Windows XP权限整合应用全解

《Windows XP权限整合应用全解》由会员分享，可在线阅读，更多相关《Windows XP权限整合应用全解（11页珍藏版）》请在装配图网上搜索。

1、Windows XP权限整合应用全解一、什么是权限WindowsXP提供了非常细致的权限控制项，能够精确定制用户对资源的访问控制能力，大多数的权限从其名称上就可以基本了解其所能实现的内容。权限(Permission)是针对资源而言的。也就是说，设置权限只能是以资源为对象，即设置某个文件夹有哪些用户可以拥有相应的权限，而不能是以用户为主，即设置某个用户可以对哪些资源拥有权限。这就意味着权限必须针对资源而言，脱离了资源去谈权限毫无意义在提到权限的具体实施时，某个资源是必须存在的。利用权限可以控制资源被访问的方式，如User组的成员对某个资源拥有读取操作权限、Administrators组成员拥有读

2、取+写入+删除操作权限等。值得一提的是，有一些Windows用户往往会将权力与权限两个非常相似的概念搞混淆，这里做一下简单解释：权力(Right)主要是针对用户而言的。权力通常包含登录权力(LogonRight)和特权(Privilege)两种。登录权力决定了用户如何登录到计算机，如是否采用本地交互式登录、是否为网络登录等。特权则是一系列权力的总称，这些权力主要用于帮助用户对系统进行管理，如是否允许用户安装或加载驱动程序等。显然，权力与权限有本质上的区别。二、安全标识符、访问控制列表、安全主体说到WindowsXP的权限，就不能不说说安全标识符(SecurityIdentifier,SID)、

3、访问控制列表(AccessControlList，ACL)和安全主体(SecurityPrincipal)这三个与其息息相关的设计了。1.安全标识符在WindowsXP中，系统是通过SID对用户进行识别的，而不是很多用户认为的用户名称。SID可以应用于系统内的所有用户、组、服务或计算机，因为SID是一个具有惟一性、绝对不会重复产生的数值，所以，在删除了一个账户(如名为A的账户)后，再次创建这个A账户时，前一个A与后一个A账户的SID是不相同的。这种设计使得账户的权限得到了最基础的保护，盗用权限的情况也就彻底杜绝了。查看用户、组、服务或计算机的SID值，可以使用Whoami工具来执行，该工具包含

4、在WindowsXP安装光盘的SupportTools目录中，双击执行该目录下的Setup文件后，将会有包括Whoami工具在内的一系列命令行工具拷贝到X:ProgramFilesSupportTools目录中。此后在任意一个命令提示符窗口中都可以执行Whoami/all命令来查看当前用户的全部信息。2.访问控制列表(ACL)访问控制列表是权限的核心技术。顾名思义，这是一个权限列表，用于定义特定用户对某个资源的访问权限，实际上这就是WindowsXP对资源进行保护时所使用的一个标准。在访问控制列表中，每一个用户或用户组都对应一组访问控制项(AccessControlEntry,ACE)，这一点

5、只需在组或用户名称列表中选择不同的用户或组时，通过下方的权限列表设置项是不同的这一点就可以看出来。显然，所有用户或用户组的权限访问设置都将会在这里被存储下来，并允许随时被有权限进行修改的用户进行调整，如取消某个用户对某个资源的写入权限。3.安全主体(SecurityPrincipal)在WindowsXP中，可以将用户、用户组、计算机或服务都看成是一个安全主体，每个安全主体都拥有相对应的账户名称和SID。根据系统架构的不同，账户的管理方式也有所不同本地账户被本地的SAM管理；域的账户则会被活动目录进行管理.一般来说，权限的指派过程实际上就是为某个资源指定安全主体(即用户、用户组等)可以拥有怎样

