Administrators 属于该administators本地组内的用户,都具备系统管理员的权限,它们拥有对这台计算机最大的控制权限,可以执行整台计算机的管理任务。内置的系统管理员帐房Administrator就是本地组的成员,而且无法将它从该组删除。
如果这台计算机已加入域,则域的Domain Admins会自动地加入到该计算机的Administrators组内。也就是说,域上的系统管理员在这台计算机上也具备着系统管理员的权限。
Backup OPerators 在该组内的成员,不论它们是否有权访问这台计算机中的文件夹或文件,都可以通过“开始”-“所有程序”-“附件”-“系统工具”-“备份”的途径,备份与还原这些文件夹与文件。
Guests 该组是提供没有用户帐户,但是需要访问本地计算机内资源的用户使用,该组的成员无法永久地改变其桌面的工作环境。该组最常见的默认成员为用户帐号Guest。
Network Configuration Operators 该组内的用户可以在客户端执行一般的网络设置任务,例如更改IP地址,但是不可以安装/删除驱动程序与服务,也不可以执行与网络服务器设置有关的任务,例如DNS服务器、DHCP服务器的设置。
Power Users 该组内的用户具备比Users组更多的权利,但是比Administrators组拥有的权利更少一些,例如,可以:
创建、删除、更改本地用户帐户
创建、删除、管理本地计算机内的共享文件夹与共享打印机
自定义系统设置,例如更改计算机时间、关闭计算机等
Power Users 组的成员不可以更改Administrators与Backup Operators、无法夺取文件的所有权、无法备份与还原文件、无法安装删除与删除设备驱动程序、无法管理安全与审核日志。
Remote Desktop Users 该组的成员可以通过远程计算机登录,例如,利用终端服务器从远程计算机登录。
Users 该组员只拥有一些基本的权利,例如运行应用程序,但是他们不能修改操作系统的设置、不能更改其它用户的数据、不能关闭服务器级的计算机。
所有添加的本地用户帐户者自动属于该组。
如果这台计算机已经加入域,则域的Domain Users会自动地被加入到该计算机的Users组中。
内置特殊组:
Everone 任何一个用户都属于这个组。注意,如果Guest帐号被启用时,则给Everone这个组指派权限时必须小心,因为当一个没有帐户的用户连接计算机时,他被允许自动利用Guest帐户连接,但是因为Guest也是属于Everone组,所以他将具备Everyone所拥有的权限。
Authenticated Users 任何一个利用有效的用户帐户连接的用户都属于这个组。建议在设置权限时,尽量针对Authenticated Users组进行设置,而不要针对Everone进行设置。
Interactive 任何在本地登录的用户都属于这个组。
Network 任何通过网络连接此计算机的用户都属于这个组。
Creator Owner 文件夹、文件或打印文件等资源的创建者,就是该资源的Creator Owner(创建所有者)。不过,如果创建者是属于Administrators组内的成员,则其Creator Owner为Administrators组。
Anonymous Logon 任何未利用有效的Windows Server 2003帐户连接的用户,都属于这个组。注意,在windows 2003内,Everone 组内并不包含“Anonymous Logon”组。
注意:以下设置对Windows XP Home Edition 不起作用。
在家庭里或者在单位中,可能都存在一机多用户共用的现象。作为电脑的管理者,应根据各个用户的需要,合理设置相应的权限。在WinXP中,你可以轻松完成这些设置(以家庭中多用户使用权限的设置为例)。
一、禁止安装软件
如果孩子总是喜欢无休止地往电脑中安装游戏软件,那么你该如何禁止他们的安装权限呢?最有效的方法是为他们创建一个受限账户,这样,当孩子以自己的账户登录WinXP时,只能运行预先安装好的程序和存取属于自己的文件,对软件安装嘛,只能说拜拜了。创建受限账户的具体步骤如下:
1.首先以系统管理员(Administrator)的身份登录到WinXP。
2.点击选择“开始→控制面板”命令,在“控制面板”窗口中双击“用户账户”图标。
3.在弹出的窗口任务列表中点击“创建一个新用户”,然后在向导窗口的文本框内输入一个名称(例如“Moon”),这个名称将出现在欢迎屏幕或开始菜单中,点击“下一步”按钮。
4.在新出现的画面中提供了“计算机管理员”和“受限”两种权限。用鼠标点选“受限”单选按钮,然后点击“创建账户”即可。
另外,在任务列表窗口中你还可以完成对所建账户进行改名和删除等操作。
二、账户管理好帮手──家庭成员组
倘若你想要让其他用户对自己的某个文件夹只具有读的权限,通常的做法是分别为每个账户赋权限。如果用户比较多的话,这样的做法比较麻烦,为了解决这个问题,就是创建一个家庭成员组,只要将其他账户添加到这个组中,然后再给这个组分配此权限,那么该组中的所有用户就都拥有了这个权限。创建组的具体步骤如下:
1.点击选择“开始→控制面板”命令,依次双击“管理工具→计算机管理”图标,弹出“计算机管理”窗口。
