Windows中的帳戶和許可權功能

 　　在繼續閱讀前有幾個問題要搞清楚：

　　首先，許可權和權利的區別。在Windows作業系統中，許可權和權利代表不同的內容。許可權(Permission)代表一個使用者對檔案、檔案夾、印表機等系統資源的訪問能力;而權利(Right)代表使用者對系統進行設定的能力。許可權和權利可以統稱為特權。

　　其次，只有Windows NT以及後續的windows 2000/XP/2003中才有嚴格的特權等定義。除此之外如果要使用檔案存取權限，檔案還必須位於NTFS檔案系統的分區上。跟FAT和FAT32檔案系統相比，NTFS檔案系統可以在保持簇大小不變的情況下支援更大的分區，還有一系列的安全特性，建議使用。不過DOS和Windows 9x作業系統並不能支援這種檔案系統。有兩種方法獲得NTFS檔案系統的分區：建立一個分區，然後格式化為NTFS檔案系統;或者把現有的FAT或者FAT32檔案系統的分區在保留資料的前提下轉化為NTFS檔案系統。這個轉化可以使用Windows內建的convert.exe程式，在命令列狀態下輸入“convert c:/fs:ntfs”並斷行符號就可以把C盤轉換，其他盤需要替換C為相應的盤符。另外要注意，轉換系統硬碟可能需要你重啟動系統才能完成。

　　使用者帳戶

　　使用Windows 9x的時候，我們對使用者帳戶這個概念可能瞭解不多，因為Windows 9x中使用者的概念不是很完善，所以很少有人使用。不過在Windows NT/2000/XP中，使用者帳戶則是和系統安全息息相關的一個重要因素，作業系統會根據不同的使用者帳戶以及預先的設定指派給每個使用者相應的許可權，以完成一定的任務。而且每個帳戶之間是互相獨立，各不打擾的。

　　簡單來說，系統中的帳戶可以跟QQ等即時通訊軟體中的帳戶相比較，例如我們可以申請一個QQ號碼，配合自己設定的密碼，這就成了一個QQ帳戶。利用這個帳戶我們可以登入QQ，並跟預先添加的其他好友聊天，使用QQ提供的各種服務。但是一個人也可以申請多個QQ號碼，而且這些號碼之間並不會互相影響，例如我們在第一個號碼中添加的好友不會自動添加到第二個號碼中。

　　通過使用Windows中的帳戶，我們可以登入(可以是本地登入，也可以是網路登入)到Windows作業系統，使用相應的系統資源、查看自己的檔案。除此之外，利用Windows的帳戶我們還可以做到更多，例如每個帳戶都有獨立的收藏夾、我的文件檔案夾、案頭捷徑設定、Cookie等，每個使用者用自己的帳戶對系統進行的一般性設定都不會影響其他使用者。

　　那麼要解決我家的矛盾，只要為每個家庭成員建立自己的帳戶就可以了。要注意，在windows xp中，微軟為了簡化帳戶和許可權的設定，使用了各種簡易方法，這樣雖然使得設定更加簡單，但是可設定的選項也少了很多，只能實現最簡單的目標。如果想要進行更複雜的設定還需要使用windows 2000中類似的傳統帳戶以及使用權限設定方法。幸好這個在windows xp中也可以使用，我們會在後面詳細說明。

　　下面具體說明一下我們要實現的目標，相信大部分關心此文的使用者也是為了相同的目的：

　　每個使用電腦的人都有自己獨立的帳戶，並且互相不影響。

　　每個人都有專用的檔案夾用來儲存自己的私人檔案，其他人不能查看、修改或刪除別人的私人檔案。

　　使用具有系統管理權限的帳戶登入，在控制台中開啟“使用者帳戶”設定視窗，你將能看到圖一的介面。在“挑選一項任務”選項下點擊“建立一個新帳戶”，接著系統需要你提供帳戶的使用者名稱，輸入完成後點擊下一步，接著需要選擇帳戶的類型(圖二)。預設情況下windows xp提供了兩種類型的帳戶：電腦系統管理員和受限制帳戶。顧名思義，電腦系統管理員是對電腦有最高控制許可權的人，這類帳戶可以對系統進行任何設定，查看、修改或者刪除電腦上的所有檔案。因此我們在建立這種帳戶的時候一定要小心，因為使用這類帳戶的使用者錯誤的設定可能會造成很嚴重的系統障礙。安全起見也不建議日常使用中使用系統管理員帳戶。所以這裡我們選擇帳戶類型為“受限制使用者”。接著我們分別為老爸、老媽和妹妹每人建立一個受限制帳戶。

