admin 管理员组文章数量: 1086019
2024年3月21日发(作者:sm圈里switch是什么)
Windows XP权限设置详解教程
什么是XP权限设置,很多的朋友都不是很清楚。这里收集了一些Windows XP权限设置的教程,应
该是比较全的。以后大家用起Windows XP来应该会方便很多哦!
作为微软第一个稳定且安全的作系统,Windows XP经过几年的磨合过渡期,终于以超过Windows系
列作系统50%的用户占有量成为目前用户使用最多的作系统。在慢慢熟悉了Windows XP后,兄弟们学学
一些较深入且实用的知识,以便能让系统充分发挥出Windows XP的高级性能。
因此本文以Windows XP Professional版本为平台,引领兄弟们感受一下Windows XP在“权限”方面
的设计魅力!
一、什么是权限
Windows XP提供了非常细致的权限控制项,能够精确定制用户对资源的访问控制能力,大多数的权
限从其名称上就可以基本了解其所能实现的内容。
“权限”(Permission)是针对资源而言的。也就是说,设置权限只能是以资源为对象,即“设置某个文
件夹有哪些用户可以拥有相应的权限”,而不能是以用户为主,即“设置某个用户可以对哪些资源拥有权
限”。这就意味着“权限”必须针对“资源”而言,脱离了资源去谈权限毫无意义──在提到权限的具体
实施时,“某个资源”是必须存在的。
利用权限可以控制资源被访问的方式,如User组的成员对某个资源拥有“读取”作权限、Administrators
组成员拥有“读取+写入+删除”作权限等。
值得一提的是,有一些Windows用户往往会将“权力”与“权限”两个非常相似的概念搞混淆,这里
做一下简单解释:“权力”(Right)主要是针对用户而言的。“权力”通常包含“登录权力”(Logon Right)和
“特权”(Privilege)两种。登录权力决定了用户如何登录到计算机,如是否采用本地交互式登录、是否为网
络登录等。特权则是一系列权力的总称,这些权力主要用于帮助用户对系统进行管理,如是否允许用户安
装或加载驱动程序等。显然,权力与权限有本质上的区别。
二、安全标识符、访问控制列表、安全主体
说到Windows XP的权限,就不能不说说“安全标识符”(Security Identifier, SID)、“访问控制列表”(Access
Control List,ACL)和安全主体(Security Principal)这三个与其息息相关的设计了。
1.安全标识符
在Windows XP中,系统是通过SID对用户进行识别的,而不是很多用户认为的“用户名称”。SID可
以应用于系统内的所有用户、组、服务或计算机,因为SID是一个具有惟一性、绝对不会重复产生的数值,
所以,在删除了一个账户(如名为“A”的账户)后,再次创建这个“A”账户时,前一个A与后一个A账
户的SID是不相同的。这种设计使得账户的权限得到了最基础的保护,盗用权限的情况也就彻底杜绝了。
查看用户、组、服务或计算机的SID值,可以使用“Whoami”工具来执行,该工具包含在Windows XP
安装光盘的“SupportTools”目录中,双击执行该目录下的“Setup”文件后,将会有包括Whoami工具在
内的一系列命令行工具拷贝到“X:Program FilesSupport Tools”目录中。此后在任意一个命令提示符窗口
中都可以执行“Whoami /all”命令来查看当前用户的全部信息。
2.访问控制列表(ACL)
访问控制列表是权限的核心技术。顾名思义,这是一个权限列表,用于定义特定用户对某个资源的访
问权限,实际上这就是Windows XP对资源进行保护时所使用的一个标准。
在访问控制列表中,每一个用户或用户组都对应一组访问控制项(Access Control Entry, ACE),这一点
只需在“组或用户名称”列表中选择不同的用户或组时,通过下方的权限列表设置项是不同的这一点就可
以看出来。显然,所有用户或用户组的权限访问设置都将会在这里被存储下来,并允许随时被有权限进行
修改的用户进行调整,如取消某个用户对某个资源的“写入”权限。
3.安全主体(Security Principal)
在Windows XP中,可以将用户、用户组、计算机或服务都看成是一个安全主体,每个安全主体都拥
有相对应的账户名称和SID。根据系统架构的不同,账户的管理方式也有所不同──本地账户被本地的