6、的操作过程。因为用户组包括多个用户，所以大多数情况下，为资源指派权限时建议使用用户组来完成，这样可以非常方便地完成统一管理。三、权限的四项基本原则在WindowsXP中，针对权限的管理有四项基本原则，即：拒绝优于允许原则、权限最小化原则、累加原则和权限继承性原则。这四项基本原则对于权限的设置来说，将会起到非常重要的作用，下面就来了解一下：1.拒绝优于允许原则拒绝优于允许原则是一条非常重要且基础性的原则，它可以非常完美地处理好因用户在用户组的归属方面引起的权限纠纷，例如，shyzhong这个用户既属于shyzhongs用户组，也属于xhxs用户组，当我们对xhxs组中某个资源进行写入权限的集中分

7、配(即针对用户组进行)时，这个时候该组中shyzhong账户将自动拥有写入的权限。但令人奇怪的是，shyzhong账户明明拥有对这个资源的写入权限，为什么实际操作中却无法执行呢？原来，在shyzhongs组中同样也对shyzhong用户进行了针对这个资源的权限设置，但设置的权限是拒绝写入。基于拒绝优于允许的原则，shyzhong在shyzhongs组中被拒绝写入的权限将优先xhxs组中被赋予的允许写入权限被执行。因此，在实际操作中，shyzhong用户无法对这个资源进行写入操作。2.权限最小化原则WindowsXP将保持用户最小的权限作为一个基本原则进行执行，这一点是非常有必要的。这条原则可以

8、确保资源得到最大的安全保障。这条原则可以尽量让用户不能访问或不必要访问的资源得到有效的权限赋予限制。基于这条原则，在实际的权限赋予操作中，我们就必须为资源明确赋予允许或拒绝操作的权限。例如系统中新建的受限用户shyzhong在默认状态下对DOC目录是没有任何权限的，现在需要为这个用户赋予对DOC目录有读取的权限，那么就必须在DOC目录的权限列表中为shyzhong用户添加读取权限。3.权限继承性原则权限继承性原则可以让资源的权限设置变得更加简单。假设现在有个DOC目录，在这个目录中有DOC01、DOC02、DOC03等子目录，现在需要对DOC目录及其下的子目录均设置shyzhong用户有写入权

9、限。因为有继承性原则，所以只需对DOC目录设置shyzhong用户有写入权限，其下的所有子目录将自动继承这个权限的设置。4.累加原则这个原则比较好理解，假设现在zhong用户既属于A用户组，也属于B用户组，它在A用户组的权限是读取，在B用户组中的权限是写入，那么根据累加原则，zhong用户的实际权限将会是读取+写入两种。显然，拒绝优于允许原则是用于解决权限设置上的冲突问题的；权限最小化原则是用于保障资源安全的；权限继承性原则是用于自动化执行权限设置的；而累加原则则是让权限的设置更加灵活多变。几个原则各有所用，缺少哪一项都会给权限的设置带来很多麻烦！注意：在WindowsXP中，Administ

10、rators组的全部成员都拥有取得所有者身份(TakeOwnership)的权力，也就是管理员组的成员可以从其他用户手中夺取其身份的权力。例如受限用户shyzhong建立了一个DOC目录，并只赋予自己拥有读取权力，这看似周到的权限设置，实际上，Administrators组的全部成员将可以通过夺取所有权等方法获得这个权限。 四、资源权限高级应用以文件与文件夹的权限为例，依据是否被共享到网络上，其权限可以分为NTFS权限与共享权限两种，这两种权限既可以单独使用，也可以相辅使用。两者之间既能够相互制约，也可以相互补充。下面来看看如何进行设置：1.NTFS权限首先我们要知道：只要是存在NTFS磁盘分

11、区上的文件夹或文件，无论是否被共享，都具有此权限。此权限对于使用FAT16/FAT32文件系统的文件与文件夹无效！NTFS权限有两大要素：一是标准访问权限；二是特别访问权限。前者将一些常用的系统权限选项比较笼统地组成6种套餐型的权限，即：完全控制、修改、读取和运行、列出文件夹目录、读取、写入。在大多数的情况下，标准权限是可以满足管理需要的，但对于权限管理要求严格的环境，它往往就不能令管理员们满意了，如只想赋予某用户有建立文件夹的权限，却没有建立文件的权限；如只能删除当前目录中的文件，却不能删除当前目录中的子目录的权限等.这个时候，就可以让拥有所有权限选项的特别权限来大显身手了。也就是说，特别权

