Windows的权限(用户、组和访问控制)
一、用户与组介绍
1.1、用户账户
Windows的用户帐户是对计算机用户身份的识别,且本地用户帐户和密码信息是存储在本地计算机上的(即由:安全账户管理器【Security Accounts Manager】负责SAM数据库的控制和维护;SAM数据库则是位于注册表的【计算机\HKEY_LOCAL_MACHINE\SAM\SAM】下,受到ACL保护),SAM文件在【C:\Windows\System32\config】路径下。SAM对应的进程:lsass.exe 。通过本地用户和组,可以为用户和组分配权利和权限,从而限制用户和组执行某些操作的能力。 不同的用户身份拥有不同的权限 每个用户包含一个名称和一个密码,用户帐户拥有唯一的安全标识符(Security Identifier,SID)。
如果我们去进程管理里面杀死 lsass.exe 进程时,windows会提示遇到错误,然后关机。
1.2、组账户
组账户是一些用户的集合;且组内的用户自动拥有组所设置的权限。
①组账户是用户账户的集合,用于组织用户账户;
②为一个组授予权限后,则该组内的所有成员用户自动获得改组的权限;
③一个用户账户可以隶属于多个组,而这个用户的权限就是所有组的权限的合并集。
二、用户账户与组账户
2.1、用户账户
用户账户分为两种类型:【本地用户账号】和【全局用户账号(也叫:域用户账号)】
①本地用户账号是创建于本地计算机(它的作用范围:仅仅限于创建它的计算机,控制用户对本地计算机上的资源访问)。
②全局用户账号创建于域服务器,可以在网络中的任意计算机上加入域后使用,使用范围是整个域网络。
2.1.1、Windows 默认用户账户
Windows的默认用户账户用于特殊用途,一般不用更修改其权限。
默认用户账户 | 含义 | 说明 |
Administrator | 管理员用户 | 管理计算机(域)的内置帐户(默认禁用) |
DefaultAccount | 默认账户 | 系统管理的用户帐户(默认禁用) |
defaultuser0 | 默认用户 | (默认禁用) |
Guest | 来宾用户 | 提供给访客人员使用(默认禁用) |
WDAGUtilityAccount | Windows Defender用户 | 系统为 Windows Defender 应用程序防护方案管理和使用的用户帐户(默认禁用) |
Windows组件关联的用户 | 含义 | 说明 |
System | 本地系统用户 | 为windows的核心组件访问文件等资源提供权限 |
Local Service | 本地服务用户 | 预设的拥有最小权限的本地账户 |
Network Service | 网络服务用户 | 具有运行网络服务权限的计算机账户 |
拥有的权限大小:System > Administrator > User > Guest
2.1.2、用户账户的查看、创建和提升权限
序号 | 命令 | 命令说明 |
1 | net user | 查看系统账户 |
2 | net user Cm0001 123456 /add | 创建用户是:Cm0001 密码是:123456的账户 |
3 | net user Cm0001 987654 | 修改用户Cm0001的密码为987654 |
4 | net user Cm0001 | 查看用户Cm0001的属性 |
5 | net localgroup administrators Cm0001 /add | 提升用户Cm0001的权限为管理员 |
6 | net user Cm0001 123456 /del | 删除用户Cm0001 |
2.2、组账户
2.2.1、Windows内置的组账户
内置的组账户名称 | 含义 | 说明 |
Administrators | 管理员组 |
默认情况下Administrator中的用户对计算机 / 域有不受限制的完全访问权,功能有: ①管理文件:Windows系统中,系统磁盘中的文件只能由Administrators组的账户进行更改 ②更改系统安全设置:安装新的功能、更改计算机网络设置、对服务器选项进行设置,这些操作都需要Administraotors组中的用户进行操作。如果用户的权限不够,选择管理员用户进行操作。 默认情况下,Adminiistrator账户处于禁用状态 当它处于请用状态时,Administrator账户具有对计算机的完全控制权限,并根据需要向用户分配权力和访问控制权限,该账户必须仅用于需要管理凭据任务 强烈建议Administrator设置为强密码 永远不可以从管理员组删除Adminsitrator账户,但是可以重命名或禁用该账户 |
Guests | 来宾用户组 |