2.在左侧窗格的树形结构中,逐级展开“系统工具→本地用户和组”,在该分支下有“用户”和“组”两个选项。选择“组”,在右侧窗格中你会发现“Administrators”、“Power Users”、“Users”和“Guests”等系统内建的组。
3.选择“操作→新建组”命令,弹出“新建组”窗口。在“组名”框内输入“Home Member”,然后点击“创建”按钮即可创建一个组。
4.接下来为该组填加成员,点击“添加”按钮,弹出“选择用户”窗口。
5.点击“对象类型”按钮,将对象类型选择为“用户”;然后再点击“高级”按钮。
6.在进一步展开的选择用户窗口中点击“立即查找”,在搜寻结果列表中选取“Sun”用户,点击“确定”按钮,即可将“Sun”账户添加到该组中,采用相同的方法,将其他用户也添加到这个组中。
三、WinXP也可实现标准账户权限
在家庭成员当中,倘若一个用户想要获得类似于Win2000中标准账户的权限时,可WinXP并没有直接提供创建这类账户的功能,那我们该如何实现呢?具体设置步骤如下:
1.在“计算机管理”窗口的“系统工具→本地用户和组”分支下,选择“组”选项,在右侧窗格中双击“Users”组,弹出“Sun属性”窗口,在“成员”列表中点选“Sun”,然后单击“删除”按钮将该账户删除,点击“确定”按钮返回到“计算机管理”窗口。
2.双击“Power Users”组,在弹出“Power Users”属性窗口中点击“添加”按钮,按照上文介绍的方法将“Sun”账户添加到“Power Users”组中即可。
这样,一个受限账户Sun可以获得标准账户的权限,从此即可解除软件安装的限制了。
四、给文件加个护身符
当多人共用一台电脑时,想必你最担心的是自己的文档被他人误删除,或者秘密文档被偷看,倘若你用的是NTFS文件系统,那就让WinXP为你的文档(或文件夹)加个护身符吧!倘若是这样,即使一个受限账户也可以拒绝管理员访问他的受保护的文件(或文件夹)。现以实例介绍一下设置方法,例如禁止管理员访问“MyDocument”文件夹,而家庭成员组的账户可以对该文件夹进行只读访问。具体步骤如下:
1.例如以“Moon”身份登录,用鼠标右键点击“MyDocument”文件夹,选择快捷菜单中的“属性”命令。在打开的属性窗口中选择“安全”选项卡。
2.点击“高级”按钮,在弹出的"高级安全设置窗口中将“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”复选框前的勾选标记取消,此时屏幕上会弹出一个安全提示,这里选择“复制”(或者“删除”)即可^39020301g^7。然后点击“确定”退回到属性窗口。
3.在“用户和组”列表中将“SYSTEM”、“CREATOR OWNER”和“Users”组删除。
4.接着点击“添加”按钮,弹出“选择用户和组”对话框,按照上文介绍的方法,将“Home Member”组添加到“组或用户名称”列表中。
5.接下来分别设置权限,在属性窗口的“组或用户名称”列表中首先选取“Administrators”组,然后在下面的权限列表中勾选“完全控制”行中的“拒绝”复选框,同时你会发现这一列的其他复选框也自动打上了勾选标记^8。这样管理员组的成员就被拒绝访问该文件夹了。
6.再选择“Home Member”组,在权限列表中确保“读取和运行”的“允许”复选框处于勾选状态即可。这样,该组中的成员(例如姐姐和弟弟)就能查看和运行该文件夹中的文档了。
倘若给“Home Membe”组只设置读文件夹的权限,又给一个用户设置写的权限,但最终该用户只能获取读文件夹的权限,这是因为“安全”属性总是取所有权限中最严格的缘故。
提示:在WinXP中,若要对文件夹进行安全权限设置时,首先该文件夹所在的磁盘驱动器必须是NTFS文件系统,倘若不是这种文件系统,必须先进行转换操作,其方法为:在“运行”对话框内键入“Convert X:/fs:ntfs”(其中X就是被转换的磁盘驱动器),点击“确定”即可。
另外,若文件夹属性窗口中没有发现“安全”选项卡时,你只要在资源管理器窗口中,选择“工具→文件夹选项”命令,在弹出的窗口中选择“查看”选项卡,然后将“高级设置”列表中的“使用简单文件共享”复选框的勾选标记去掉即可。
五、公共文件夹中设个安全屏障
倘若你的某个文件夹(例如“Public”)存放了一些公共文件,可以允许Users组成员读写,但是这个文件夹中还有一个“Secret”子文件夹用来存放一些重要文件,只允许Users组成员读取。这样的安全屏障该如何设置呢?具体方法如下:
1.首先用鼠标点击“Public”文件夹,选择快捷菜单中的“属性”命令,在弹出的属性窗口中点击“安全”选项卡。
2.在“组或用户名称”列表中选择“Users”组,然后将其权限设置为允许“完全控制”。
3.然后再打开“Public”文件夹,选择“Secret”右键菜单中的“属性”命令,在弹出的属性窗口中点击“安全”选项卡,此时你会发现“Users”组拥有“完全控制”的权限,并且允许权限显示为灰色,表明该权限是从上级文件夹“Public”上传递下来的,点击“拒绝”中的“写入”,选中该项,点击“确定”按钮,此时系统给出一个“安全”警告窗口,提示“拒绝”的优先级要高于“允许”,单击“是”即可。
这样,“Users”组成员再往“Secret”文件夹中写文件时,就会遭到拒绝。拒绝权限好比是拦路设的屏障,用来阻止来自上一级(父级)下达的命令。
