【Windows权限与用户和组】等级森严的Windows王国

一个公司，根据工作责任大小、工作复杂性与难度会划分出若干个职位，每个职位所拥有的权利也各有不同。

Windows操作系统中同样的也存在不同权力的职位。Windows操作系统中的“职位”称为“用户组”，简称“组”；担任职位的人称为“用户”。一个组可以吸纳多个用户，一个用户也可以隶属多个组。

下表是Windows 7中常见用户组的对照表：

通过表1-1我们可以看出，Windows操作系统就像公司一样，不同的职位，不同的权力。在Windows中，权限指的是不同账户或组对文件、文件夹、注册表等的访问能力，为不同的账户设置权限很重要，可以防止重要文件被其他人所修改，避免系统崩溃。

以文件与文件夹的权限为例，依据是否被共享到网络上，其权限可以分为NTFS权限与共享权限两种，这两种权限既可以单独使用，也可以相辅使用。两者之间既能够相互制约，也可以相互补充。

NTFS权限

只要是存在NTFS磁盘分区上的文件夹或文件，无论是否被共享，都具有此权限。

当一个用户试图访问一个文件或者文件夹的时候，NTFS文件系统会检查用户使用的账户或者账户所属的组是否在此文件或者文件夹的访问控制列表（ACL）中，如果存在则进一步检查访问控制项（ACE），然后根据控制项中的权限来判断用户最终的权限。如果访问控制列表中不存在的用户使用的账户或者账户所属的组，就拒绝用户访问。该权限可以在文件夹属性的安全选项卡中进行设置，这里可以添加用户到ACL中，并指定ACE。

NTFS权限有两大要素：一是标准访问权限（基本权限）；二是特别访问权限（特别权限）。

标准访问权限将一些常用的系统权限选项比较笼统地组成6种“套餐型”的权限，即：完全控制、修改、读取和运行、列出文件夹目录、读取、写入。

 在大多数的情况下，标准权限是可以满足管理需要的，但对于权限管理要求严格的环境，它往往就不能令管理员们满意了，如只想赋予某用户有建立文件夹的权限，却没有建立文件的权限；如只能删除当前目录中的文件，却不能删除当前目录中的子目录的权限等......这个时候，就可以让拥有所有权限选项的“特别权限”来大显身手了。也就是说，特别权限不再使用“套餐型”，而是使用可以允许用户进行“菜单型”的细节化权限管理选择了。

共享权限

只要是共享出来的文件夹就一定具有此权限，共享权限只能够限制从网络上访问资源的用户。Windows 7及以上的操作系统中，共享权限只有“读取”和“写入”两种，在此不多做介绍。

在Windows 7中，针对权限的管理有四项基本原则，即：权限最小化原则、累加原则、拒绝优于允许原则和权限继承性原则。

权限最小化原则

权限最小化原则也称为最少权限原则，是指每个用户都应该具有完成任务所必需的最小权限原则。

此原则可以理解为：“能少则少，绝对不多”，在实际的权限赋予操作中，我们就必须为资源明确赋予允许或拒绝操作的权限。例如系统中新建的受限用户LiuSuan，在默认状态下对已经存在的名称为“ABC”的对象仅有读取权限，需要为这个用户赋予对ABC有“写入”的权限，那么就必须在ABC的权限列表中为“LiuSuan”这个用户或该用户隶属的组添加“写入”权限。

权限累加原则

累加累加，权限叠加。假设，用户LiuSuan既隶属于Administrators组，又隶属于Users组，Users组对于一个名称为“ABC”文件对象有读取权限，Administrators组对于ABC有写入权限，那么LiuSuan对ABC就有读取和写入两个权限。

拒绝优于允许原则

拒绝优于允许，顾名思义就是“拒绝”比“允许”更有发言权。

假设，用户“LiuSuan”既隶属于Administrators组，又隶属于Users组，若Administrators组对于一个名称为“ABC”文件对象的读取和写入权限设置了允许，而Users组对于ABC的写入权限设置了拒绝，那么按照拒绝优于允许原则，LiuSuan对于ABC就没有写入权限。所以，当某账户隶属的某个组一旦选择了“拒绝”权限，则账户隶属的其它任何组的对应权限也就不能起任何作用，相当于没有设置。

权限继承性原则

权限继承性原则，顾名思义就是权限可以继承传递。假设有个名称为“ABC”目录，在这个目录中有名称分别为“001”、“002”、“003”的子目录，需要对目录ABC及其下的子目录均设置名称为“LiuSuan”的用户有“写入”权限。因为有继承性原则，所以只需对目录ABC设置LiuSuan用户有“写入”权限，其下的所有子目录将自动继承这个权限的设置，当然，手动设置“禁用继承”的子目录除外。

神奇的Everyone组

大家在计算机上使用U盘的时候，如果此时你去U盘的驱动器属性里看安全选项卡，你会发现里面只有一个Everyone，而且这个Everyone还是拥有完全控制权。Everyone顾名思义就是“每个人”的意思，和他的名称一样，Everyone组包含了系统上所有的账户，包括所有经验证登录的用户及来宾（Guest）。U盘之所以只有Everyone完全控制，是为了让所有登录计算机的用户都可以使用U盘。因为Guest也是属于Everone组，所以他将具备Everyone所拥有的权限。这样一来，如果计算机启用了Guest，那么给Everyone组指派权限的时候要小心。

你并不能获得真正的TrustedInstaller权限

TrustedInstaller是Windows中重要的内置帐户，它的全名是：NT SERVICE\TrustedInstaller，在Windows 7中，大家会发现系统重要文件只有TrustedInstaller有完全控制权限，而其他用户组只有读取和执行权限。没错，TrustedInstaller用户帐户用于保护Windows核心文件，用于Windows Module Installer的安装、修改和删除Windows更新，同时，它负责删除一些可选的Windows组件。如果要拥有TrustedInstaller的权限，只有通过了服务启动控制器的验证后才能获取，因此用户几乎不能通过某种操作得到TrustedInstaller令牌。

其他特殊安全体

Interactive：任何在本地登录的用户都属于这个组。 

Network：任何通过网络连接此计算机的用户都属于这个组。

Creator Owner：文件夹、文件或打印文件等资源的创建者，就是该资源的Creator Owner（创建所有者）。不过，如果创建者是属于Administrators组内的成员，则其Creator Owner为Administrators组。 

Anonymous Logon：任何未利用有效的帐户连接的用户，都属于这个组。