Windows XP權限整合應用全解 ZT

作為微軟第一個穩定且安全的作業系統，windows xp經過幾年的磨合過渡期，終于以超過windows系列作業系統50%的使用者占有量成為目前使用者使用最多的作業系統。在慢慢熟悉了windows xp後，人們逐漸開始不滿足基本的系統應用了，他們更加渴望學習一些較深入且實用的知識，以便能讓系統充分發揮出windows xp的進階性能。

是以本文以windows xp professional版本為平台，引領大家感受一下windows xp在"權限"方面的設計魅力！

一、什麼是權限

windows xp提供了非常細緻的權限控制項，能夠精确定制使用者對資源的通路控制能力，大多數的權限從其名稱上就可以基本了解其所能實作的内容。

"權限"(permission)是針對資源而言的。也就是說，設定權限隻能是以資源為對象，即"設定某個檔案夾有哪些使用者可以擁有相應的權限"，而不能是以使用者為主，即"設定某個使用者可以對哪些資源擁有權限"。這就意味着"權限"必須針對"資源"而言，脫離了資源去談權限毫無意義──在提到權限的具體實施時，"某個資源"是必須存在的。

利用權限可以控制資源被通路的方式，如user組的成員對某個資源擁有"讀取"操作權限、administrators組成員擁有"讀取+寫入+删除"操作權限等。

值得一提的是，有一些windows使用者往往會将"權力"與"權限"兩個非常相似的概念搞混淆，這裡做一下簡單解釋："權力"(right)主要是針對使用者而言的。"權力"通常包含"登入權力" (logon right)和"特權"(privilege)兩種。登入權力決定了使用者如何登入到計算機，如是否采用本地互動式登入、是否為網絡登入等。特權則是一系列權力的總稱，這些權力主要用于幫助使用者對系統進行管理，如是否允許使用者安裝或加載驅動程式等。顯然，權力與權限有本質上的差別。

二、安全辨別符、通路控制清單、安全主體

說到windows xp的權限，就不能不說說"安全辨別符"(security identifier, sid)、"通路控制清單"(access control list，acl)和安全主體(security principal)這三個與其息息相關的設計了。

1.安全辨別符

在windows xp中，系統是通過sid對使用者進行識别的，而不是很多使用者認為的"使用者名稱"。sid可以應用于系統内的所有使用者、組、服務或計算機，因為sid是一個具有惟一性、絕對不會重複産生的數值，是以，在删除了一個賬戶(如名為"a"的賬戶)後，再次建立這個"a"賬戶時，前一個a與後一個a賬戶的sid是不相同的。這種設計使得賬戶的權限得到了最基礎的保護，盜用權限的情況也就徹底杜絕了。

檢視使用者、組、服務或計算機的sid值，可以使用"whoami"工具來執行，該工具包含在windows xp安裝CD光牒的"support\tools"目錄中，輕按兩下執行該目錄下的"setup"檔案後，将會有包括whoami工具在内的一系列指令行工具拷貝到"x:\program files\support tools"目錄中。此後在任意一個指令提示符視窗中都可以執行"whoami /all"指令來檢視目前使用者的全部資訊。

2.通路控制清單(acl)

通路控制清單是權限的核心技術。顧名思義，這是一個權限清單，用于定義特定使用者對某個資源的通路權限，實際上這就是windows xp對資源進行保護時所使用的一個标準。

在通路控制清單中，每一個使用者或使用者組都對應一組通路控制項(access control entry, ace)，這一點隻需在"組或使用者名稱"清單中選擇不同的使用者或組時，通過下方的權限清單設定項是不同的這一點就可以看出來。顯然，所有使用者或使用者組的權限通路設定都将會在這裡被存儲下來，并允許随時被有權限進行修改的使用者進行調整，如取消某個使用者對某個資源的"寫入"權限。

3.安全主體(security principal)

在windows xp中，可以将使用者、使用者組、計算機或服務都看成是一個安全主體，每個安全主體都擁有相對應的賬戶名稱和sid。根據系統架構的不同，賬戶的管理方式也有所不同──本地賬戶被本地的sam管理；域的賬戶則會被活動目錄進行管理......

