如何有效管理Windows系統帳戶許可權

許可權是windows管理的基礎，當然與windows使用者關係最密切，平時接觸最多的是與帳戶相關的許可權。對於windows帳戶許可權的管理，你是否完全了解呢?下面，筆者以winsows xp為例進行相關測試，希望對提公升認識有所幫助。

1、系統許可權概述

大家知道，windows nt系統是個等級森嚴的系統，作業系統通過對使用者(帳戶)授權來實施管理。以windows

xp系統為例，系統預設的使用者等級有4級：其中system擁有至高無上的許可權，掌握著系統資源的生死大權;administrators組的使用者許可權次於system，擁有大多數的系統許可權;users組的使用者許可權受到限制，只能執行與本使用者相關的操作，而對於其它使用者它無權過問;guest組的使用者許可權更少，只能進行極少的操作。

2、以system帳戶登入系統

眾所周知，在有些時候我們可以獲取system許可權，但如何以system許可權登入系統呢?其實，這是不可能的。因為，system是基於系統服務的，不同於使用者級別的帳戶，所以在windows是不容許以system登入系統。不過，我們可以採用變通的辦法以system「登入」系統。

其原理是：windows是基於圖形介面的，而其圖形介面主要是由explorer.exe負責實現的，explorer俗稱為windows的shell(殼)，我們只要獲得乙個具有system許可權的explorer不就等同於以system登入系統了嗎?

其實現方法是：

(1).以administrators組的使用者登入系統，然後需要開啟task scheduler服務，該服務負責使使用者能在此計算機上配置和制定自動任務。執行「開始→執行」，輸入services.msc開啟服務管理器，然後找到並啟動task scheduler服務。

(2).啟動task scheduler後，我們需要使用at命令來實現啟動乙個system許可權的cmd(命令提示符)。at命令有個interactive引數，該引數允許作業在執行時，與當時登入的使用者桌面進行互動。我們在當前帳戶下執行「開始→執行」，輸入cmd開啟乙個具有當前使用者許可權的命令提示符。為了與後面的擁有system許可權的cmd相區別，我們輸入命令title cmd1將其命名為cmd1。

(3).在cmd1中輸入命令「at 21:08 /interactive cmd.exe」，其中21:08為系統當前時間之後的某個時間，一般與當前時間間隔1分鐘即可。然後我們可以輸入命令at，檢視當前新增加的作業。

(4).大概一分鐘後剛才用at建立的作業順利執行，重新啟動乙個cmd。並且該命令提示符的標題欄顯示為「c:\windows\system32\svchost.exe」，命令提示路徑為「c:\windows\system32>」，表明這個命令提示符不是基於某個帳戶的，而是基於服務的。我們可以開啟「任務管理器」檢視，這麼cmd是system許可權。

(5).由於system是基於system許可權，那麼通過其執行的程式也會繼承其許可權，那麼這些程式也是system許可權。首先我們執行regedit開啟登錄檔編輯器，我們知道[hkey_local_machine\sam\sam]登錄檔項預設只有system許可權可以進行檢視和修改，通過驗證我們可以展開該登錄檔項，說明regedit也是以system許可權執行的。

(6).下面進入關鍵一步，在system的cmd中執行命令「taskkill /f /im explorer.exe」結束當前使用者的explorer.exe，然後繼續輸入命令「start explorer.exe」，回車後可以看到windows會進行explorer.exe配置，配置完成會開啟explorer進入桌面。我們點選開始選單，可以看到在帳戶圖示旁顯示system，說明我們變通地以system登入系統了。

(2).啟用guest帳戶

預設情況下，windows的guest帳戶是被禁用的。要以guest登入系統，需要啟用它。在命令提示符下輸入命令「net user guest /active:yes」即可。

(2).許可權測試

下面我們分別以fr和guest登入系統，看看「孤魂」帳戶和guest的許可權呈現什麼樣的情況，以及組成員與組之間的許可權關係。

測試1首先以fr登入系統，我們在cmd1下輸入命令logoff登出system登入，按兩次「ctrl+alt+del」調出登入對話方塊(「孤魂」帳戶只能安全登入，友好登入中不會顯示。)，輸入fr和密碼123用fr登入系統。登入後，發現乙個奇怪的現象，system許可權的那個cmd視窗還是存在。這說明什麼呢?這再一次證明system是基於windows服務的，在登出的過程中只是與當前使用者相關的東西會被結束掉，但是關鍵的系統服務還一直職守，為不同的使用者提供服務。

下面我們在fr帳戶中進行操作，發現可進行的操作還是比較多的，但是只能進行與本使用者相關的操作，對其他使用者相關的東西都無權進行操作，比如對documents and settings下的相關資料夾沒有操作許可權，修改系統設定比如網路設定都是不可以的。

小結：將fr從users組中刪除後，其許可權還是users許可權，刪除作並沒有剝奪其此前所擁有的許可權，可見組成員繼承了組的許可權，哪怕他已經不屬於這個組，這個判斷對於users組至少是成立的。

測試2以guest登入系統，如大家所料當然許可權有限，只是系統定義的僅有的許可權。我們在剛才的system的命令列下執行命令「net localgroup guests guest /del」，將guest帳戶從guests組中刪除，使其也成為「孤魂」帳戶然後登入系統，會怎麼樣呢?通過測試，將guest中guests組中刪除後能夠「孤魂」帳戶後，其許可權還是guests組的帳戶。

小結：與users組類似，guests組中的帳戶也會繼承該組擁有的許可權，哪怕將其從中刪除，在沒有進入別的組之前，它的許可權是不會有任何變化的。

測試3通過上面的測試，我們引申出：administrators組中的帳戶，將其從改組中刪除後，也會繼承改組的許可權。真的是這樣嗎?我們新建乙個帳戶ctocio，首先將其加administrators組，然後有從administrators組中刪除，還是以修改系統的網路配置為例進行測試。測試的結果是：ctocio並沒有繼承administrators的許可權，在從改組中刪除後它的許可權被降低了，也fr的許可權是一樣的。

小結：windows對administrators、users、guests的許可權許可權管理中採取了雙重標準，加強了adninistrators的管理。其實，這完全是可以理解的。試想，如果有乙個不屬於adminitrators組的管理員那就太危險了。當然，可以通過在登錄檔中修改相應的鍵值再配合命令來建立這樣的管理員使用者，但與此完全是兩個概念。

總結：這篇文章首先通過at命令並配合interactive引數獲得了乙個具有system許可權的cmd，然後結束當前的explorer進而獲得乙個具有system許可權的explorer，變通地以system登入系統。同時，看到了乙個有趣的現象，具有system許可權的cmd完全凌駕去系統帳戶之上，系統帳戶的登出對其沒有任何影響。另外，關於administrators、users、guest組及其使用者許可權的測試，驗證了windows的帳戶和組之間的關係。

如何有效管理Windows系統帳戶許可權

如何有效進行專案集管理

如何建立有效的CRM 客戶關係管理系統

如何通過裝置管理系統來有效提高生產效率？

如何有效管理Windows系統帳戶許可權

如何有效進行專案集管理

如何建立有效的CRM 客戶關係管理 系統

如何通過裝置管理系統來有效提高生產效率？

相關推薦

如何建立有效的CRM 客戶關係管理系統