)準(zhǔn)訪問(wèn)權(quán)限呢？以對(duì)一個(gè)在NTFS分區(qū)中的名為"zhiguo"的文件夾進(jìn)行設(shè)置標(biāo)準(zhǔn)訪問(wèn)權(quán)限為例，可以按照如下方法進(jìn)行操作：

因?yàn)镹TFS權(quán)限需要在資源屬性頁(yè)面的"安全"選項(xiàng)卡設(shè)置界面中進(jìn)行，而Windows XP在安裝后默認(rèn)狀態(tài)下是沒(méi)有激活"安全"選項(xiàng)卡設(shè)置功能的，

所以需要首先啟用系統(tǒng)中的"安全"選項(xiàng)卡。方法是：依次點(diǎn)擊"開始"→"設(shè)置"→"控制面板 "，雙擊"文件夾選項(xiàng)"，在"查看"標(biāo)簽頁(yè)設(shè)置界面上的"高級(jí)設(shè)置"選項(xiàng)列表中清除"使用簡(jiǎn)單文件共享(推薦)"選項(xiàng)前的復(fù)選框后點(diǎn)擊"應(yīng)用"按鈕即可。

設(shè)置完畢后就可以右鍵點(diǎn)擊"zhiguo" 文件夾，在彈出的快捷菜單中選擇"共享與安全"，在"zhiguo屬性"窗口中就可以看見"安全"選項(xiàng)卡的存在了。針對(duì)資源進(jìn)行NTFS權(quán)限設(shè)置就是通過(guò)這個(gè)選項(xiàng)卡來(lái)實(shí)現(xiàn)的，此時(shí)應(yīng)首先在"組或用戶名稱"列表中選擇需要賦予權(quán)限的用戶名組(這里選擇"zhong"用戶)，接著在下方的"zhong 的權(quán)限"列表中設(shè)置該用戶可以擁有的權(quán)限即可。

下面簡(jiǎn)單解釋一下六個(gè)權(quán)限選項(xiàng)的含義：

①完全控制(Full Control)：
該權(quán)限允許用戶對(duì)文件夾、子文件夾、文件進(jìn)行全權(quán)控制，如修改資源的權(quán)限、獲取資源的所有者、刪除資源的權(quán)限等，擁有完全控制權(quán)限就等于擁有了其他所有的權(quán)限；

②修改(Modify)：
該權(quán)限允許用戶修改或刪除資源，同時(shí)讓用戶擁有寫入及讀取和運(yùn)行權(quán)限；

③讀取和運(yùn)行(Read & Execute)：
該權(quán)限允許用戶擁有讀取和列出資源目錄的權(quán)限，另外也允許用戶在資源中進(jìn)行移動(dòng)和遍歷，這使得用戶能夠直接訪問(wèn)子文件夾與文件，即使用戶沒(méi)有權(quán)限訪問(wèn)這個(gè)路徑；

④列出文件夾目錄(List Folder Contents)：
該權(quán)限允許用戶查看資源中的子文件夾與文件名稱；

⑤讀取(Read)：
該權(quán)限允許用戶查看該文件夾中的文件以及子文件夾，也允許查看該文件夾的屬性、所有者和擁有的權(quán)限等；

⑥寫入(Write)：
該權(quán)限允許用戶在該文件夾中創(chuàng)建新的文件和子文件夾，也可以改變文件夾的屬性、查看文件夾的所有者和權(quán)限等。
如果在"組或用戶名稱"列表中沒(méi)有所需的用戶或組，那么就需要進(jìn)行相應(yīng)的添加操作了，方法如下：點(diǎn)擊"添加"按鈕后，在出現(xiàn)的"選擇用戶和組"對(duì)話框中，既可以直接在"輸入對(duì)象名稱來(lái)選擇"文本區(qū)域中輸入用戶或組的名稱(使用"計(jì)算機(jī)名\用戶名"這種方式)，也可以點(diǎn)擊"高級(jí)"按鈕，在彈出的對(duì)話框中點(diǎn)擊"立即查找"按鈕讓系統(tǒng)列出當(dāng)前系統(tǒng)中所有的用戶組和用戶名稱列表。此時(shí)再雙擊選擇所需用戶或組將其加入即可。

