注意:在Windows XP Professional中,最多可以同时有10个用户通过网络登录(指使用认证账户登录的用户,对于访问由IIS提供的Web服务的用户没有限制)方式使用某一台计算机提供的共享资源。
3.资源复制或移动时权限的变化与处理
在权限的应用中,不可避免地会遇到设置了权限后的资源需要复制或移动的情况,那么这个时候资源相应的权限会发生怎样的变化呢?下面来了解一下:
(1)复制资源时
在复制资源时,原资源的权限不会发生变化,而新生成的资源,将继承其目标位置父级资源的权限。
(2)移动资源时
在移动资源时,一般会遇到两种情况,一是如果资源的移动发生在同一驱动器内,那么对象保留本身原有的权限不变(包括资源本身权限及原先从父级资源中继承的权限);二是如果资源的移动发生在不同的驱动器之间,那么不仅对象本身的权限会丢失,而且原先从父级资源中继承的权限也会被从目标位置的父级资源继承的权限所替代。实际上,移动操作就是首先进行资源的复制,然后从原有位置删除资源的操作。
(3)非NTFS分区
上述复制或移动资源时产生的权限变化只是针对NTFS分区上而言的,如果将资源复制或移动到非NTFS分区(如FAT16/FAT32分区)上,那么所有的权限均会自动全部丢失。
4.资源所有权的高级管理
有时我们会发现当前登录的用户无法对某个资源进行任何操作,这是什么原因呢?其实这种常见的现象很有可能是因为对某个资源进行的NTFS权限设置得不够完善导致的──这将会造成所有人(包括“Administrator”组成员)都无法访问资源,例如不小心将“zhiguo”这个文件夹的所有用户都删除了,这将会导致所有用户都无法访问这个文件夹,此时很多朋友就会束手无策了,其实通过使用更改所有权的方法就可以很轻松地解决这类权限问题了。
首先,我们需要检查一下资源的所有者是谁,如果想查看某个资源(如sony目录)的用户所有权的话,那么只需使用“dir sony /q”命令就可以了。在反馈信息的第一行就可以看到用户是谁了,例如第一行的信息是“lovebook\zhong”,那么意思就是lovebook这台计算机中的“zhong”用户。如图5所示。
图5
如果想在图形界面中查看所有者是谁,那么需要进入资源的属性对话框,点击“安全”选项卡设置界面中的“高级”按钮,在弹出的“(用户名)高级安全设置”界面中点击“所有者”选项卡,从其中的“目前该项目的所有者”列表中就可以看到当前资源的所有者是谁了。
如果想将所有者更改用户,那么只需在“将所有者更改为”列表中选择目标用户名后,点击“确定”按钮即可。此外,也可以直接在“安全”选项卡设置界面中点击“添加”按钮添加一个用户并赋予相应的权限后,让这个用户来获得当前文件夹的所有权。
注意:查看所有者究竟对资源拥有什么样的权限,可点击进入“有效权限”选项卡设置界面,从中点击“选择”按钮添加当前资源的所有者后,就可以从下方的列表中权限选项的勾取状态来获知了。
五、程序使用权限设定
Windows XP操作系统在文件管理方面功能设计上颇为多样、周全和智能化。这里通过“程序文件使用权限”设置、将“加密文件授权多个用户可以访问”和了解系统日志的访问权限三个例子给大家解释一下如何进行日常应用。
1.程序文件权限设定
要了解Windows XP中关于程序文件的访问权限,我们应首先来了解一下Windows XP在这方面的两个设计,一是组策略中软件限制策略的设计;二是临时分配程序文件使用权限的设计。
(1)软件限制策略
在“运行”栏中输入“Gpedit.msc”命令打开组策略窗口后,在“计算机配置”→“Windows设置”→“安全设置”分支中,右键选中“软件限制策略”分支,在弹出的快捷菜单中选择新建一个策略后,就可以从“软件限制策略”分支下新出现的“安全级别”中看到有两种安全级别的存在了。
这两条安全级别对于程序文件与用户权限之前是有密切联系的:
①不允许的:从其解释中可以看出,无论用户的访问权如何,软件都不会运行;
②不受限的:这是默认的安全级别,其解释为“软件访问权由用户的访问权来决定”。显然,之所以在系统中可以设置各种权限,是因为有这个默认安全策略在背后默默支持的缘故。如果想把“不允许的"安全级别设置为默认状态,只需双击进入其属性界面后点击“设为默认值”按钮即可。
(2)临时分配程序文件