12、限不再使用套餐型，而是使用可以允许用户进行菜单型的细节化权限管理选择了。那么如何设置标准访问权限呢？以对一个在NTFS分区中的名为zhiguo的文件夹进行设置标准访问权限为例，可以按照如下方法进行操作：因为NTFS权限需要在资源属性页面的安全选项卡设置界面中进行，而WindowsXP在安装后默认状态下是没有激活安全选项卡设置功能的，所以需要首先启用系统中的安全选项卡。方法是：依次点击开始设置控制面板，双击文件夹选项，在查看标签页设置界面上的高级设置选项列表中清除使用简单文件共享(推荐)选项前的复选框后点击应用按钮即可。设置完毕后就可以右键点击zhiguo文件夹，在弹出的快捷菜单中选择共享与安全

13、，在zhiguo属性窗口中就可以看见安全选项卡的存在了。针对资源进行NTFS权限设置就是通过这个选项卡来实现的，此时应首先在组或用户名称列表中选择需要赋予权限的用户名组(这里选择zhong用户)，接着在下方的zhong的权限列表中设置该用户可以拥有的权限即可。下面简单解释一下六个权限选项的含义：完全控制(FullControl)：该权限允许用户对文件夹、子文件夹、文件进行全权控制，如修改资源的权限、获取资源的所有者、删除资源的权限等，拥有完全控制权限就等于拥有了其他所有的权限；修改(Modify)：该权限允许用户修改或删除资源，同时让用户拥有写入及读取和运行权限；读取和运行(Read&Exec

14、ute)：该权限允许用户拥有读取和列出资源目录的权限，另外也允许用户在资源中进行移动和遍历，这使得用户能够直接访问子文件夹与文件，即使用户没有权限访问这个路径；列出文件夹目录(ListFolderContents)：该权限允许用户查看资源中的子文件夹与文件名称；读取(Read)：该权限允许用户查看该文件夹中的文件以及子文件夹，也允许查看该文件夹的属性、所有者和拥有的权限等；写入(Write)：该权限允许用户在该文件夹中创建新的文件和子文件夹，也可以改变文件夹的属性、查看文件夹的所有者和权限等。如果在组或用户名称列表中没有所需的用户或组，那么就需要进行相应的添加操作了，方法如下：点击添加按钮后，

15、在出现的选择用户和组对话框中，既可以直接在输入对象名称来选择文本区域中输入用户或组的名称(使用计算机名用户名这种方式)，也可以点击高级按钮，在弹出的对话框中点击立即查找按钮让系统列出当前系统中所有的用户组和用户名称列表。此时再双击选择所需用户或组将其加入即可。如果想删除某个用户组或用户的话，只需在组或用户名称列表中选中相应的用户或用户组后，点击下方的删除按钮即可。但实际上，这种删除并不能确保被删除的用户或用户组被拒绝访问某个资源，因此，如果希望拒绝某个用户或用户组访问某个资源，还要在组或用户名称列表中选择相应的用户名用户组后，为其选中下方的拒绝复选框即可。那么如何设置特殊权限呢？假设现在需要对

16、一个名为zhiguo的目录赋zhong用户对其具有读取、建立文件和目录的权限，基于安全考虑，又决定取消该账户的删除权限。此时，如果使用标准权限的话，将无法完成要求，而使用特别权限则可以很轻松地完成设置。方法如下：首先，右键点击zhiguo目录，在右键快捷菜单中选择共享与安全项，随后在安全选项卡设置界面中选中zhong用户并点击下方的高级按钮，在弹出的对话框中点击清空从父项继承那些可以应用到子对象的权限项目，包括那些在此明确定义的项目项选中状态，这样可以断开当前权限设置与父级权限设置之前的继承关系。在随即弹出的安全对话框中点击复制或删除按钮后(点击复制按钮可以首先复制继承的父级权限设置，然后再断

17、开继承关系)，接着点击应用按钮确认设置，再选中zhong用户并点击编辑按钮，在弹出的zhong的权限项目对话框中请首先点击全部清除按钮，接着在权限列表中选择遍历文件夹/运行文件、列出文件夹/读取数据、读取属性、创建文件/写入数据、创建文件夹/附加数据、读取权限几项，最后点击确定按钮结束设置。在经过上述设置后，zhong用户在对zhiguo进行删除操作时，就会弹出提示框警告操作不能成功的提示了。显然，相对于标准访问权限设置上的笼统，特别访问权限则可以实现更具体、全面、精确的权限设置。为了大家更好地理解特殊权限列表中的权限含义，以便做出更精确的权限设置，下面简单解释一下其含义：遍历文件夹/运行文件

18、(TraverseFolder/ExecuteFile)：该权限允许用户在文件夹及其子文件夹之间移动(遍历)，即使这些文件夹本身没有访问权限。注意：只有当在组策略中(计算机配置Windows设置安全设置本地策略用户权利指派)将跳过遍历检查项授予了特定的用户或用户组，该项权限才能起作用。默认状态下，包Administrators、Users、Everyone等在内的组都可以使用该权限。对于文件来说，拥了这项权限后，用户可以执行该程序文件。但是，如果仅为文件夹设置了这项权限的话，并不会让用户对其中的文件带上执行的权限；列出文件/读取数据(ListFolder/ReadData)：该权限允许用户查看

19、文件夹中的文件名称、子文件夹名称和查看文件中的数据；读取属性(ReadAttributes)：该权限允许用户查看文件或文件夹的属性(如系统、只读、隐藏等属性)；读取扩展属性(ReadExtendedAttributes)：该权限允许查看文件或文件夹的扩展属性，这些扩展属性通常由程序所定义，并可以被程序修改；创建文件/写入属性(CreateFiles/WriteData)：该权限允许用户在文件夹中创建新文件，也允许将数据写入现有文件并覆盖现有文件中的数据；创建文件夹/附加数据(CreateFolder/AppendData)：该权限允许用户在文件夹中创建新文件夹或允许用户在现有文件的末尾添加数据

20、，但不能对文件现有的数据进行覆盖、修改，也不能删除数据；写入属性(WriteAttributes)：该权限允许用户改变文件或文件夹的属性；写入扩展属性(WriteExtendedAttributes)：该权限允许用户对文件或文件夹的扩展属性进行修改；删除子文件夹及文件(DeleteSubfoldersandFiles)：该权限允许用户删除文件夹中的子文件夹或文件，即使在这些子文件夹和文件上没有设置删除权限；删除(Delete)：该权限允许用户删除当前文件夹和文件，如果用户在该文件或文件夹上没有删除权限，但是在其父级的文件夹上有删除子文件及文件夹权限，那么就仍然可以删除它；读取权限(ReadPe

21、rmissions)：该权限允许用户读取文件或文件夹的权限列表；更改权限(ChangePermissions)：该权限允许用户改变文件或文件夹上的现有权限；取得所有权(TakeOwnership)：该权限允许用户获取文件或文件夹的所有权，一旦获取了所有权，用户就可以对文件或文件夹进行全权控制。这里需要单独说明一下修改权限与写入权限的区别：如果仅仅对一个文件拥有修改权限，那么，不仅可以对该文件数据进行写入和附加，而且还可以创建新文件或删除现有文件。而如果仅仅对一个文件拥有写入权限，那么既可以对文件数据进行写入和附加，也可以创建新文件，但是不能删除文件。也就是说，有写入权限不等于具有删除权限，但拥