一般來說，權限的指派過程實際上就是為某個資源指定安全主體(即使用者、使用者組等)可以擁有怎樣的操作過程。因為使用者組包括多個使用者，是以大多數情況下，為資源指派權限時建議使用使用者組來完成，這樣可以非常友善地完成統一管理。

三、權限的四項基本原則

在windows xp中，針對權限的管理有四項基本原則，即：拒絕優于允許原則、權限最小化原則、累加原則和權限繼承性原則。這四項基本原則對于權限的設定來說，将會起到非常重要的作用，下面就來了解一下：

1.拒絕優于允許原則

"拒絕優于允許"原則是一條非常重要且基礎性的原則，它可以非常完美地處理好因使用者在使用者組的歸屬方面引起的權限"糾紛"，例如，"shyzhong"這個使用者既屬于"shyzhongs"使用者組，也屬于"xhxs"使用者組，當我們對"xhxs"組中某個資源進行"寫入"權限的集中配置設定(即針對使用者組進行)時，這個時候該組中的 "shyzhong"賬戶将自動擁有"寫入"的權限。

但令人奇怪的是，"shyzhong"賬戶明明擁有對這個資源的"寫入"權限，為什麼實際操作中卻無法執行呢？原來，在"shyzhongs"組中同樣也對"shyzhong"使用者進行了針對這個資源的權限設定，但設定的權限是"拒絕寫入"。基于"拒絕優于允許"的原則，"shyzhong"在"shyzhongs"組中被 "拒絕寫入"的權限将優先于"xhxs"組中被賦予的允許"寫入"權限被執行。是以，在實際操作中，"shyzhong"使用者無法對這個資源進行"寫入" 操作。

2.權限最小化原則

windows xp将"保持使用者最小的權限"作為一個基本原則進行執行，這一點是非常有必要的。這條原則可以確定資源得到最大的安全保障。這條原則可以盡量讓使用者不能通路或不必要通路的資源得到有效的權限賦予限制。

基于這條原則，在實際的權限賦予操作中，我們就必須為資源明确賦予允許或拒絕操作的權限。例如系統中建立的受限使用者"shyzhong"在預設狀态下對"doc"目錄是沒有任何權限的，現在需要為這個使用者賦予對"doc"目錄有"讀取"的權限，那麼就必須在"doc"目錄的權限清單中為"shyzhong"使用者添加"讀取"權限。

3.權限繼承性原則

權限繼承性原則可以讓資源的權限設定變得更加簡單。假設現在有個"doc"目錄，在這個目錄中有"doc01"、"doc02"、"doc03"等子目錄，現在需要對doc目錄及其下的子目錄均設定"shyzhong"使用者有"寫入"權限。因為有繼承性原則，是以隻需對"doc"目錄設定"shyzhong"使用者有"寫入"權限，其下的所有子目錄将自動繼承這個權限的設定。

4.累加原則

這個原則比較好了解，假設現在"zhong"使用者既屬于"a"使用者組，也屬于"b"使用者組，它在a使用者組的權限是"讀取"，在"b"使用者組中的權限是"寫入"，那麼根據累加原則，"zhong"使用者的實際權限将會是"讀取+寫入"兩種。

顯然，"拒絕優于允許"原則是用于解決權限設定上的沖突問題的；"權限最小化"原則是用于保障資源安全的；"權限繼承性"原則是用于"自動化"執行權限設定的；而"累加原則"則是讓權限的設定更加靈活多變。幾個原則各有所用，缺少哪一項都會給權限的設定帶來很多麻煩！

注意：在windows xp中，"administrators"組的全部成員都擁有"取得所有者身份"(take ownership)的權力，也就是管理者組的成員可以從其他使用者手中"奪取"其身份的權力，例如受限使用者"shyzhong"建立了一個doc目錄，并隻賦予自己擁有讀取權力，這看似周到的權限設定，實際上，"administrators"組的全部成員将可以通過"奪取所有權"等方法獲得這個權限。

四、資源權限進階應用

以檔案與檔案夾的權限為例，依據是否被共享到網絡上，其權限可以分為ntfs權限與共享權限兩種，這兩種權限既可以單獨使用，也可以相輔使用。兩者之間既能夠互相制約，也可以互相補充。下面來看看如何進行設定：

1.ntfs權限

首先我們要知道：隻要是存在ntfs磁盤分區上的檔案夾或檔案，無論是否被共享，都具有此權限。此權限對于使用fat16/fat32檔案系統的檔案與檔案夾無效！

ntfs權限有兩大要素：一是标準通路權限；二是特别通路權限。前者将一些常用的系統權限選項比較籠統地組成6種"套餐型"的權限，即：完全控制、修改、讀取和運作、列出檔案夾目錄、讀取、寫入。

在大多數的情況下，"标準權限"是可以滿足管理需要的，但對于權限管理要求嚴格的環境，它往往就不能令管理者們滿意了，如隻想賦予某使用者有建立檔案夾的權限，卻沒有建立檔案的權限；如隻能删除目前目錄中的檔案，卻不能删除目前目錄中的子目錄的權限等......這個時候，就可以讓擁有所有權限選項的"特别權限"來大顯身手了。也就是說，特别權限不再使用"套餐型"，而是使用可以允許使用者進行"菜單型"的細節化權限管理選擇了。

那麼如何設定标準通路權限呢？以對一個在ntfs分區中的名為"zhiguo"的檔案夾進行設定标準通路權限為例，可以按照如下方法進行操作：

因為ntfs權限需要在資源屬性頁面的"安全"頁籤設定界面中進行，而windows xp在安裝後預設狀态下是沒有激活"安全"頁籤設定功能的，是以需要首先啟用系統中的"安全"頁籤。方法是：依次點選"開始"→"設定"→"控制台 "，輕按兩下"檔案夾選項"，在"檢視"标簽頁設定界面上的"進階設定"選項清單中清除"使用簡單檔案共享(推薦)"選項前的複選框後點選"應用"按鈕即可。

設定完畢後就可以右鍵點選"zhiguo" 檔案夾，在彈出的快捷菜單中選擇"共享與安全"，在"zhiguo屬性"視窗中就可以看見"安全"頁籤的存在了。針對資源進行ntfs權限設定就是通過這個頁籤來實作的，此時應首先在"組或使用者名稱"清單中選擇需要賦予權限的使用者名組(這裡選擇"zhong"使用者)，接着在下方的"zhong 的權限"清單中設定該使用者可以擁有的權限即可。

下面簡單解釋一下六個權限選項的含義：

①完全控制(full control)：該權限允許使用者對檔案夾、子檔案夾、檔案進行全權控制，如修改資源的權限、擷取資源的所有者、删除資源的權限等，擁有完全控制權限就等于擁有了其他所有的權限；

②修改(modify)：該權限允許使用者修改或删除資源，同時讓使用者擁有寫入及讀取和運作權限； ③讀取和運作(read & execute)：該權限允許使用者擁有讀取和列出資源目錄的權限，另外也允許使用者在資源中進行移動和周遊，這使得使用者能夠直接通路子檔案夾與檔案，即使使用者沒有權限通路這個路徑； ④列出檔案夾目錄(list folder contents)：該權限允許使用者檢視資源中的子檔案夾與檔案名稱； ⑤讀取(read)：該權限允許使用者檢視該檔案夾中的檔案以及子檔案夾，也允許檢視該檔案夾的屬性、所有者和擁有的權限等； ⑥寫入(write)：該權限允許使用者在該檔案夾中建立新的檔案和子檔案夾，也可以改變檔案夾的屬性、檢視檔案夾的所有者和權限等。