如果想刪除某個(gè)用戶組或用戶的話，只需在" 組或用戶名稱"列表中選中相應(yīng)的用戶或用戶組后，點(diǎn)擊下方的"刪除"按鈕即可。但實(shí)際上，這種刪除并不能確保被刪除的用戶或用戶組被拒絕訪問(wèn)某個(gè)資源，因此，如果希望拒絕某個(gè)用戶或用戶組訪問(wèn)某個(gè)資源，還要在"組或用戶名稱"列表中選擇相應(yīng)的用戶名用戶組后，為其選中下方的"拒絕"復(fù)選框即可。

那么如何設(shè)置特殊權(quán)限呢？假設(shè)現(xiàn)在需要對(duì)一個(gè)名為"zhiguo"的目錄賦"zhong"用戶對(duì)其具有"讀取"、"建立文件和目錄"的權(quán)限，基于安全考慮，又決定取消該賬戶的"刪除"權(quán)限。此時(shí)，如果使用"標(biāo)準(zhǔn)權(quán)限"的話，將無(wú)法完成要求，而使用特別權(quán)限則可以很輕松地完成設(shè)置。方法如下：

首先，右鍵點(diǎn)擊"zhiguo"目錄，在右鍵快捷菜單中選擇"共享與安全"項(xiàng)，隨后在"安全"選項(xiàng)卡設(shè)置界面中選中"zhong"用戶并點(diǎn)擊下方的"高級(jí)"按鈕，在彈出的對(duì)話框中點(diǎn)擊清空"從父項(xiàng)繼承那些可以應(yīng)用到子對(duì)象的權(quán)限項(xiàng)目，包括那些在此明確定義的項(xiàng)目"項(xiàng)選中狀態(tài)，這樣可以斷開當(dāng)前權(quán)限設(shè)置與父級(jí)權(quán)限設(shè)置之前的繼承關(guān)系。在隨即彈出的" 安全"對(duì)話框中點(diǎn)擊"復(fù)制"或"刪除"按鈕后(點(diǎn)擊"復(fù)制"按鈕可以首先復(fù)制繼承的父級(jí)權(quán)限設(shè)置，然后再斷開繼承關(guān)系)，接著點(diǎn)擊"應(yīng)用"按鈕確認(rèn)設(shè)置，再選中"zhong"用戶并點(diǎn)擊"編輯"按鈕，在彈出的"zhong的權(quán)限項(xiàng)目"對(duì)話框中請(qǐng)首先點(diǎn)擊"全部清除"按鈕，接著在"權(quán)限"列表中選擇"遍歷文件夾/運(yùn)行文件"、"列出文件夾/讀取數(shù)據(jù)"、"讀取屬性"、"創(chuàng)建文件/寫入數(shù)據(jù)"、"創(chuàng)建文件夾/附加數(shù)據(jù)"、"讀取權(quán)限"幾項(xiàng)，最后點(diǎn)擊"確定"按鈕結(jié)束設(shè)置。

在經(jīng)過(guò)上述設(shè)置后，"zhong"用戶在對(duì)"zhiguo"進(jìn)行刪除操作時(shí)，就會(huì)彈出提示框警告操作不能成功的提示了。顯然，相對(duì)于標(biāo)準(zhǔn)訪問(wèn)權(quán)限設(shè)置上的籠統(tǒng)，特別訪問(wèn)權(quán)限則可以實(shí)現(xiàn)更具體、全面、精確的權(quán)限設(shè)置。