　　以後啟動電腦後將不會立刻出現案頭，而是出現類似圖三的歡迎畫面。在歡迎畫面上，每個使用者可以點擊自己的帳戶名稱並輸入密碼(如果需要的話)登入進Windows。每個使用者使用自己的帳戶登入後都能看到完全一樣的初始案頭設定，而他們在這個案頭上進行的任何修改(例如添加或刪除某個案頭捷徑，或者更換牆紙)都只對自己生效，不會影響到別人。

　　同時，他們可以把自己的私人文檔儲存到“我的文件”檔案夾中，並把檔案夾設定為專用。方法是這樣的：使用自己的帳戶登入系統，然後在“我的文件”檔案夾上點擊滑鼠右鍵，選擇屬性，接著開啟“共用”選項卡，選中“將該檔案夾設為專用”(圖四)，這樣別人就無法訪問被設為專用的檔案夾了。他們除了不能查看對方儲存在“我的文件”中的檔案，還不能刪除在自己“我的文件”檔案夾以外的任何檔案和檔案夾。除此之外，這些使用者還可以給自己的帳戶設定密碼，這樣在選擇使用自己的帳戶登入時就必須先輸入正確的密碼，否則登入將被拒絕。

　　注意，將檔案夾設為專用這個功能僅在簡單檔案分享權限設定開啟的情況下有效，禁用簡單檔案分享權限設定後將只能使用傳統方式設定該檔案夾的存取權限。具體方法後面會詳細說明。另外，不是所有的檔案夾都可以直接設定為專用的，只有出於使用者設定檔中的檔案夾(也就是預設情況下的“我的文件”檔案夾)才可以被設定為專用，您無法選擇“將這個檔案夾設為專用”選項：同時，系統硬碟使用了NTFS檔案系統也是能夠設定檔案夾為專用的一個大前提。

　　如果你用的作業系統是windows 2000，或者你想要在windows xp Professional下實現更複雜的使用權限設定，那麼可以繼續閱讀以下的內容。

　　注意：以下內容適合於windows 2000和windows xp Professional以及Windows Server 2003作業系統，不適合windows xp Home，同樣也需要硬碟的檔案系統為NTFS。

　　我們仍然會以Windows XP Professional為例說明，因為在禁用了windows xp的簡單檔案分享權限設定後，其他的設定和windows 2000以及Windows Server 2003中沒有太大區別。

　　使用具有系統管理權限的帳戶登入，在windows xp中，開啟我的電腦，然後在“工具”菜單下點擊“檔案夾選項”，開啟檔案夾選項的“查看”選項卡。在這裡，取消對“使用簡單檔案分享權限設定(推薦)”的選擇(圖五)。

　　之後我們假設了要完成以下的目標：在C盤根目錄下建立一個“Temp”檔案夾，裡面隨意儲存幾個檔案。我們要讓老爸能夠訪問這個檔案夾以及其中的檔案，並能刪除任何一個檔案，但是不能給別人分配許可權;老媽只能查看檔案的內容，不能修改或者刪除檔案;禁止妹妹訪問這個檔案夾。

　　在Temp檔案夾上點擊滑鼠右鍵，選擇“屬性”，開啟檔案夾屬性對話方塊，接著開啟“安全”選項卡，你將能看到圖六的介面。這裡顯示了幾個預設安全性群組的使用權限設定。接著我們開始給老爸設定許可權，點擊旁邊的“添加”按鈕，然後輸入老爸帳戶的使用者名稱，並斷行符號，可以看見，使用者列表中多出了老爸的帳戶。用同樣的方法把老媽和妹妹的帳戶都添加到這個列表中，然後開始依次設定。

　　因為我們允許老爸讀取和修改以及刪除其中的檔案，因此在上面的視窗中選中老爸的使用者名稱，然後在下面的“允許”複選框中選中“修改”、“讀取和運行”、“列出檔案夾目錄”、“讀取”和“寫入”(圖七)。請注意，這裡不要簡單地選中允許父親帳戶對該檔案夾具有“完全控制”許可權。因為完全控制意味著除了能讀寫修改和刪除目標檔案夾外，還可以給其他使用者指派許可權，這樣顯然不夠安全，因此完全控制的許可權最好不要隨便分配給別人，尤其是受限制使用者。