如果在"組或使用者名稱"清單中沒有所需的使用者或組，那麼就需要進行相應的添加操作了，方法如下：點選"添加"按鈕後，在出現的"選擇使用者群組"對話框中，既可以直接在"輸入對象名稱來選擇"文本區域中輸入使用者或組的名稱(使用"計算機名\使用者名"這種方式)，也可以點選"進階"按鈕，在彈出的對話框中點選"立即查找"按鈕讓系統列出目前系統中所有的使用者組和使用者名稱清單。此時再輕按兩下選擇所需使用者或組将其加入即可。如圖2所示。

如果想删除某個使用者組或使用者的話，隻需在" 組或使用者名稱"清單中選中相應的使用者或使用者組後，點選下方的"删除"按鈕即可。但實際上，這種删除并不能確定被删除的使用者或使用者組被拒絕通路某個資源，是以，如果希望拒絕某個使用者或使用者組通路某個資源，還要在"組或使用者名稱"清單中選擇相應的使用者名使用者組後，為其選中下方的"拒絕"複選框即可。

那麼如何設定特殊權限呢？假設現在需要對一個名為"zhiguo"的目錄賦予"zhong"使用者對其具有"讀取"、"建立檔案和目錄"的權限，基于安全考慮，又決定取消該賬戶的"删除"權限。此時，如果使用"标準權限"的話，将無法完成要求，而使用特别權限則可以很輕松地完成設定。方法如下：

首先，右鍵點選"zhiguo"目錄，在右鍵快捷菜單中選擇"共享與安全"項，随後在"安全"頁籤設定界面中選中"zhong"使用者并點選下方的"進階"按鈕，在彈出的對話框中點選清空"從父項繼承那些可以應用到子對象的權限項目，包括那些在此明确定義的項目"項選中狀态，這樣可以斷開目前權限設定與父級權限設定之前的繼承關系。在随即彈出的" 安全"對話框中點選"複制"或"删除"按鈕後(點選"複制"按鈕可以首先複制繼承的父級權限設定，然後再斷開繼承關系)，接着點選"應用"按鈕确認設定，再選中"zhong"使用者并點選"編輯"按鈕，在彈出的"zhong的權限項目"對話框中請首先點選"全部清除"按鈕，接着在"權限"清單中選擇"周遊檔案夾/運作檔案"、"列出檔案夾/讀取資料"、"讀取屬性"、"建立檔案/寫入資料"、"建立檔案夾/附加資料"、"讀取權限"幾項，最後點選"确定"按鈕結束設定。

在經過上述設定後，"zhong"使用者在對"zhiguo"進行删除操作時，就會彈出提示框警告操作不能成功的提示了。顯然，相對于标準通路權限設定上的籠統，特别通路權限則可以實作更具體、全面、精确的權限設定。

為了大家更好地了解特殊權限清單中的權限含義，以便做出更精确的權限設定，下面簡單解釋一下其含義：

⑴周遊檔案夾/運作檔案(traverse folder/execute file)：該權限允許使用者在檔案夾及其子檔案夾之間移動(周遊)，即使這些檔案夾本身沒有通路權限。注意：隻有當在"組政策"中("計算機配置 "→"windows設定"→"安全設定"→"本地政策"→"使用者權利指派")将"跳過周遊檢查"項授予了特定的使用者或使用者組，該項權限才能起作用。預設狀态下，包括"administrators"、"users"、"everyone"等在内的組都可以使用該權限。對于檔案來說，擁了這項權限後，使用者可以執行該程式檔案。但是，如果僅為檔案夾設定了這項權限的話，并不會讓使用者對其中的檔案帶上"執行"的權限； ⑵列出檔案/讀取資料(list folder/read data)：該權限允許使用者檢視檔案夾中的檔案名稱、子檔案夾名稱和檢視檔案中的資料； ⑶讀取屬性(read attributes)：該權限允許使用者檢視檔案或檔案夾的屬性(如系統、隻讀、隐藏等屬性)； ⑷讀取擴充屬性(read extended attributes)：該權限允許檢視檔案或檔案夾的擴充屬性，這些擴充屬性通常由程式所定義，并可以被程式修改；