提供给没有用户帐户但是需要访问本地计算机内资源的用户使用,该组的成员无法永久地改变其桌面的工作环境。该组最常见的默认成员为用户帐号Guest。 ①通常这个账户没有修改系统设置和进行安装程序的权限; ②也没有创建修改任何文档的权限,只能读取计算机系统信息和文件 在windows系统中,Guest账户被任务是不安全的权限账户。 ③默认情况下禁用Guest用户。而且此账户默认为Guests组成员,改组允许用户登陆计算机,其他权力及任何权限都必须由管理员组中的用户成员给与Guests组 |
Power Users | 功能用户组 |
组内的用户具备比Users组更多的权利,但是比Administrators组拥有的权利更少一些,例如,可以:创建、删除、更改本地用户帐户;创建、删除、管理本地计算机内的共享文件夹与共享打印机;自定义系统设置,例如更改计算机时间、关闭计算机等。 ①不可以更改Administrators; ②无法夺取文件的所有权; ③无法备份与还原文件; ④无法安装删除与删除设备驱动程序; ⑤无法管理安全与审核日志。 |
Users | 标准用户组 |
Users组账户权限低于Adiministraotrs组的账户,但高于Guests组账户。 ①Users组用户可以进入“网络和共享中心”,并查看网络连接状态,但无法修改连接属性; ②Users组用户也无法关闭防火墙; ③Users组用户无法安装软件; ④Users组用户也无法对该用户文件夹以为的C盘进行修改。 |
Remote Desktop Users | 远程桌面用户组 |
组内的成员拥有远程桌面登录的权限;默认Administrators组内的成员都拥有远程桌面的权限 。 Remote Desktop Users组的作用就是保障远程桌面服务的安全运行,一旦赋予Administrator组远程桌面的权限,就像是为入侵者省略了提权的步骤。相对于改变用户组权限,将需要连接远程桌面的用户分到Remote Desktop Users组中是一中更加安全的方式 |
动态包含成员内置组的成员由Windows程序“自动添加” ,Windows会根据用户的状态来决定用户所属的组 ,组内的成员也随之动态变化,无法修改 。
序号 | 动态包含成员内置组 | 说明 |
1 | Interactive | 动态包含在本地登录的用户 |
2 | Authenticated Users | 任何一个利用有效的用户帐户连接的用户都属于这个组;建议在设置权限时,尽量针对Authenticated Users组进行设置,而不要针对Everone进行设置。 |
3 | Everyone | 任何一个用户都属于这个组。注意,如果Guest帐号被启用时,则给Everone这个组指派权限时必须小心,因为当一个没有帐户的用户连接计算机时,他被允许自动利用Guest帐户连接,但是因为Guest也是属于Everone组,所以他将具备Everyone所拥有的权限。 |
2.2.2、组的查看、创建和删除
序号 | 组命令 | 说明 |
1 | net localgroup | 查看系统的组 |
2 | net localgroup testgroup /add | 新建一个testgroup的组 |
3 | net localgroup testgroup Cm0001 /add | 将用户Cm0001加入testgroup组中 |
4 | net localgroup testgroup | 查看testgroup组内的成员 |
5 | net localgroup testgroup Cm0001 /del | 将用户Cm0001从testgroup组中移除 |
6 | net localgroup testgroup /del | 删除testgroup组 |
7 | net localgroup "remote desktop users" hack /add | 将用户hack加入remote desktop users组中 |
8 | net localgroup "remote desktop users" | 查看remote desktop users组内的成员 |
9 | net localgroup "remote desktop users" hack /del | 将用户hack从remote desktop users组中移除 |
三、访问控制
Windows的访问控制列表(Access Control List):访问权限决定着某个用户可以访问的文件和目录 对于每一个文件和文件夹,由安全描述符(SD)规定了安全数据、安全描述符决定安全设置是否对当前目录有效,或者它可以被传递给其他文件和目录。
当一个用户试图访问一个文件或者文件夹的时候,NTFS 文件系统会检查用户使用的帐户或者账户所属的组是否在此文件或文件夹的访问控制列表(ACL)中。如果存在,则进一步检查访问控制项 ACE,然后根据控制项中的权限来判断用户最终的权限。