為了大家更好地理解特殊權(quán)限列表中的權(quán)限含義，以便做出更精確的權(quán)限設(shè)置，下面簡(jiǎn)單解釋一下其含義：

⑴遍歷文件夾/運(yùn)行文件(Traverse Folder/Execute File)：
該權(quán)限允許用戶在文件夾及其子文件夾之間移動(dòng)(遍歷)，即使這些文件夾本身沒(méi)有訪問(wèn)權(quán)限。
注意：只有當(dāng)在"組策略"中("計(jì)算機(jī)配置 "→"Windows設(shè)置"→"安全設(shè)置"→"本地策略"→"用戶權(quán)利指派")將"跳過(guò)遍歷檢查"項(xiàng)授予了特定的用戶或用戶組，該項(xiàng)權(quán)限才能起作用。默認(rèn)狀態(tài)下，包"Administrators"、"Users"、"Everyone"等在內(nèi)的組都可以使用該權(quán)限。
對(duì)于文件來(lái)說(shuō)，擁了這項(xiàng)權(quán)限后，用戶可以執(zhí)行該程序文件。但是，如果僅為文件夾設(shè)置了這項(xiàng)權(quán)限的話，并不會(huì)讓用戶對(duì)其中的文件帶上"執(zhí)行"的權(quán)限；

⑵列出文件/讀取數(shù)據(jù)(List Folder/Read Data)：
該權(quán)限允許用戶查看文件夾中的文件名稱、子文件夾名稱和查看文件中的數(shù)據(jù)；

⑶讀取屬性(Read Attributes)：
該權(quán)限允許用戶查看文件或文件夾的屬性(如系統(tǒng)、只讀、隱藏等屬性)；

⑷讀取擴(kuò)展屬性(Read Extended Attributes)：
該權(quán)限允許查看文件或文件夾的擴(kuò)展屬性，這些擴(kuò)展屬性通常由程序所定義，并可以被程序修改；

⑸創(chuàng)建文件/寫入屬性(Create Files/Write Data)：
該權(quán)限允許用戶在文件夾中創(chuàng)建新文件，也允許將數(shù)據(jù)寫入現(xiàn)有文件并覆蓋現(xiàn)有文件中的數(shù)據(jù)；

⑹創(chuàng)建文件夾/附加數(shù)據(jù)(Create Folder/Append Data)：
該權(quán)限允許用戶在文件夾中創(chuàng)建新文件夾或允許用戶在現(xiàn)有文件的末尾添加數(shù)據(jù)，但不能對(duì)文件現(xiàn)有的數(shù)據(jù)進(jìn)行覆蓋、修改，也不能刪除數(shù)據(jù)；

⑺寫入屬性(Write Attributes)：
該權(quán)限允許用戶改變文件或文件夾的屬性；

⑻寫入擴(kuò)展屬性(Write Extended Attributes)：
該權(quán)限允許用戶對(duì)文件或文件夾的擴(kuò)展屬性進(jìn)行修改；

⑼刪除子文件夾及文件(Delete Subfolders and Files)：
該權(quán)限允許用戶刪除文件夾中的子文件夾或文件，即使在這些子文件夾和文件上沒(méi)有設(shè)置刪除權(quán)限；

⑽刪除(Delete)：
該權(quán)限允許用戶刪除當(dāng)前文件夾和文件，如果用戶在該文件或文件夾上沒(méi)有刪除權(quán)限，但是在其父級(jí)的文件夾上有刪除子文件及文件夾權(quán)限，那么就仍然可以刪除它；

⑾讀取權(quán)限(Read Permissions)：
該權(quán)限允許用戶讀取文件或文件夾的權(quán)限列表；

⑿更改權(quán)限(Change Permissions)：
該權(quán)限允許用戶改變文件或文件夾上的現(xiàn)有權(quán)限；
⒀取得所有權(quán)(Take Ownership)：
該權(quán)限允許用戶獲取文件或文件夾的所有權(quán)，一旦獲取了所有權(quán)，用戶就可以對(duì)文件或文件夾進(jìn)行全權(quán)控制。

這里需要單獨(dú)說(shuō)明一下"修改"權(quán)限與"寫入 "權(quán)限的區(qū)別：如果僅僅對(duì)一個(gè)文件擁有修改權(quán)限，那么，不僅可以對(duì)該文件數(shù)據(jù)進(jìn)行寫入和附加，而且還可以創(chuàng)建新文件或刪除現(xiàn)有文件。而如果僅僅對(duì)一個(gè)文件擁有寫入權(quán)限，那么既可以對(duì)文件數(shù)據(jù)進(jìn)行寫入和附加，也可以創(chuàng)建新文件，但是不能刪除文件。也就是說(shuō)，有寫入權(quán)限不等于具有刪除權(quán)限，但擁有修改權(quán)限，就等同于擁有刪除和寫入權(quán)限。

