Windows操作系统六大用户组及系统帐户权限功能设置分析

WindowsWindows是一种支持多顾客、多任务的操作系统，不同的顾客在访问这台计算机时，的应用程序，但不能够运行大多数旧版应用程序。Users组是最安全的组，由于分派给该组的默认权限不允许组员修改操作系统的设立或顾客资料。Users组提供了一种最安全的NTFS格式化的卷上，默认安全设立旨在严禁该组的组员危及操作Users能够创立本地组，但只能修改自己创立的本地组。Users能够关闭工作站，但不能2.Power高级顾客组，PowerUsersAdministrators组保存的任务外的其它任PowerUsersPowerUsers组的组员修改整PowerUsersAdministrators组的权限。在权限Administrators的。Users6.SYSTEMAdministrators众所周知，Windows是一种支持多顾客、多任务的操作系统，这是权限设立的基础，一切DOSWinNTNTFS的公布诞生了。NT中常见的顾客组。PowerUsers，高级顾客组，PowerUsers能够执行除了为Administrators组保存的任务PowerUsersPowerUsers组的PowerUsers不含有将自己添加到Administrators组的Administrators的。证的应用程序，但不能够运行大多数旧版应用程序。Users组是最安全的组，由于分派给该组的默认权限不允许组员修改操作系统的设立或顾客资料。Users组提供了一种最安全的程序运行环境。在通过NTFS格式化的卷上，默认安全设立旨在严禁该组的组员危及操Users能够关闭工作站，但不能关闭服务器。Users能够创立本地组，但只能修改自己创SYSTEMAdministratorsNTFS卷上的其它顾客资料，除非他们获得了这些顾客的授能去做你想做的任何一件事情而不会碰到权限的限制。弊就是以Administrators构组员的身份运行计算机将使系统容易受到特洛伊木马、病毒及其它安全风险的威胁。访问Internet站点或打开电子邮件附件的简朴行动都可能破坏系统。不熟悉的Internet站点或电子邮件附件可能有特洛伊木马代码，这些代码可下列载到系统的顾客登陆。Administrators中有一种在系统安装时就创立的默认顾客Administrator帐户含有对服务器的完全控制权限，并能够根据需要向顾客指派顾客权利和因此强烈建议将此帐户设立为使用强密码。永远也不能够从Administrators组删除Administrator帐户，但能够重命名或禁用该帐户。由于大家都懂得“管理员”存在于许多版本的Windows上，因此重命名或禁用此帐户将使恶意顾客尝试并访问该帐户变得更为困难。对于一种好的服务器管理员来说，他们普通都会重命名或禁用此帐户。Guests顾客组下， NTFSNTFS卷下的一种目录，选择“属性”--“安全”就能够对“修改”Powerusers，选中了“修改”，下面的四项属性将被自动被选中。下面的任何一一台简朴服务器的设立实例操作下面我们对一台刚刚安装好操作系统和服务软件的WEB服务器系统和其权限进行全方面的WindowsServerSP4及多个补丁。WEB服务软件则是盘为系统卷，只安装了系统和驱动程序;DD盘中;EWEBWWW目录中;F盘是网站数据卷，网站WWWDATABASE目录下。有一种特点有钱。好了，言归正传，该服务器的数据库为MS-SQLMS-SQL的服务软件SQL安装在了方便网页制作员对网页进行管理，该网站还开通了FTP服务，FTP服务软件使用的是AntivirusBlackICE,d:\nortonAVd:\firewall\blackice,病毒库已经升级到最80217.0的论坛,e:\www\bbs下。权限将是你的最后一道防线!那我们现在就来对这台没有通过任何权限设立，全部采用WindowsIIS5.0Serv-u5.1，用某些针对他们的溢出工具后发现无效，遂放文献上传漏洞，便抓包，把修改正的ASPNC提交，提示上传成功，成功得到SQLASPNortonAntivirusBlackICEPIDASP木立即传了一SQLSQLSERV-UServUDaemon.iniSERV-Uandsettings、ProgramfilesWinntDocumentsandsettings，默认的权限是这样files，Administrators拥有完全控制权;Creatorownerowerusers有完全控制全控制权;SYSTEMAdministrators;Users有读&运，列和读权限。而非系统卷下的全部Everyone组完全控制权!太低了!IUSRGuest组的。原Everyone组完全控制权却让它“身价倍增”，到最后能得到Administrators了。WEB服务器，就拿刚刚那台服务器来说，我是这样设立权限的，大家能够参考一下:各个卷的根目录、DocumentsandsettingsProgramfilesAdministrator完全控Programfiles给删除掉;Everyone的读、写权;e:\www目录，也就是网站目录读、写权。者会问:“Everyone的读、写权?ASP固然这也有个前 虚拟内存是分派在系统盘的，如果把虚拟内存分派在其它卷上，那WEB服务的提供者IIS来解释执行的，因此它的执行并不需要运行的权限。USER2的访问权限之和，事实上是取其最大的那个，即“读取”+“写入”=