为什么要临时分配程序文件的管理权限呢?这是因为在Windows XP中,有许多很重要的程序都是要求用户具有一定的管理权限才能使用的,因此在使用权限不足以使用某些程序的账户时,为了能够使用程序,我们就需要为自己临时分配一个访问程序的管理权限了。为程序分配临时管理权限的方法很简单:右键点击要运行的程序图标,在弹出的快捷菜单中选择“运行方式”,在打开的“运行身份”对话框中选中“下列用户”选项,在“用户名”和“密码”右侧的文本框中指定用户及密码即可。
显然,这个临时切换程序文件管理权限的设计是十分有必要的,它可以很好地起到保护系统的目的。
2.授权多个用户访问加密文件
Windows XP在EFS上的改进之一就是可以允许多个用户访问加密文件,这些用户既可以是本地用户,也可以是域用户或受信任域的用户。由于无法将证书颁发给用户组,而只能颁发给用户,所以只能授权单个的账户访问加密文件,而用户组将不能被授权。
要授权加密文件可以被多个用户访问,可以按照如下方法进行操作:
选中已经加密的文件,用鼠标右键点击该加密文件,选择“属性”,在打开的属性对话框中“常规”选项卡下点击“高级”按钮,打开加密文件的高级属性对话框,点击其中的“详细信息”按钮(加密文件夹此按钮无效),在打开的对话框中点击“添加”按钮添加一个或多个新用户即可(如果计算机加入了域,则还可以点击“寻找用户”按钮在整个域范围内寻找用户)。如图6所示。
图6
如果要删除某个用户对加密文件的访问权限,那么只需选中此用户后点击“删除”按钮即可。
3.日志的访问权限
什么是日志?我们可以将日志理解为系统日记,这本“日记”可以按系统管理员预先的设定,自动将系统中发生的所有事件都一一记录在案,供管理员查询。既然日志信息具有如此重要的参考作用,那么就应该做好未经授权的用户修改或查看的权限控制。因此,我们非常有必要去了解一下日志的访问权限在Windows XP中是怎样设计的。一般来说,Administrators、SYSTEM、Everyone三种类型的账户可以访问日志。
这三种类型的账户对不同类型的日志拥有不同的访问权限,下面来看一下表格中具体的说明,请注意“√”表示拥有此权限;“×”表示无此权限。
对应用程序日志的权限
账户
读取
写入
清除
Administrators
√
√
√
SYSTEM
√
√
√
Everyone
√
√
×
对安全日志的权限
账户
读取
写入
清除
Administrators
√
×
√
SYSTEM
√
√
√
Everyone
×
×
×
对系统日志的权限
账户
读取
写入
清除
Administrators
√
√
√
SYSTEM
√
√
√
Everyone
√
×
×
通过对比,可以看出SYSTEM拥有的权限最高,可以对任意类型的日志进行读写和清除操作;Everyone用户则可以读取应用程序和系统日志,但对安全日志无法读取。这是因为安全日志相对其他几种类型的日志在安全性方面的要求要高一些,只有SYSTEM能够对之写入。
如果想为其他用户赋予管理审核安全日志的权限,那么可以在“运行”栏中输入“Gpedit.msc”命令打开组策略编辑器窗口后,依次进入“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“用户权利指派”,双击右侧的“管理审核和安全日志”项,在弹出的对话框中添加所需的用户即可。
六、内置安全主体与权限
在Windows XP中,有一群不为人知的用户,它们的作用是可以让我们指派权限到某种“状态”的用户(如“匿名用户”、“网络用户”)等,而不是某个特定的用户或组(如“zhong”、“CPCW”这类用户)。这样一来,对用户权限的管理就更加容易精确控制了。这群用户在Windows XP中,统一称为内置安全主体。下面让我们来了解一下:
1.安全主体的藏身之处
下面假设需要为一个名为“zhiguo”的目录设置内置安全主体中的“Network”类用户权限为例,看看这群“默默无闻”的用户藏身在系统何处。
首先进入“zhiguo”目录属性界面的“安全”选项卡设置界面,点击其中的“添加”按钮,在弹出的“选择用户或组”对话框中点击“对象类型”按钮。在弹出对话框中只保留列表中的“内置安全主体”项,并点击“确定”按钮。
,Windows XP权限整合应用全解