2.共享權(quán)限(Shared Permission)

只要是共享出來(lái)的文件夾就一定具有此權(quán)限。如該文件夾存在于NTFS分區(qū)中，那么它將同時(shí)具有NTFS權(quán)限與共享權(quán)限，如果這個(gè)資源同時(shí)擁有NTFS和共享兩種權(quán)限，那么系統(tǒng)中對(duì)權(quán)限的具體實(shí)施將以兩種權(quán)限中的"較嚴(yán)格的權(quán)限"為準(zhǔn)──這也是"拒絕優(yōu)于允許"原則的一種體現(xiàn)！

例如，某個(gè)共享資源的NTFS權(quán)限設(shè)置為完全控制，而共享權(quán)限設(shè)置為讀取，那么遠(yuǎn)程用戶就只能使用"讀取"權(quán)限對(duì)共享資源進(jìn)行訪問(wèn)了。

注意：如果是FAT16/FAT32文件系統(tǒng)中的共享文件夾，那么將只能受到共享權(quán)限的保護(hù)，這樣一來(lái)就容易產(chǎn)生安全性漏洞。這是因?yàn)楣蚕頇?quán)限只能夠限制從網(wǎng)絡(luò)上訪問(wèn)資源的用戶，并無(wú)法限制直接登錄本機(jī)的人，即用戶只要能夠登錄本機(jī)，就可以任意修改、刪除FAT16/FAT32分區(qū)中的數(shù)據(jù)了。因此，從安全角度來(lái)看，我們是不推薦在Windows XP中使用FAT16/FAT32分區(qū)的。

設(shè)置共享權(quán)限很簡(jiǎn)單，在右鍵選中并點(diǎn)擊一個(gè)文件夾后，在右鍵快捷菜單中選擇"共享與安全"項(xiàng)，在彈出的屬性對(duì)話框"共享"選項(xiàng)卡設(shè)置界面中點(diǎn)擊選中"共享該文件夾"項(xiàng)即可，這將使共享資源使用默認(rèn)的權(quán)限設(shè)置(即"Everyone"用戶擁有讀取權(quán)限)。如果想具體設(shè)置共享權(quán)限，那么請(qǐng)點(diǎn)擊"權(quán)限"按鈕，在打開的對(duì)話框中可以看到權(quán)限列表中有"完全控制"、"更改"和"讀取"三項(xiàng)權(quán)限可供選擇。

下面先簡(jiǎn)單介紹一下這三個(gè)權(quán)限的含義：

①完全控制：允許用戶創(chuàng)建、讀取、寫入、重命名、刪除當(dāng)前文件夾中的文件以及子文件夾，另外，也可以修改該文件夾中的NTFS訪問(wèn)權(quán)限和奪取所有權(quán)；

②更改：允許用戶讀取、寫入、重命名和刪除當(dāng)前文件夾中的文件和子文件夾，但不能創(chuàng)建新文件；

③讀?。涸试S用戶讀取當(dāng)前文件夾的文件和子文件夾，但是不能進(jìn)行寫入或刪除操作。

說(shuō)完了權(quán)限的含義，我們就可以點(diǎn)擊"添加"按鈕，將需要設(shè)置權(quán)限的用戶或用戶組添加進(jìn)來(lái)了。在缺省情況下，當(dāng)添加新的組或用戶時(shí)，該組或用戶將具備"讀取"(Read)權(quán)限，我們可以根據(jù)實(shí)際情況在下方的權(quán)限列表中進(jìn)行復(fù)選框的選擇與清空。