3.1、Windows的访问控制
访问控制名称 | 含义 | 说明 |
Access Control List | 访问控制列表(ACL) | 访问权限决定着某个用户可以访问的文件和目录 对于每一个文件和文件夹,由安全描述符(SD)规定了安全数据 安全描述符决定安全设置是否对当前目录有效,或者它可以被传递给其他文件和目录 |
Access Control environment |
访问控制环境(ACE) |
访问控制项ACE,是指访问控制实体,用于指定特定用户/组的访问权限,是权限控制的最小单位。 ①完全控制:对文件或者文件夹可执行所有操作; ②修改:可以修改、删除文件或文件夹; ③读取和执行:可以读取内容,并且可以执行应用程序; ④列出文件夹目录:可以列出文件夹内容,此权限只针对文件夹存在,文件无此权限; ⑤读取:可以读取文件或者文件夹的内容; ⑥写入:可以创建文件或者文件夹; ⑦特别的权限:其他不常用的权限,比如删除权限的权限; |
New Technology File System | 文件系统(NTFS) |
文件夹的NTFS权限 (文件夹内的文件或文件夹会默认继承上一级目录的权限)。 ①完全控制:对文件或者文件夹可执行所有操作 ②修改:可以修改、删除文件或文件夹 ③读取和执行:可以读取内容,并且可以执行应用程序 ④读取:可以读取文件的内容 ⑤写入:可以修改文件的内容 ⑥特殊权限:其他不常用的权限,比如删除权限的权限 |
Security Identifiers | 安全标识符(SID) |
SID的说明: 安全标识符是标识用户、组和计算机帐户的唯一的号码。在第一次创建该帐户时,将给网络上的每一个帐户发布一个唯一的 SID。Windows 2000 中的内部进程将引用帐户的 SID 而不是帐户的用户或组名。如果创建帐户,再删除帐户,然后使用相同的用户名创建另一个帐户,则新帐户将不具有授权给前一个帐户的权力或权限,原因是该帐户具有不同的 SID 号。安全标识符也被称为安全 ID 或 SID。 SID的作用: 用户通过验证后,登陆进程会给用户一个访问令牌,该令牌相当于用户访问系统资源的票证,当用户试图访问系统资源时,将访问令牌提供给 Windows NT,然后 Windows NT 检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象,Windows NT将会分配给用户适当的访问权限。 访问令牌是用户在通过验证的时候有登陆进程所提供的,所以改变用户的权限需要注销后重新登陆,重新获取访问令牌。 |
3.2、可以使用命令查看账号的SID
//查看系统当前用户的SID
whoami /user
//查看所有用户的SID
wmic useraccount get name,sid
3.3、用户账户控制(UAC)
用户帐户控制(User Account Control,简称:UAC)是微软公司在其Windows Vista及更高版本操作系统中采用的一种控制机制。原理是:通知用户是否对应用程序使用硬盘驱动器和系统文件授权,以达到帮助阻止恶意程序(有时也称为“恶意软件”)损坏系统的效果。 UAC要求用户在执行可能影响计算机运行的操作或执行更改影响其他用户的设置的操作之前,提供一个确认的对话框窗口,使用户可以在执行之前对其进行验证,UAC可以帮助防止恶意软件和间谍软件在未经许可的情况下在计算机上进行安装或对计算机进行更改。
3.4、Windows访问控制的其他详细资料
Windows访问控制 - Windows Access Control 【其他的详细资料】https://rootclay.gitbook.io/windows-access-control/
Windows的权限(用户、组和访问控制)相关推荐
- 在linux中其他组没有权限怎么写,Linux 权限 用户 组 命令
一:Linux 用户 用户是访问系统身份的象征,在Linux中账户分为三类: root 超级用户(管理员) 普通用户 程序用户(一般程序用户都是禁止登录的,它的功能只能控制某一服务,例web服务或者是 ...
- windows server 2003中 如何限制用户修改计算机名,Windows命令行下修改文件访问控制权限 -电脑资料...
随着Windows XP/Server 2003的流行,越来越多的用户开始选择NTFS文件系统,NTFS的好处自然是大大增强了系统的安全性,在"安全"标签页下,我们可以在这里为不同 ...
- Real提示“作为受限用户,您无足够的windows操作权限”的解决办法
运行Regedit.exe,翻到HKEY_CLASSES_ROOT/Software,删除Software:然后关闭注册表,再运行Regedit.exe,翻到HKEY_CLASSES_ROOT/Sof ...