⑸建立檔案/寫入屬性(create files/write data)：該權限允許使用者在檔案夾中建立新檔案，也允許将資料寫入現有檔案并覆寫現有檔案中的資料；

⑹建立檔案夾/附加資料(create folder/append data)：該權限允許使用者在檔案夾中建立新檔案夾或允許使用者在現有檔案的末尾添加資料，但不能對檔案現有的資料進行覆寫、修改，也不能删除資料； ⑺寫入屬性(write attributes)：該權限允許使用者改變檔案或檔案夾的屬性； ⑻寫入擴充屬性(write extended attributes)：該權限允許使用者對檔案或檔案夾的

擴充屬性進行修改；

⑼删除子檔案夾及檔案(delete subfolders and files)：該權限允許使用者删除檔案

夾中的子檔案夾或檔案，即使在這些子檔案夾和檔案上沒有設定删除權限；

⑽删除(delete)：該權限允許使用者删除目前檔案夾和檔案，如果使用者在該檔案或檔案夾上沒有删除權限，但是在其父級的檔案夾上有删除子檔案及檔案夾權限，那麼就仍然可以删除它； ⑾讀取權限(read permissions)：該權限允許使用者讀取檔案或檔案夾的權限清單； ⑿更改權限(change permissions)：該權限允許使用者改變檔案或檔案夾上的現有權

限；

⒀取得所有權(take ownership)：該權限允許使用者擷取檔案或檔案夾的所有權，一旦擷取了所有權，使用者就可以對檔案或檔案夾進行全權控制。

這裡需要單獨說明一下"修改"權限與"寫入 "權限的差別：如果僅僅對一個檔案擁有修改權限，那麼，不僅可以對該檔案資料進行寫入和附加，而且還可以建立新檔案或删除現有檔案。而如果僅僅對一個檔案擁有寫入權限，那麼既可以對檔案資料進行寫入和附加，也可以建立新檔案，但是不能删除檔案。也就是說，有寫入權限不等于具有删除權限，但擁有修改權限，就等同于擁有删除和寫入權限。

2.共享權限(shared permission)

隻要是共享出來的檔案夾就一定具有此權限。如該檔案夾存在于ntfs分區中，那麼它将同時具有ntfs權限與共享權限，如果這個資源同時擁有ntfs和共享兩種權限，那麼系統中對權限的具體實施将以兩種權限中的"較嚴格的權限"為準──這也是"拒絕優于允許"原則的一種展現！

例如，某個共享資源的ntfs權限設定為完全控制，而共享權限設定為讀取，那麼遠端使用者就隻能使用"讀取"權限對共享資源進行通路了。

注意：如果是fat16/fat32檔案系統中的共享檔案夾，那麼将隻能受到共享權限的保護，這樣一來就容易産生安全性漏洞。這是因為共享權限隻能夠限制從網絡上通路資源的使用者，并無法限制直接登入本機的人，即使用者隻要能夠登入本機，就可以任意修改、删除fat16/fat32分區中的資料了。是以，從安全角度來看，我們是不推薦在windows xp中使用fat16/fat32分區的。

設定共享權限很簡單，在右鍵選中并點選一個檔案夾後，在右鍵快捷菜單中選擇"共享與安全"項，在彈出的屬性對話框"共享"頁籤設定界面中點選選中"共享該檔案夾"項即可，這将使共享資源使用預設的權限設定(即"everyone"使用者擁有讀取權限)。如果想具體設定共享權限，那麼請點選"權限"按鈕，在打開的對話框中可以看到權限清單中有"完全控制"、"更改"和"讀取"三項權限可供選擇。