接著再來(lái)說(shuō)說(shuō)令很多讀者感到奇怪的"組和用戶名稱"列表中的"Everyone"組的含義。在Windows 2000中，這個(gè)組因?yàn)榘?Anonymous Logon"組，所以它表示"每個(gè)人"的意思。但在Windows XP中，請(qǐng)注意──這個(gè)組因?yàn)橹话?Authenticated Users"和"Guests"兩個(gè)組，而不再包括"Anonymous Logon"組，所以它表示了"可訪問(wèn)計(jì)算機(jī)的所有用戶"，而不再是"每個(gè)人"！請(qǐng)注意這是有區(qū)別的，"可訪問(wèn)計(jì)算機(jī)的所有用戶"意味著必須是通過(guò)認(rèn)證的用戶，而"每個(gè)人"則不必考慮用戶是否通過(guò)了認(rèn)證。從安全方面來(lái)看，這一點(diǎn)是直接導(dǎo)致安全隱患是否存在關(guān)鍵所在！

當(dāng)然，如果想在Windows XP中實(shí)現(xiàn)Windows 2000中那種"Everyone"設(shè)計(jì)機(jī)制，那么可以通過(guò)編輯"本地安全策略"來(lái)實(shí)現(xiàn)，方法是：在"運(yùn)行"欄中輸入"Secpol.msc"命令打開"安全設(shè)置"管理單元，依次展開"安全設(shè)置"→"本地策略"，然后進(jìn)入"安全選項(xiàng)"，雙擊右側(cè)的"網(wǎng)絡(luò)訪問(wèn)：讓‘每個(gè)人‘權(quán)限應(yīng)用于匿名
用戶"項(xiàng)，然后選擇"已啟用"項(xiàng)即可。

注意：在Windows XP Professional中，最多可以同時(shí)有10個(gè)用戶通過(guò)網(wǎng)絡(luò)登錄(指使用認(rèn)證賬戶登錄的用戶，對(duì)于訪問(wèn)由IIS提供的Web服務(wù)的用戶沒(méi)有限制)方式使用某一臺(tái)計(jì)算機(jī)提供的共享資源。

3.資源復(fù)制或移動(dòng)時(shí)權(quán)限的變化與處理

在權(quán)限的應(yīng)用中，不可避免地會(huì)遇到設(shè)置了權(quán)限后的資源需要復(fù)制或移動(dòng)的情況，那么這個(gè)時(shí)候資源相應(yīng)的權(quán)限會(huì)發(fā)生怎樣的變化呢？下面來(lái)了解一下：

(1)復(fù)制資源時(shí)

在復(fù)制資源時(shí)，原資源的權(quán)限不會(huì)發(fā)生變化，而新生成的資源，將繼承其目標(biāo)位置父級(jí)資源的權(quán)限。

(2)移動(dòng)資源時(shí)

在移動(dòng)資源時(shí)，一般會(huì)遇到兩種情況，一是如果資源的移動(dòng)發(fā)生在同一驅(qū)動(dòng)器內(nèi)，那么對(duì)象保留本身原有的權(quán)限不變(包括資源本身權(quán)限及原先從父級(jí)資源中繼承的權(quán)限)；二是如果資源的移動(dòng)發(fā)生在不同的驅(qū)動(dòng)器之間，那么不僅對(duì)象本身的權(quán)限會(huì)丟失，而且原先從父級(jí)資源中繼承的權(quán)限也會(huì)被從目標(biāo)位置的父級(jí)資源繼承的權(quán)限所替代。實(shí)際上，移動(dòng)操作就是首先進(jìn)行資源的復(fù)制，然后從原有位置刪除資源的操作。

(3)非NTFS分區(qū)

上述復(fù)制或移動(dòng)資源時(shí)產(chǎn)生的權(quán)限變化只是針對(duì)NTFS分區(qū)上而言的，如果將資源復(fù)制或移動(dòng)到非NTFS分區(qū)(如FAT16/FAT32分區(qū))上，那么所有的權(quán)限均會(huì)自動(dòng)全部丟失。