22、有修改权限，就等同于拥有删除和写入权限。2.共享权限(SharedPermission)只要是共享出来的文件夹就一定具有此权限。如该文件夹存在于NTFS分区中，那么它将同时具有NTFS权限与共享权限，如果这个资源同时拥有NTFS和共享两种权限，那么系统中对权限的具体实施将以两种权限中的较严格的权限为准这也是拒绝优于允许原则的一种体现！例如，某个共享资源的NTFS权限设置为完全控制，而共享权限设置为读取，那么远程用户就只能使用读取权限对共享资源进行访问了。注意：如果是FAT16/FAT32文件系统中的共享文件夹，那么将只能受到共享权限的保护，这样一来就容易产生安全性漏洞。这是因为共享权限只能够限

23、制从网络上访问资源的用户，并无法限制直接登录本机的人，即用户只要能够登录本机，就可以任意修改、删除FAT16/FAT32分区中的数据了。因此，从安全角度来看，我们是不推荐在WindowsXP中使用FAT16/FAT32分区的。设置共享权限很简单，在右键选中并点击一个文件夹后，在右键快捷菜单中选择共享与安全项，在弹出的属性对话框共享选项卡设置界面中点击选中共享该文件夹项即可，这将使共享资源使用默认的权限设置(即Everyone用户拥有读取权限)。如果想具体设置共享权限，那么请点击权限按钮，在打开的对话框中可以看到权限列表中有完全控制、更改和读取三项权限可供选择。下面先简单介绍一下这三个权限的含义

24、：完全控制：允许用户创建、读取、写入、重命名、删除当前文件夹中的文件以及子文件夹，另外，也可以修改该文件夹中的NTFS访问权限和夺取所有权；更改：允许用户读取、写入、重命名和删除当前文件夹中的文件和子文件夹，但不能创建新文件；读取：允许用户读取当前文件夹的文件和子文件夹，但是不能进行写入或删除操作。说完了权限的含义，我们就可以点击添加按钮，将需要设置权限的用户或用户组添加进来了。在缺省情况下，当添加新的组或用户时，该组或用户将具备读取(Read)权限，我们可以根据实际情况在下方的权限列表中进行复选框的选择与清空。接着再来说说令很多读者感到奇怪的组和用户名称列表中的Everyone组的含义。在W

25、indows2000中，这个组因为包含了AnonymousLogon组，所以它表示每个人的意思。但在WindowsXP中，请注意这个组因为只包括AuthenticatedUsers和Guests两个组，而不再包括AnonymousLogon组，所以它表示了可访问计算机的所有用户，而不再是每个人！请注意这是有区别的，可访问计算机的所有用户意味着必须是通过认证的用户，而每个人则不必考虑用户是否通过了认证。从安全方面来看，这一点是直接导致安全隐患是否存在关键所在！当然，如果想在WindowsXP中实现Windows2000中那种Everyone设计机制，那么可以通过编辑本地安全策略来实现，方法是：在

26、运行栏中输入Secpol.msc命令打开安全设置管理单元，依次展开安全设置本地策略，然后进入安全选项，双击右侧的网络访问：让每个人权限应用于匿名用户项，然后选择已启用项即可。注意：在WindowsXPProfessional中，最多可以同时有10个用户通过网络登录(指使用认证账户登录的用户，对于访问由IIS提供的Web服务的用户没有限制)方式使用某一台计算机提供的共享资源。3.资源复制或移动时权限的变化与处理在权限的应用中，不可避免地会遇到设置了权限后的资源需要复制或移动的情况，那么这个时候资源相应的权限会发生怎样的变化呢？下面来了解一下：(1)复制资源时在复制资源时，原资源的权限不会发生变化

27、，而新生成的资源，将继承其目标位置父级资源的权限。(2)移动资源时在移动资源时，一般会遇到两种情况，一是如果资源的移动发生在同一驱动器内，那么对象保留本身原有的权限不变(包括资源本身权限及原先从父级资源中继承的权限)；二是如果资源的移动发生在不同的驱动器之间，那么不仅对象本身的权限会丢失，而且原先从父级资源中继承的权限也会被从目标位置的父级资源继承的权限所替代。实际上，移动操作就是首先进行资源的复制，然后从原有位置删除资源的操作。(3)非NTFS分区上述复制或移动资源时产生的权限变化只是针对NTFS分区上而言的，如果将资源复制或移动到非NTFS分区(如FAT16/FAT32分区)上，那么所有的