SAM管理;域的账户则会被活动目录进行管理„„
一般来说,权限的指派过程实际上就是为某个资源指定安全主体(即用户、用户组等)可以拥有怎样的
作过程。因为用户组包括多个用户,所以大多数情况下,为资源指派权限时建议使用用户组来完成,这样
可以非常方便地完成统一管理。
三、权限的四项基本原则
在Windows XP中,针对权限的管理有四项基本原则,即:拒绝优于允许原则、权限最小化原则、累
加原则和权限继承性原则。这四项基本原则对于权限的设置来说,将会起到非常重要的作用,下面就来了
解一下:
1.拒绝优于允许原则
“拒绝优于允许”原则是一条非常重要且基础性的原则,它可以非常完美地处理好因用户在用户组的
归属方面引起的权限“纠纷”,例如,“shyzhong”这个用户既属于“shyzhongs”用户组,也属于“xhxs”
用户组,当我们对“xhxs”组中某个资源进行“写入”权限的集中分配(即针对用户组进行)时,这个时候
该组中的“shyzhong”账户将自动拥有“写入”的权限。
但令人奇怪的是,“shyzhong”账户明明拥有对这个资源的“写入”权限,为什么实际作中却无法执行
呢?原来,在“shyzhongs”组中同样也对“shyzhong”用户进行了针对这个资源的权限设置,但设置的权
限是“拒绝写入”。基于“拒绝优于允许”的原则,“shyzhong”在“shyzhongs”组中被 “拒绝写入”的
权限将优先于“xhxs”组中被赋予的允许“写入”权限被执行。因此,在实际作中,“shyzhong”用户无法
对这个资源进行“写入”作。
2.权限最小化原则
Windows XP将“保持用户最小的权限”作为一个基本原则进行执行,这一点是非常有必要的。这条
原则可以确保资源得到最大的安全保障。这条原则可以尽量让用户不能访问或不必要访问的资源得到有效
的权限赋予限制。
基于这条原则,在实际的权限赋予作中,我们就必须为资源明确赋予允许或拒绝作的权限。例如系统
中新建的受限用户“shyzhong”在默认状态下对“DOC”目录是没有任何权限的,现在需要为这个用户赋
予对“DOC”目录有“读取”的权限,那么就必须在“DOC”目录的权限列表中为“shyzhong”用户添加
“读取”权限。
3.权限继承性原则
权限继承性原则可以让资源的权限设置变得更加简单。假设现在有个“DOC”目录,在这个目录中有
“DOC01”、“DOC02”、“DOC03”等子目录,现在需要对DOC目录及其下的子目录均设置“shyzhong”
用户有“写入”权限。因为有继承性原则,所以只需对“DOC”目录设置“shyzhong”用户有“写入”权
限,其下的所有子目录将自动继承这个权限的设置。
4.累加原则
这个原则比较好理解,假设现在“zhong”用户既属于“A”用户组,也属于“B”用户组,它在A用
户组的权限是“读取”,在“B”用户组中的权限是“写入”,那么根据累加原则,“zhong”用户的实际权
限将会是“读取+写入”两种。
显然,“拒绝优于允许”原则是用于解决权限设置上的冲突问题的;“权限最小化”原则是用于保障资
源安全的;“权限继承性”原则是用于“自动化”执行权限设置的;而“累加原则”则是让权限的设置更
加灵活多变。几个原则各有所用,缺少哪一项都会给权限的设置带来很多麻烦!
注意:在Windows XP中,“Administrators”组的全部成员都拥有“取得所有者身份”(Take Ownership)
的权力,也就是管理员组的成员可以从其他用户手中“夺取”其身份的权力,例如受限用户“shyzhong”
建立了一个DOC目录,并只赋予自己拥有读取权力,这看似周到的权限设置,实际上,“Administrators”
组的全部成员将可以通过“夺取所有权”等方法获得这个权限。
四、资源权限高级应用
以文件与文件夹的权限为例,依据是否被共享到网络上,其权限可以分为NTFS权限与共享权限两种,
这两种权限既可以单独使用,也可以相辅使用。两者之间既能够相互制约,也可以相互补充。下面来看看
如何进行设置:
权限
版权声明:本文标题:Windows XP权限设置详解教程 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.roclinux.cn/b/1710967848a581907.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论