下面先簡單介紹一下這三個權限的含義：

①完全控制：允許使用者建立、讀取、寫入、重命名、删除目前檔案夾中的檔案以及子檔案夾，另外，也可以修改該檔案夾中的ntfs通路權限和奪取所有權； ②更改：允許使用者讀取、寫入、重命名和删除目前檔案夾中的檔案和子檔案夾，但不能建立新檔案； ③讀取：允許使用者讀取目前檔案夾的檔案和子檔案夾，但是不能進行寫入或删除操作。

說完了權限的含義，我們就可以點選"添加"按鈕，将需要設定權限的使用者或使用者組添加進來了。在預設情況下，當添加新的組或使用者時，該組或使用者将具備"讀取"(read)權限，我們可以根據實際情況在下方的權限清單中進行複選框的選擇與清空。

接着再來說說令很多讀者感到奇怪的"組和使用者名稱"清單中的"everyone"組的含義。在windows 2000中，這個組因為包含了"anonymous logon"組，是以它表示"每個人"的意思。但在windows xp中，請注意──這個組因為隻包括"authenticated users"和"guests"兩個組，而不再包括"anonymous logon"組，是以它表示了"可通路計算機的所有使用者"，而不再是"每個人"！請注意這是有差別的，"可通路計算機的所有使用者"意味着必須是通過認證的使用者，而"每個人"則不必考慮使用者是否通過了認證。從安全方面來看，這一點是直接導緻安全隐患是否存在關鍵所在！

當然，如果想在windows xp中實作windows 2000中那種"everyone"設計機制，那麼可以通過編輯"本地安全政策"來實作，方法是：在"運作"欄中輸入"secpol.msc"命

令打開"安全設定"管理單元，依次展開"安全設定"→"本地政策"，然後進入"安全選項"，輕按兩下右側的"網絡通路：讓‘每個人'權限應用于匿名使用者"項，然後選擇"已啟用"項既可。

注意：在windows xp professional中，最多可以同時有10個使用者通過網絡登入(指使用認證賬戶登入的使用者，對于通路由iis提供的web服務的使用者沒有限制)方式使用某一台計算機提供的共享資源。

3.資源複制或移動時權限的變化與處理

在權限的應用中，不可避免地會遇到設定了權限後的資源需要複制或移動的情況，那麼這個時候資源相應的權限會發生怎樣的變化呢？下面來了解一下：

(1)複制資源時

在複制資源時，原資源的權限不會發生變化，而新生成的資源，将繼承其目标位置父級資源的權限。

(2)移動資源時

在移動資源時，一般會遇到兩種情況，一是如果資源的移動發生在同一驅動器内，那麼對象保留本身原有的權限不變(包括資源本身權限及原先從父級資源中繼承的權限)；二是如果資源的移動發生在不同的驅動器之間，那麼不僅對象本身的權限會丢失，而且原先從父級資源中繼承的權限也會被從目标位置的父級資源繼承的權限所替代。實際上，移動操作就是首先進行資源的複制，然後從原有位置删除資源的操作。

(3)非ntfs分區

上述複制或移動資源時産生的權限變化隻是針對ntfs分區上而言的，如果将資源複制或移動到非ntfs分區(如fat16/fat32分區)上，那麼所有的權限均會自動全部丢失。

4.資源所有權的進階管理

有時我們會發現目前登入的使用者無法對某個資源進行任何操作，這是什麼原因呢？其實這種常見的現象很有可能是因為對某個資源進行的ntfs權限設定得不夠完善導緻的──這将會造成所有人(包括 "administrator"組成員)都無法通路資源，例如不小心将"zhiguo"這個檔案夾的所有使用者都删除了，這将會導緻所有使用者都無法通路這個檔案夾，此時很多朋友就會束手無策了，其實通過使用更改所有權的方法就可以很輕松地解決這類權限問題了。

首先，我們需要檢查一下資源的所有者是誰，如果想檢視某個資源(如sony目錄)的使用者所有權的話，那麼隻需使用"dir sony /q"指令就可以了。在回報資訊的第一行就可以看到使用者是誰了，例如第一行的資訊是"lovebook\zhong"，那麼意思就是lovebook這台計算機中的"zhong"使用者。如圖5所示。

如果想在圖形界面中檢視所有者是誰，那麼需要進入資源的屬性對話框，點選"安全"頁籤設定界面中的"進階"按鈕，在彈出的"(使用者名)進階安全設定"界面中點選"所有者"頁籤，從其中的"目前該項目的所有者"清單中就可以看到目前資源的所有者是誰了。

如果想将所有者更改使用者，那麼隻需在"将所有者更改為"清單中選擇目标使用者名後，點選"确定"按鈕即可。此外，也可以直接在"安全"頁籤設定界面中點選"添加"按鈕添加一個使用者并賦予相應的權限後，讓這個使用者來獲得目前檔案夾的所有權。

注意：檢視所有者究竟對資源擁有什麼樣的權限，可點選進入"有效權限"頁籤設定界面，從中點選"選擇"按鈕添加目前資源的所有者後，就可以從下方的清單中權限選項的勾取狀态來獲知了。

五、程式使用權限設定

windows xp作業系統在檔案管理方面功能設計上頗為多樣、周全和智能化。這裡通過"程式檔案使用權限"設定、将"加密檔案授權多個使用者可以通路"和了解系統日志的通路權限三個例子給大家解釋一下如何進行日常應用。

1.程式檔案權限設定

要了解windows xp中關于程式檔案的通路權限，我們應首先來了解一下windows xp在這方面的兩個設計，一是組政策中軟體限制政策的設計；二是臨時配置設定程式檔案使用權限的設計。

(1)軟體限制政策

在"運作"欄中輸入 "gpedit.msc"指令打開組政策視窗後，在"計算機配置"→"windows設定"→"安全設定"分支中，右鍵選中"軟體限制政策"分支，在彈出的快捷菜單中選擇建立一個政策後，就可以從"軟體限制政策"分支下新出現的"安全級别"中看到有兩種安全級别的存在了。

這兩條安全級别對于程式檔案與使用者權限之前是有密切聯系的：

①不允許的：從其解釋中可以看出，無論使用者的通路權如何，軟體都不會運作；

②不受限的：這是預設的安全級别，其解釋為 "軟體通路權由使用者的通路權來決定"。顯然，之是以在系統中可以設定各種權限，是因為有這個預設安全政策在背後默默支援的緣故。如果想把"不允許的"安全級别設定為預設狀态，隻需輕按兩下進入其屬性界面後點選"設為預設值"按鈕即可。

(2)臨時配置設定程式檔案

為什麼要臨時配置設定程式檔案的管理權限呢？這是因為在windows xp中，有許多很重要的程式都是要求使用者具有一定的管理權限才能使用的，是以在使用權限不足以使用某些程式的賬戶時，為了能夠使用程式，我們就需要為自己臨時配置設定一個通路程式的管理權限了。為程式配置設定臨時管理權限的方法很簡單：右鍵點選要運作的程式圖示，在彈出的快捷菜單中選擇"運作方式"，在打開的"運作身份"對話框中選中"下列使用者"選項，在"使用者名"和"密碼"右側的文本框中指定使用者及密碼即可。

顯然，這個臨時切換程式檔案管理權限的設計是十分有必要的，它可以很好地起到保護系統的目的。

2.授權多個使用者通路加密檔案

windows xp在efs上的改進之一就是可以允許多個使用者通路加密檔案，這些使用者既可以是本地使用者，也可以是域使用者或受信任域的使用者。由于無法将證書頒發給使用者組，而隻能頒發給使用者，是以隻能授權單個的賬戶通路加密檔案，而使用者組将不能被授權。

要授權加密檔案可以被多個使用者通路，可以按照如下方法進行操作：

選中已經加密的檔案，用滑鼠右鍵點選該加密檔案，選擇"屬性"，在打開的屬性對話框中"正常"頁籤下點選"進階"按鈕，打開加密檔案的進階屬性對話框，點選其中的"詳細資訊"按鈕(加密檔案夾此按鈕無效)，在打開的對話框中點選"添加"按鈕添加一個或多個新使用者即可(如果計算機加入了域，則還可以點選"尋找使用者"按鈕在整個域範圍内尋找使用者)。