28、权限均会自动全部丢失。4.资源所有权的高级管理有时我们会发现当前登录的用户无法对某个资源进行任何操作，这是什么原因呢？其实这种常见的现象很有可能是因为对某个资源进行的NTFS权限设置得不够完善导致的这将会造成所有人(包括Administrator组成员)都无法访问资源，例如不小心将zhiguo这个文件夹的所有用户都删除了，这将会导致所有用户都无法访问这个文件夹，此时很多朋友就会束手无策了，其实通过使用更改所有权的方法就可以很轻松地解决这类权限问题了。首先，我们需要检查一下资源的所有者是谁，如果想查看某个资源(如sony目录)的用户所有权的话，那么只需使用dirsony/q命令就可以了。在反馈信

29、息的第一行就可以看到用户是谁了，例如第一行的信息是lovebookzhong，那么意思就是lovebook这台计算机中的zhong用户。如果想在图形界面中查看所有者是谁，那么需要进入资源的属性对话框，点击安全选项卡设置界面中的高级按钮，在弹出的(用户名)高级安全设置界面中点击所有者选项卡，从其中的目前该项目的所有者列表中就可以看到当前资源的所有者是谁了。如果想将所有者更改用户，那么只需在将所有者更改为列表中选择目标用户名后，点击确定按钮即可。此外，也可以直接在安全选项卡设置界面中点击添加按钮添加一个用户并赋予相应的权限后，让这个用户来获得当前文件夹的所有权。注意：查看所有者究竟对资源拥有什么样

30、的权限，可点击进入有效权限选项卡设置界面，从中点击选择按钮添加当前资源的所有者后，就可以从下方的列表中权限选项的勾取状态来获知了。五、程序使用权限设定WindowsXP操作系统在文件管理方面功能设计上颇为多样、周全和智能化。这里通过程序文件使用权限设置、将加密文件授权多个用户可以访问和了解系统日志的访问权限三个例子给大家解释一下如何进行日常应用。1.程序文件权限设定要了解WindowsXP中关于程序文件的访问权限，我们应首先来了解一下WindowsXP在这方面的两个设计，一、是组策略中软件限制策略的设计；二、是临时分配程序文件使用权限的设计。(1)软件限制策略在运行栏中输入Gpedit.msc

31、命令打开组策略窗口后，在计算机配置Windows设置安全设置分支中，右键选中软件限制策略分支，在弹出的快捷菜单中选择新建一个策略后，就可以从软件限制策略分支下新出现的安全级别中看到有两种安全级别的存在了。这两条安全级别对于程序文件与用户权限之前是有密切联系的：不允许的：从其解释中可以看出，无论用户的访问权如何，软件都不会运行；不受限的：这是默认的安全级别，其解释为软件访问权由用户的访问权来决定。显然，之所以在系统中可以设置各种权限，是因为有这个默认安全策略在背后默默支持的缘故。如果想把不允许的安全级别设置为默认状态，只需双击进入其属性界面后点击设为默认值按钮即可。(2)临时分配程序文件为什么要

32、临时分配程序文件的管理权限呢？这是因为在WindowsXP中，有许多很重要的程序都是要求用户具有一定的管理权限才能使用的，因此在使用权限不足以使用某些程序的账户时，为了能够使用程序，我们就需要为自己临时分配一个访问程序的管理权限了。为程序分配临时管理权限的方法很简单：右键点击要运行的程序图标，在弹出的快捷菜单中选择运行方式，在打开的运行身份对话框中选中下列用户选项，在用户名和密码右侧的文本框中指定用户及密码即可。显然，这个临时切换程序文件管理权限的设计是十分有必要的，它可以很好地起到保护系统的目的。2.授权多个用户访问加密文件WindowsXP在EFS上的改进之一就是可以允许多个用户访问加密文