4.資源所有權(quán)的高級(jí)管理

有時(shí)我們會(huì)發(fā)現(xiàn)當(dāng)前登錄的用戶無(wú)法對(duì)某個(gè)資源進(jìn)行任何操作，這是什么原因呢？其實(shí)這種常見的現(xiàn)象很有可能是因?yàn)閷?duì)某個(gè)資源進(jìn)行的NTFS權(quán)限設(shè)置得不夠完善導(dǎo)致的──這將會(huì)造成所有人(包括 "Administrator"組成員)都無(wú)法訪問(wèn)資源，例如不小心將"zhiguo"這個(gè)文件夾的所有用戶都刪除了，這將會(huì)導(dǎo)致所有用戶都無(wú)法訪問(wèn)這個(gè)文件夾，此時(shí)很多朋友就會(huì)束手無(wú)策了，其實(shí)通過(guò)使用更改所有權(quán)的方法就可以很輕松地解決這類權(quán)限問(wèn)題了。

首先，我們需要檢查一下資源的所有者是誰(shuí)，如果想查看某個(gè)資源(如sony目錄)的用戶所有權(quán)的話，那么只需使用"dir sony /q"命令就可以了。在反饋信息的第一行就可以看到用戶是誰(shuí)了，例如第一行的信息是"lovebook\zhong"，那么意思就是lovebook這臺(tái)計(jì)算機(jī)中的"zhong"用戶。
如果想在圖形界面中查看所有者是誰(shuí)，那么需要進(jìn)入資源的屬性對(duì)話框，點(diǎn)擊"安全"選項(xiàng)卡設(shè)置界面中的"高級(jí)"按鈕，在彈出的"(用戶名)高級(jí)安全設(shè)置"界面中點(diǎn)擊"所有者"選項(xiàng)卡，從其中的"目前該項(xiàng)目的所有者"列表中就可以看到當(dāng)前資源的所有者是誰(shuí)了。

如果想將所有者更改用戶，那么只需在"將所有者更改為"列表中選擇目標(biāo)用戶名后，點(diǎn)擊"確定"按鈕即可。此外，也可以直接在"安全"選項(xiàng)卡設(shè)置界面中點(diǎn)擊"添加"按鈕添加一個(gè)用戶并賦予相應(yīng)的權(quán)限后，讓這個(gè)用戶來(lái)獲得當(dāng)前文件夾的所有權(quán)。

注意：查看所有者究竟對(duì)資源擁有什么樣的權(quán)限，可點(diǎn)擊進(jìn)入"有效權(quán)限"選項(xiàng)卡設(shè)置界面，從中點(diǎn)擊"選擇"按鈕添加當(dāng)前資源的所有者后，就可以從下方的列表中權(quán)限選項(xiàng)的勾取狀態(tài)來(lái)獲知了。

五、程序使用權(quán)限設(shè)定

Windows XP操作系統(tǒng)在文件管理方面功能設(shè)計(jì)上頗為多樣、周全和智能化。這里通過(guò)"程序文件使用權(quán)限"設(shè)置、將"加密文件授權(quán)多個(gè)用戶可以訪問(wèn)"和了解系統(tǒng)日志的訪問(wèn)權(quán)限三個(gè)例子給大家解釋一下如何進(jìn)行日常應(yīng)用。

1.程序文件權(quán)限設(shè)定

要了解Windows XP中關(guān)于程序文件的訪問(wèn)權(quán)限，我們應(yīng)首先來(lái)了解一下Windows XP在這方面的兩個(gè)設(shè)計(jì)，
一、是組策略中軟件限制策略的設(shè)計(jì)；
二、是臨時(shí)分配程序文件使用權(quán)限的設(shè)計(jì)。

(1)軟件限制策略

在"運(yùn)行"欄中輸入 "Gpedit.msc"命令打開組策略窗口后，在"計(jì)算機(jī)配置"→"Windows設(shè)置"→"安全設(shè)置"分支中，右鍵選中"軟件限制策略"分
支，在彈出的快捷菜單中選擇新建一個(gè)策略后，就可以從"軟件限制策略"分支下新出現(xiàn)的"安全級(jí)別"中看到有兩種安全級(jí)別的存在了。

這兩條安全級(jí)別對(duì)于程序文件與用戶權(quán)限之前是有密切聯(lián)系的：

①不允許的：從其解釋中可以看出，無(wú)論用戶的訪問(wèn)權(quán)如何，軟件都不會(huì)運(yùn)行；

②不受限的：這是默認(rèn)的安全級(jí)別，其解釋為 "軟件訪問(wèn)權(quán)由用戶的訪問(wèn)權(quán)來(lái)決定"。顯然，之所以在系統(tǒng)中可以設(shè)置各種權(quán)限，是因?yàn)橛羞@個(gè)默認(rèn)安全策略在背后默默支持的緣故。如果想把"不允許的"安全級(jí)別設(shè)置為默認(rèn)狀態(tài)，只需雙擊進(jìn)入其屬性界面后點(diǎn)擊"設(shè)為默認(rèn)值"按鈕即可。

(2)臨時(shí)分配程序文件

為什么要臨時(shí)分配程序文件的管理權(quán)限呢？這是因?yàn)樵赪indows XP中，有許多很重要的程序都是要求用戶具有一定的管理權(quán)限才能使用的，因此在使用權(quán)限不足以使用某些程序的賬戶時(shí)，為了能夠使用程序，我們就需要為自己臨時(shí)分配一個(gè)訪問(wèn)程序的管理權(quán)限了。為程序分配臨時(shí)管理權(quán)限的方法很簡(jiǎn)單：右鍵點(diǎn)擊要運(yùn)行的程序圖標(biāo)，在彈出的快捷菜單中選擇"運(yùn)行方式"，在打開的"運(yùn)行身份"對(duì)話框中選中"下列用戶"選項(xiàng)，在"用戶名"和"密碼"右側(cè)的文本框中指定用戶及密碼即可。

顯然，這個(gè)臨時(shí)切換程序文件管理權(quán)限的設(shè)計(jì)是十分有必要的，它可以很好地起到保護(hù)系統(tǒng)的目的。

2.授權(quán)多個(gè)用戶訪問(wèn)加密文件

Windows XP在EFS上的改進(jìn)之一就是可以允許多個(gè)用戶訪問(wèn)加密文件，這些用戶既可以是本地用戶，也可以是域用戶或受信任域的用戶。由于無(wú)法將證書頒發(fā)給用戶組，而只能頒發(fā)給用戶，所以只能授權(quán)單個(gè)的賬戶訪問(wèn)加密文件，而用戶組將不能被授權(quán)。

要授權(quán)加密文件可以被多個(gè)用戶訪問(wèn)，可以按照如下方法進(jìn)行操作：

選中已經(jīng)加密的文件，用鼠標(biāo)右鍵點(diǎn)擊該加密文件，選擇"屬性"，在打開的屬性對(duì)話框中"常規(guī)"選項(xiàng)卡下點(diǎn)擊"高級(jí)"按鈕，打開加密文件的高級(jí)屬性對(duì)話框，點(diǎn)擊其中的"詳細(xì)信息"按鈕(加密文件夾此按鈕無(wú)效)，在打開的對(duì)話框中點(diǎn)擊"添加"按鈕添加一個(gè)或多個(gè)新用戶即可(如果計(jì)算機(jī)加入了域，則還可以點(diǎn)擊"尋找用戶"按鈕在整個(gè)域范圍內(nèi)尋找用戶)。

如果要?jiǎng)h除某個(gè)用戶對(duì)加密文件的訪問(wèn)權(quán)限，那么只需選中此用戶后點(diǎn)擊"刪除"按鈕即可。

3.日志的訪問(wèn)權(quán)限

什么是日志？我們可以將日志理解為系統(tǒng)日記，這本"日記"可以按系統(tǒng)管理員預(yù)先的設(shè)定，自動(dòng)將系統(tǒng)中發(fā)生的所有事件都一一記錄在案，供管理員查詢。既然日志信息具有如此重要的參考作用，那么就應(yīng)該做好未經(jīng)授權(quán)的用戶修改或查看的權(quán)限控制。因此，我們非常有必要去了解一下日志的訪問(wèn)權(quán)限在Windows XP中是怎樣設(shè)計(jì)的。一般來(lái)說(shuō)，Administrators、SYSTEM、Everyone三種類型的賬戶可以訪問(wèn)日志。

這三種類型的賬戶對(duì)不同類型的日志擁有不同的訪問(wèn)權(quán)限，下面來(lái)看一下表格中具體的說(shuō)明，請(qǐng)注意"√"表示擁有此權(quán)限；"×"表示無(wú)此權(quán)限。