- 局域网计算机统一桌面背景,Windows 2008 R2 AD组策略-统一域用户桌面背景详细图文教程...
Windows 2008 R2 AD组策略-统一域用户桌面背景详细图文教程: 组策略管理在windows域管理中占有重要地位,本身也不是新的内容了.但微软在Windows2008中终于集成了一个非常好 ...
- windows c++ 修改用户的文件夹操作权限
一般Windows下的系统文件(夹)只让受限帐户读取而不让写入和修改.如果要开启写操作权限就需要手动修改文件(夹)的用户帐户安全权限(这操作当然要在管理员帐户下执行).以下用程序封装了一下该操作: # ...
- linux系统用户,组和权限的管理
PS: {最近一直在做毕业设计,前面博客也记录过我的一些过程.其中需要在Ubuntu上搭建一个FTP服务器,此处我选择Vsftpd,但是在我对vsftpd的配置文件vsftpd.conf设置正确后(对 ...
- mysql 用户概念_传输概念 – db对象的用户/组/权限从mysql到postgresql
这似乎比stackoverflow更适合这里,所以这里: 我一直在使用mysql一段时间以来,因为在大多数便宜的虚拟主机上,它是提供的数据库.但是,现在我开始认真开发Web应用程序,我一直在本地使用p ...
- OpenShift 4之设置用户/组对项目的访问权限
OpenShift 4之设置用户/组对项目的访问权限 环境与目标 用户 组 项目 目标 实现 创建资源 关联用户和组 设置组权限 验证 环境与目标 假设OpenShift环境中有以下User.Grou ...
- Django自定义User模型以及用户系统(用户、权限、组)的使用
Django自带强大的User系统,为我们提供用户认证.权限.组等一系列功能,可以快速建立一个完整的后台功能. 但User模型并不能满足我们的需求,例如自带的User表中没有手机号码,而且对于国人来说 ...
- Linux 用户 组 权限 管理
linux用户管理和组管理和文件目录权限 用户管理:什么是用户 用户分为:普通用户和超级管理用户 [root(当前登陆用户)@s1(当前的主机名)~]# 查询当前系统上的所有用户cat/etc/pas ...
最新文章
- 微型计算机应用重点,微型计算机原理以及的应用考试重点.doc
- 微信小程序页面跳转、逻辑层模块化
- spring boot使用Jedis整合Redis
- 有关编辑距离计算的一点整理。
- 关于今天zcash4win钱包出错的解决方案Error in updating status 怎么解决
- Android热修复之阿里Sophix的使用详解
- 《袁老师访谈录》第五期 | 史维教授/香港科大校长:【与香港科大一起群飞得更远!】...
- 叙事文章的生成(论文翻译)
- pyramid框架_Python Pyramid Web框架简介
- Spring Cloud Gateway(二):Spring Cloud Gateway整合Eureka应用
- java学习之网络编程
- C语言递归函数——汉诺塔问题笔记
- 创新融合 稳健提升 2011金融展隆重举行
- 密码学相关问题 附答案
- shell不能使用退格、删除键的解决方案
- fcitx架构介绍和模块说明
- 计算机专业英语作业池,计算机专业英语作业(1)..docx
- 手部追踪、虚拟键盘、脑机接口……facebook的人机交互技术 | Mixlab 技术前沿
- 列表排序并返回索引_Python成为专业人士笔记–List列表
- 关于开源的思考 开源如何影响程序员?
热门文章
- CSICTF2020随缘Writeup
- Root Mi note lte with SuperSU without flashing TWRP Recovery permanently (by quqi99)
- 联想拯救者笔记本安装ubuntu系统不能正常关机
- (转)高盛报告:人工智能、机器学习和数据将推动未来生产力的发展
- spark写出分布式的训练算法_Spark on Angel
- 疯狂夹娃娃机源码+教程
- 图像灰度共生矩阵cooc_feature_image.hdev
- 助力自己在金融领域中更加游刃有余的人大与加拿大女王大学金融硕士项目你读到了吗?
- 美国HEKA发布全球第一款人工智能床垫
- 硬件探索——2FSK通信系统调制解调综合实验电路设计