33、件，这些用户既可以是本地用户，也可以是域用户或受信任域的用户。由于无法将证书颁发给用户组，而只能颁发给用户，所以只能授权单个的账户访问加密文件，而用户组将不能被授权。要授权加密文件可以被多个用户访问，可以按照如下方法进行操作：选中已经加密的文件，用鼠标右键点击该加密文件，选择属性，在打开的属性对话框中常规选项卡下点击高级按钮，打开加密文件的高级属性对话框，点击其中的详细信息按钮(加密文件夹此按钮无效)，在打开的对话框中点击添加按钮添加一个或多个新用户即可(如果计算机加入了域，则还可以点击寻找用户按钮在整个域范围内寻找用户)。如果要删除某个用户对加密文件的访问权限，那么只需选中此用户后点击删除按

34、钮即可。3.日志的访问权限什么是日志？我们可以将日志理解为系统日记，这本日记可以按系统管理员预先的设定，自动将系统中发生的所有事件都一一记录在案，供管理员查询。既然日志信息具有如此重要的参考作用，那么就应该做好未经授权的用户修改或查看的权限控制。因此，我们非常有必要去了解一下日志的访问权限在WindowsXP中是怎样设计的。一般来说，Administrators、SYSTEM、Everyone三种类型的账户可以访问日志。这三种类型的账户对不同类型的日志拥有不同的访问权限，下面来看一下表格中具体的说明，请注意表示拥有此权限；表示无此权限。通过对比，可以看出SYSTEM拥有的权限最高，可以对任意类

35、型的日志进行读写和清除操作；Everyone用户则可以读取应用程序和系统日志，但对安全日志无法读取。这是因为安全日志相对其他几种类型的日志在安全性方面的要求要高一些，只有SYSTEM能够对之写入。如果想为其他用户赋予管理审核安全日志的权限，那么可以在运行栏中输入Gpedit.msc命令打开组策略编辑器窗口后，依次进入计算机配置Windows设置安全设置本地策略用户权利指派，双击右侧的管理审核和安全日志项，在弹出的对话框中添加所需的用户即可。六、内置安全主体与权限在WindowsXP中，有一群不为人知的用户，它们的作用是可以让我们指派权限到某种状态的用户(如匿名用户、网络用户)等，而不是某个特定

36、的用户或组(如zhong、CPCW这类用户)。这样一来，对用户权限的管理就更加容易精确控制了。这群用户在WindowsXP中，统一称为内置安全主体。下面让我们来了解一下：1.安全主体的藏身之处下面假设需要为一个名为zhiguo的目录设置内置安全主体中的Network类用户权限为例，看看这群默默无闻的用户藏身在系统何处。首先进入zhiguo目录属性界面的安全选项卡设置界面，点击其中的添加按钮，在弹出的选择用户或组对话框中点击对象类型按钮。在弹出对话框中只保留列表中的内置安全主体项，并点击确定按钮。在接下来的对话框中点击高级按钮，然后在展开的对话框中点击立即查找按钮，就可以看到内置安全主体中包含的

37、用户列表了。2.安全主体作用说明虽然内置安全主体有很多，但正常能在权限设置中使用到的并不多，所以下面仅说明其中几个较重要的：AnonymousLogon：任何没有经过WindowsXP验证程序(Authentication)，而以匿名方式登录域的用户均属于此组；AuthenticatedUsers：与前项相反，所有经过WindowsXP验证程序登录的用户均属于此组。设置权限和用户权力时，可考虑用此项代替Everyone组；BATCH：这个组包含任何访问这台计算机的批处理程序(BatchProcess)；DIALUP：任何通过拨号网络登录的用户；Everyone：指所有经验证登录的用户及来宾(Guest)；Network：任何通过网络登录的用户；Interactive：指任何直接登录本机的用户；Terminalserveruser：指任何通过终端服务登录的用户。.