通過(guò)對(duì)比，可以看出SYSTEM擁有的權(quán)限最高，可以對(duì)任意類型的日志進(jìn)行讀寫和清除操作；Everyone用戶則可以讀取應(yīng)用程序和系統(tǒng)日志，但對(duì)安全日志無(wú)法讀取。這是因?yàn)榘踩罩鞠鄬?duì)其他幾種類型的日志在安全性方面的要求要高一些，只有SYSTEM 能夠?qū)χ畬懭搿?nbsp;

如果想為其他用戶賦予管理審核安全日志的權(quán)限，那么可以在"運(yùn)行"欄中輸入"Gpedit.msc"命令打開組策略編輯器窗口后，依次進(jìn)入"計(jì)算機(jī)配置"→"Windows設(shè)置"→"安全設(shè)置 "→"本地策略"→"用戶權(quán)利指派"，雙擊右側(cè)的"管理審核和安全日志"項(xiàng)，在彈出的對(duì)話框中添加所需的用戶即可。

六、內(nèi)置安全主體與權(quán)限

在Windows XP中，有一群不為人知的用戶，它們的作用是可以讓我們指派權(quán)限到某種"狀態(tài)"的用戶(如"匿名用戶"、"網(wǎng)絡(luò)用戶")等，而不是某個(gè)特定的用戶或組(如 "zhong"、"CPCW"這類用戶)。這樣一來(lái)，對(duì)用戶權(quán)限的管理就更加容易精確控制了。這群用戶在Windows XP中，統(tǒng)一稱

為內(nèi)置安全主體。下面讓我們來(lái)了解一下：

1.安全主體的藏身之處

下面假設(shè)需要為一個(gè)名為"zhiguo"的目錄設(shè)置內(nèi)置安全主體中的"Network"類用戶權(quán)限為例，看看這群"默默無(wú)聞"的用戶藏身在系統(tǒng)何處。

首先進(jìn)入"zhiguo"目錄屬性界面的"安全"選項(xiàng)卡設(shè)置界面，點(diǎn)擊其中的"添加"按鈕，在彈出的"選擇用戶或組"對(duì)話框中點(diǎn)擊"對(duì)象類型"按鈕。

在彈出對(duì)話框中只保留列表中的"內(nèi)置安全主體"項(xiàng)，并點(diǎn)擊"確定"按鈕。

在接下來(lái)的對(duì)話框中點(diǎn)擊"高級(jí)"按鈕，然后在展開的對(duì)話框中點(diǎn)擊"立即查找"按鈕，就可以看到內(nèi)置安全主體中包含的用戶列表了。

2.安全主體作用說(shuō)明

雖然內(nèi)置安全主體有很多，但正常能在權(quán)限設(shè)置中使用到的并不多，所以下面僅說(shuō)明其中幾個(gè)較重要的：

①Anonymous Logon：任何沒(méi)有經(jīng)過(guò)Windows XP驗(yàn)證程序(Authentication)，而以匿名方式登錄域的用戶均屬于此組；

②Authenticated Users：與前項(xiàng)相反，所有經(jīng)過(guò)Windows XP驗(yàn)證程序登錄的用戶均屬于此組。設(shè)置權(quán)限和用戶權(quán)力時(shí)，可考慮用此項(xiàng)代替

Everyone組；

③BATCH：這個(gè)組包含任何訪問(wèn)這臺(tái)計(jì)算機(jī)的批處理程序(Batch Process)；
④DIALUP：任何通過(guò)撥號(hào)網(wǎng)絡(luò)登錄的用戶；
⑤Everyone：指所有經(jīng)驗(yàn)證登錄的用戶及來(lái)賓(Guest)；
⑥Network：任何通過(guò)網(wǎng)絡(luò)登錄的用戶；
⑦Interactive：指任何直接登錄本機(jī)的用戶；
⑧Terminal server user：指任何通過(guò)終端服務(wù)登錄的用戶。

本站僅提供存儲(chǔ)服務(wù)，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊舉報(bào)。

国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看