system权限详解.doc

Windows 最高权限（system）详解 什么是system权限？为什么说它是最高的权限？ 请大家认真看完本贴。（重新编辑下，删除NTFS权限内容，更改部分文字颜色这样不会感觉眼睛疲劳，删除增加某些内容。）底下提供完整版的文章下载有doc 和txt 两种格式的 一. 权限的由来　　远方的某个山脚下，有一片被森林包围的草原，草原边上居住着一群以牧羊为生的牧民。草原边缘的森林里，生存着各种动物，包括野狼。　　由于羊群是牧民们的主要生活来源，它们的价值便显得特别珍贵，为了防止羊的跑失和野兽的袭击，每户牧民都用栅栏把自己的羊群圈了起来，只留下一道小门，以便每天傍晚供羊群外出到一定范围的草原上活动，实现了一定规模的保护和管理效果。　　最初，野狼只知道在森林里逮兔子等野生动物生存，没有发现远处草原边上的羊群，因此，在一段时间里实现了彼此和平相处，直到有一天，一只为了追逐兔子而凑巧跑到了森林边缘的狼，用它那灵敏的鼻子嗅到了远处那隐隐约约的烤羊肉香味。　　当晚，突然出现的狼群袭击了草原上大部分牧民饲养的羊，它们完全无视牧民们修筑的仅仅能拦住羊群的矮小栅栏，轻轻一跃便突破了这道防线……虽然闻讯而来的牧民们合作击退了狼群，但是羊群已经遭到了一定的损失。　　事后，牧民们明白了栅栏不是仅仅用来防止羊群逃脱的城墙，各户牧民都在忙着加高加固了栅栏…… 　　如今使用WINDOWS XP VISTA WIN7 的人都听说过“权限”(Privilege)这个概念，但是真正理解它的家庭用户，也许并不会太多，那么，什么是“权限”呢?对于一般的用户而言，我们可以把它理解为系统对用户能够执行的功能操作所设立的额外限制，用于进一步约束计算机用户能操作的系统功能和内容访问范围，或者说，权限是指某个特定的用户具有特定的系统资源使用权力。　　 对计算机来说，系统执行的代码可能会对它造成危害，因此处理器产生了Ring（圈内，环内）的概念，把“裸露在外”的一部分用于人机交互的操作界面限制起来，避免它一时头脑发热发出有害指令;而对于操作界面部分而言，用户的每一步操作仍然有可能伤害到它自己和底层系统——尽管它自身已经被禁止执行许多有害代码，但是一些不能禁止的功能却依然在对这层安全体系作出威胁，因此，为了保护自己，操作系统需要在Ring 的笼子里限制操作界面基础上，再产生一个专门用来限制用户的栅栏，这就是现在我们要讨论的权限，它是为限制用户而存在的，而且限制对每个用户并不是一样的，在这个思想的引导下，有些用户能操作的范围相对大些，有些只能操作属于自己的文件，有些甚至什么也不能做…… 　　 正因为如此，计算机用户才有了分类:管理员、普通用户、受限用户、来宾等…… 二. 权限的指派 1.普通权限　　虽然Win2\X\V\win7等系统提供了“权限”的功能，但是这样就又带来一个新问题:权限如何分配才是合理的?如果所有人拥有的权限都一样，那么就等于所有人都没有权限的限制，那和使用Win9x有什么区别?幸好，系统默认就为我们设置好了“权限组”(Group)，只需把用户加进相应的组即可拥有由这个组赋予的操作权限，这种做法就称为权限的指派。　　默认情况下，系统为用户分了7个组，并给每个组赋予不同的操作权限，管理员组(Administrators)、高权限用户组(Power Users)、普通用户组(Users)、备份操作组(Backup Operators)、文件复制组(Replicator)、来宾用户组(Guests)，身份验证用户组(Ahthenticated users)其中备份操作组和文件复制组为维护系统而设置，平时不会被使用。　　 系统默认的分组是依照一定的管理凭据指派权限的，而不是胡乱产生，管理员组拥有大部分的计算机操作权限(并不是全部)，能够随意修改删除所有文件和修改系统设置只有程序信任组（特殊权限）。再往下就是高权限用户组，这一部分用户也能做大部分事情，但是不能修改系统设置，不能运行一些涉及系统管理的程序。普通用户组则被系统拴在了自己的地盘里，不能处理其他用户的文件和运行涉及管理的程序等。来宾用户组的文件操作权限和普通用户组一样，但是无法执行更多的程序。身份验证用户组(Ahthenticated users) 经过ms验证程序登录的用户均属于此组。　　　　 2.特殊权限　　除了上面提到的7个默认权限分组，系统还存在一些特殊权限成员，这些成员是为了特殊用途而设置，分别是:SYSTEM(系统)、Trustedinstaller（信任程序模块）、Everyone(所有人)、CREATOR OWNER(创建者) 等，这些特殊成员不被任何内置用户组吸纳，属于完全独立出来的账户。　　前面我提到管理员分组的权限时并没有用“全部”来形容，秘密就在此，不要相信系统描述的“有不受限制的完全访问权”，