如果要删除某個使用者對加密檔案的通路權限，那麼隻需選中此使用者後點選"删除"按鈕即可。

3.日志的通路權限

什麼是日志？我們可以将日志了解為系統日記，這本"日記"可以按系統管理者預先的設定，自動将系統中發生的所有事件都一一記錄在案，供管理者查詢。既然日志資訊具有如此重要的參考作用，那麼就應該做好未經授權的使用者修改或檢視的權限控制。是以，我們非常有必要去了解一下日志的通路權限在windows xp中是怎樣設計的。一般來說，administrators、system、everyone三種類型的賬戶可以通路日志。

這三種類型的賬戶對不同類型的日志擁有不同的通路權限，下面來看一下表格中具體的說明，請注意"√"表示擁有此權限；"×"表示無此權限。

通過對比，可以看出system擁有的權限最高，可以對任意類型的日志進行讀寫和清除操作；everyone使用者則可以讀取應用程式和系統日志，但對安全日志無法讀取。這是因為安全日志相對其他幾種類型的日志在安全性方面的要求要高一些，隻有system能夠對之寫入。

如果想為其他使用者賦予管理稽核安全日志的權限，那麼可以在"運作"欄中輸入"gpedit.msc"指令打開組政策編輯器視窗後，依次進入"計算機配置"→"windows設定"→"安全設定 "→"本地政策"→"使用者權利指派"，輕按兩下右側的"管理稽核和安全日志"項，在彈出的對話框中添加所需的使用者即可。

六、内置安全主體與權限

在windows xp中，有一群不為人知的使用者，它們的作用是可以讓我們指派權限到某種"狀态"的使用者(如"匿名使用者"、"網絡使用者")等，而不是某個特定的使用者或組(如 "zhong"、"cpcw"這類使用者)。這樣一來，對使用者權限的管理就更加容易精确控制了。這群使用者在windows xp中，統一稱為内置安全主體。下面讓我們來了解一下：

1.安全主體的藏身之處

下面假設需要為一個名為"zhiguo"的目錄設定内置安全主體中的"network"類使用者權限為例，看看這群"默默無聞"的使用者藏身在系統何處。

首先進入"zhiguo"目錄屬性界面的"安全"頁籤設定界面，點選其中的"添加"按鈕，在彈出的"選擇使用者或組"對話框中點選"對象類型"按鈕。在彈出對話框中隻保留清單中的"内置安全主體"項，并點選"确定"按鈕。

在接下來的對話框中點選"進階"按鈕，然後在展開的對話框中點選"立即查找"按鈕，就可以看到内置安全主體中包含的使用者清單了。

2.安全主體作用說明

雖然内置安全主體有很多，但正常能在權限設定中使用到的并不多，是以下面僅說明其中幾個較重要的：

①anonymous logon：任何沒有經過windows xp驗證程式(authentication)，而以匿名方式登入域的使用者均屬于此組；

②authenticated users：與前項相反，所有經過windows xp驗證程式登入的使用者均屬于此組。設定權限和使用者權力時，可考慮用此項代替everyone組；

③batch：這個組包含任何通路這台計算機的批處理程式(batch process)；

④dialup：任何通過撥号網絡登入的使用者；

⑤everyone：指所有經驗證登入的使用者及來賓(guest)；

⑥network：任何通過網絡登入的使用者；

⑦interactive：指任何直接登入本機的使用者；

⑧terminal server user：指任何通過終端服務登入的使用者。

......

在明白了内置安全主體的作用後，在進行權限的具體指派時就可以讓權限的應用精确

程度更高、權限的應用效果更加高效。顯然，windows xp中設定此類賬戶是十分有必要的，畢竟計算機是以應用為主，以應用類型進行賬戶分類，必然會使權限的管理不再混亂，管理更加合理！