Administrator账户建议
因为强大的权限网站优化本章就是有关这些选项的。
Administrator账户建议
因为强大的权限Windows环境下的administrator账户必须受到重点保护本段将讨论各种保护具有管理员特权账户的方法。
Additional Administrator Accounts
在Windows XP安装过程中如果用户决定把XP安装成独立工作站用户就会被询问“谁将使用这台计算机?”以及会被要求创建至少一个用户账户如果不创建任何账户那安装过程将无法继续下去。任何在这里创建的账户都将会被指派一个空白的密码并成为Administrators组的成员。因此哪怕仅创建了一个账户机器中也会有两个管理员账户:系统内建的Administrator账户以及用户创建的账户。独立工作站形式的Windows XP系统需要一个额外的管理员账户因为不建议使用系统内建的Administrator账户进行本地登陆。然而在域环境中额外的管理员账户会带来安全隐患。在Windows XP中使用空白密码的本地账户无法通过网络登录但是他们可以本地登录。因此在域环境中建议删除在安装系统过程中创建的额外的管理员账户并确保系统内建的Administrator账户有一个好的、复杂的密码。如果还需要额外的管理员账户确保该账户有一个强密码。
要删除一个用户账户:
选择控制面板 - 用户账户
点击要删除的账户
点击删除账户
用户账户还可以用以下方法删除:
选择开始 - 所有程序 - 管理工具 - 计算机管理
展开本地用户和组节点
双击用户
在右侧的面板右键点击想要删除的账户
从弹出菜单选择删除
Administrator账户的使用以及RunAs命令
管理员应当有两个账户:一个具有管理员特权一个只是普通用户。系统管理员应该只在需要的时候才使用管理员账户而日常任务使用普通账户。管理员决不能用他们的管理员账户访问互联网因为网页上可能包含各种恶意代码并且这些代码可能会以当前登录用户的身份运行。 当进行某些需要管理员权限的操作时可以使用runas命令。这个命令可以允许没有特权的用户以其他用户的身份运行某些程序。在命令行下输入runas /?可获得详细的参数该命令可以这样使用:
runas /user:domain_nameadministrator_account program_name
runas命令也可以通过以下方法处理后直接在快捷方式的右键菜单中执行:
从开始菜单中找到目标程序
在按下SHIFT键的同时右键点击该程序的快捷方式
从弹出菜单中选择运行方式
选择下列用户
输入或选择一个用户名
输入密码
点击确定
注意:RunAs命令需要Windows XP中的Secondary Logon服务或Windows 2000中的RunAs服务正确运行这些服务默认是启动的。
共享资源的权限
Windows共享意味着一些资源例如文件、文件夹、打印机和其他一些资源可以通过网络向网络用户发布出去供他们远程访问。一般用户不能在他们本机上创建共享只有Administrators组和Power Users组的用户具有创建共享的权限同时要创建共享首先还要保证必须对要共享的文件夹至少具有只读的权限。其他具有创建永久共享对象权限的用户也可以创建共享。因为共享的数据中可能包含中还要数据并且是通向本地系统的窗口因此对于共享资源的权限设置一定要注意。
可以对一个用户或者用户组指派以下的共享权限:
完全控制
更改
只读
共享权限是不依赖于NTFS权限存在的然而共享权限又跟NTFS权限密不可分。当访问一个远程共享时将会被应用两者结合的更具有限制性的权限。举例来说如果一个用户访问一个具有完全控制权限的共享文件夹但是相对本地系统则只有只读的NTFS权限时他将只能获得对该文件夹只读的权限。
共享的默认是给Everyone完全控制的权限因此为了限制访问你必须自己编辑共享权限这意味着你的NTFS权限将会被单独用来决定远程用户可以具有什么样的权限。如果因为某些原因用户访问共享文件夹时需要获得比他们本地登录后获得的权限稍小的共享权限你就可以使用共享权限在NTFS权限的基础上更进一步地限制他的访问。然而要注意对用户共享权限的限制不会被应用于他们通过终端服务进行的本地登录基于这个原因建议NTFS权限一定要设置好。
注意:当简单文件共享被禁用(例如Windows XP计算机加入域)后Windows XP不允许共享Documents and Settings、Program Files还有%SystemRoot%文件夹以及%SystemRoot%的子文件夹。
设置共享权限
要创建共享并设置权限: