windwos XP 許可權管理

來源:互聯網
上載者:User
        首先,許可權和權利的區別。在Windows作業系統中,許可權和權利代表不同的內容。許可權(Permission)代表一個使用者對檔案、檔案夾、印表機等系統資源的訪問能力;而權利(Right)代表使用者對系統進行設定的能力。許可權和權利可以統稱為特權。

  其次,只有Windows NT以及後續的Windows 2000/XP/2003中才有嚴格的特權等定義。除此之外如果要使用檔案存取權限,檔案還必須位於NTFS檔案系統的分區上。跟FAT和FAT32檔案系統相比,NTFS檔案系統可以在保持簇大小不變的情況下支援更大的分區,還有一系列的安全特性,建議使用。不過DOS和Windows 9x作業系統並不能支援這種檔案系統。有兩種方法獲得NTFS檔案系統的分區:建立一個分區,然後格式化為NTFS檔案系統;或者把現有的FAT或者FAT32檔案系統的分區在保留資料的前提下轉化為NTFS檔案系統。這個轉化可以使用Windows內建的convert.exe程式,在命令列狀態下輸入“convert c:/fs:ntfs”並斷行符號就可以把C盤轉換,其他盤需要替換C為相應的盤符。另外要注意,轉換系統硬碟可能需要你重啟動系統才能完成。

 

使用者帳戶

  使用Windows 9x的時候,我們對使用者帳戶這個概念可能瞭解不多,因為Windows 9x中使用者的概念不是很完善,所以很少有人使用。不過在Windows NT/2000/XP中,使用者帳戶則是和系統安全息息相關的一個重要因素,作業系統會根據不同的使用者帳戶以及預先的設定指派給每個使用者相應的許可權,以完成一定的任務。而且每個帳戶之間是互相獨立,各不打擾的。

  簡單來說,系統中的帳戶可以跟QQ等即時通訊軟體中的帳戶相比較,例如我們可以申請一個QQ號碼,配合自己設定的密碼,這就成了一個QQ帳戶。利用這個帳戶我們可以登入QQ,並跟預先添加的其他好友聊天,使用QQ提供的各種服務。但是一個人也可以申請多個QQ號碼,而且這些號碼之間並不會互相影響,例如我們在第一個號碼中添加的好友不會自動添加到第二個號碼中。

  通過使用Windows中的帳戶,我們可以登入(可以是本地登入,也可以是網路登入)到Windows作業系統,使用相應的系統資源、查看自己的檔案。除此之外,利用Windows的帳戶我們還可以做到更多,例如每個帳戶都有獨立的收藏夾、我的文件檔案夾、案頭捷徑設定、Cookie等,每個使用者用自己的帳戶對系統進行的一般性設定都不會影響其他使用者。

  那麼要解決我家的矛盾,只要為每個家庭成員建立自己的帳戶就可以了。要注意,在Windows XP中,微軟為了簡化帳戶和許可權的設定,使用了各種簡易方法,這樣雖然使得設定更加簡單,但是可設定的選項也少了很多,只能實現最簡單的目標。如果想要進行更複雜的設定還需要使用Windows 2000中類似的傳統帳戶以及使用權限設定方法。幸好這個在Windows XP中也可以使用,我們會在後面詳細說明。

  下面具體說明一下我們要實現的目標,相信大部分關心此文的使用者也是為了相同的目的:

  每個使用電腦的人都有自己獨立的帳戶,並且互相不影響。

  每個人都有專用的檔案夾用來儲存自己的私人檔案,其他人不能查看、修改或刪除別人的私人檔案。

  使用具有系統管理權限的帳戶登入,在控制台中開啟“使用者帳戶”設定視窗,你將能看到圖一的介面。在“挑選一項任務”選項下點擊“建立一個新帳戶”,接著系統需要你提供帳戶的使用者名稱,輸入完成後點擊下一步,接著需要選擇帳戶的類型(圖二)。預設情況下Windows XP提供了兩種類型的帳戶:電腦系統管理員和受限制帳戶。顧名思義,電腦系統管理員是對電腦有最高控制許可權的人,這類帳戶可以對系統進行任何設定,查看、修改或者刪除電腦上的所有檔案。因此我們在建立這種帳戶的時候一定要小心,因為使用這類帳戶的使用者錯誤的設定可能會造成很嚴重的系統障礙。安全起見也不建議日常使用中使用系統管理員帳戶。所以這裡我們選擇帳戶類型為“受限制使用者”。接著我們分別為老爸、老媽和妹妹每人建立一個受限制帳戶。

圖一

圖二

  以後啟動電腦後將不會立刻出現案頭,而是出現類似圖三的歡迎畫面。在歡迎畫面上,每個使用者可以點擊自己的帳戶名稱並輸入密碼(如果需要的話)登入進Windows。每個使用者使用自己的帳戶登入後都能看到完全一樣的初始案頭設定,而他們在這個案頭上進行的任何修改(例如添加或刪除某個案頭捷徑,或者更換牆紙)都只對自己生效,不會影響到別人。

圖三

  同時,他們可以把自己的私人文檔儲存到“我的文件”檔案夾中,並把檔案夾設定為專用。方法是這樣的:使用自己的帳戶登入系統,然後在“我的文件”檔案夾上點擊滑鼠右鍵,選擇屬性,接著開啟“共用”選項卡,選中“將該檔案夾設為專用”(圖四),這樣別人就無法訪問被設為專用的檔案夾了。他們除了不能查看對方儲存在“我的文件”中的檔案,還不能刪除在自己“我的文件”檔案夾以外的任何檔案和檔案夾。除此之外,這些使用者還可以給自己的帳戶設定密碼,這樣在選擇使用自己的帳戶登入時就必須先輸入正確的密碼,否則登入將被拒絕。

圖四

  注意,將檔案夾設為專用這個功能僅在簡單檔案分享權限設定開啟的情況下有效,禁用簡單檔案分享權限設定後將只能使用傳統方式設定該檔案夾的存取權限。具體方法後面會詳細說明。另外,不是所有的檔案夾都可以直接設定為專用的,只有出於使用者設定檔中的檔案夾(也就是預設情況下的“我的文件”檔案夾)才可以被設定為專用,詳細情況請參考微軟知識庫文章Q307286:您無法選擇“將這個檔案夾設為專用”選項:http://support.microsoft.com/?kbid=307286 。同時,系統硬碟使用了NTFS檔案系統也是能夠設定檔案夾為專用的一個大前提。

  如果你用的作業系統是Windows 2000,或者你想要在Windows XP Professional下實現更複雜的使用權限設定,那麼可以繼續閱讀以下的內容。   注意:以下內容適合於Windows 2000和Windows XP Professional以及Windows Server 2003作業系統,不適合Windows XP Home,同樣也需要硬碟的檔案系統為NTFS。

  我們仍然會以Windows XP Professional為例說明,因為在禁用了Windows XP的簡單檔案分享權限設定後,其他的設定和Windows 2000以及Windows Server 2003中沒有太大區別。

   使用具有系統管理權限的帳戶登入,在Windows XP中,開啟我的電腦,然後在“工具”菜單下點擊“檔案夾選項”,開啟檔案夾選項的“查看”選項卡。在這裡,取消對“使用簡單檔案分享權限設定(推薦)”的選擇(圖五)。

圖五

  之後我們假設了要完成以下的目標:在C盤根目錄下建立一個“Temp”檔案夾,裡面隨意儲存幾個檔案。我們要讓老爸能夠訪問這個檔案夾以及其中的檔案,並能刪除任何一個檔案,但是不能給別人分配許可權;老媽只能查看檔案的內容,不能修改或者刪除檔案;禁止妹妹訪問這個檔案夾。

  在Temp檔案夾上點擊滑鼠右鍵,選擇“屬性”,開啟檔案夾屬性對話方塊,接著開啟“安全”選項卡,你將能看到圖六的介面。這裡顯示了幾個預設安全性群組的使用權限設定。接著我們開始給老爸設定許可權,點擊旁邊的“添加”按鈕,然後輸入老爸帳戶的使用者名稱,並斷行符號,可以看見,使用者列表中多出了老爸的帳戶。用同樣的方法把老媽和妹妹的帳戶都添加到這個列表中,然後開始依次設定。

圖六

 

        因為我們允許老爸讀取和修改以及刪除其中的檔案,因此在上面的視窗中選中老爸的使用者名稱,然後在下面的“允許”複選框中選中“修改”、“讀取和運行”、“列出檔案夾目錄”、“讀取”和“寫入”(圖七)。請注意,這裡不要簡單地選中允許父親帳戶對該檔案夾具有“完全控制”許可權。因為完全控制意味著除了能讀寫修改和刪除目標檔案夾外,還可以給其他使用者指派許可權,這樣顯然不夠安全,因此完全控制的許可權最好不要隨便分配給別人,尤其是受限制使用者。

圖七

   而老媽的許可權是唯讀,因此在選中老媽的帳戶後分別選中“允許”複選框中的“讀取和運行”、“列出檔案夾目錄”和“讀取”(圖八)。

圖八

  因為拒絕妹妹訪問這個檔案夾,因此在選中妹妹的使用者名稱後,在“拒絕”複選框下選中“完全控制”(圖九)。

圖九

  完全設定好後可以點擊確定退出,因為我們拒絕了一個使用者對該檔案夾的訪問,因此這時系統會彈出一個對話方塊提醒我們是否繼續(圖十),當然要選擇繼續了。

圖十

  在我們對某個檔案夾設定了許可權後可能會遇到這種問題,重裝了作業系統,開啟一些以前設定過許可權的檔案夾時系統提示因為沒有許可權,所以訪問被拒絕。你可能會奇怪,為什麼會沒有許可權?雖讓當初設定過存取權限,可是在重裝系統後我還是使用了相同的使用者名稱和密碼登入的,為什麼沒有許可權?這是因為你的SID改變了。

  SID是Security Identifier(安全標示符)的簡稱,是Windows作業系統識別不同帳戶的主要方式。每個帳戶在建立的時候都會由作業系統建立一個唯一的SID,該SID會一直伴隨相應帳戶,直到帳戶被刪除。不過在刪除一個帳戶並重新建立一個同名帳戶後,這個帳戶仍然不會使用同一個SID。這可以理解為人的指紋,每個人的指紋都是不同的,人可以改名,但是指紋永遠不能改;也可能有很多人同名同姓,但是沒有人指紋相同。因此不管是管理還是設定許可權,Windows實際上都是依靠每個帳戶的SID來區分使用者。這樣也就可以理解為什麼在新系統中建立了同名同密碼的帳戶後仍不能訪問曾經被設定過許可權的檔案。

   這種情況下就需要讓管理員取得檔案夾的所有權了。方法是這樣的:在禁用簡單檔案分享權限設定的情況下,在無法開啟的檔案夾上點擊滑鼠右鍵,選擇屬性,然後在屬性視窗開啟“安全”選項卡。這時會出現一個警告視窗,不用理會,點擊確定關閉。在安全選項卡上點擊“進階”按鈕,開啟進階屬性設定視窗,接著開啟“所有者”選項卡(圖十一)。在所有者選項卡上重新選擇一個當前的使用者為新的所有人,然後選中下方的“替換子容器物件….”並點擊確定。稍等片刻,待該檔案夾和所有字檔案夾的所有權都獲得以後就可以按照平常的方法訪問該檔案夾或者重新給不同使用者指定不同的許可權。

圖十一

  到現在我們可能會想,系統管理員對系統擁有完全的控制許可權,那麼我既然是系統管理員,我能看別人的私人檔案嗎?當然可以,除此之外,我還能把檔案或者檔案夾的所有權從別人手裡奪過來,或者把我本沒有許可權訪問的資源給我自己分配合適的許可權。因為具體的做法跟上面設定許可權的方法一樣,因此不再多說。

通過網際網路共用檔案

  在使用了使用者帳戶以及設定了適當的許可權之後,家人使用電腦更積極了,慢慢的一台電腦逐漸無法滿足家人的需要,因此家裡又新添了兩台電腦。現在一共有三台電腦,我用這些電腦組建了一個小型的區域網路,利用區域網路共用一條ADSL線路上網,另外還共用了三台電腦中的檔案。

  在網路中共用檔案比跟同一台電腦上的其他使用者共用麻煩多了,整個過程可以這樣理解:

  當通過近端分享訪問其他運行Windows 2000/XP/2003電腦的共用資料夾時,對方電腦首先會要求你提供能證明身份的使用者名稱和密碼,預設情況下首先會使用你登入使用的帳戶驗證,如果無法識別則要你輸入另外的使用者名稱和密碼進行驗證,以判斷你是否具有訪問該電腦的許可權,如果沒有許可權,則會拒絕你對這台電腦的訪問。如果判斷你有訪問這台電腦的許可權,接下來就要看你登入使用的使用者是否具有訪問共用資料夾的NTFS許可權,如果有,才能開啟相應的檔案夾供你訪問;否則仍舊會收到訪問拒絕的資訊。

  假設我們的區域網路中一共有XP1,XP2和98三台電腦,其中XP1是我們最初的電腦,運行了Windows XP Professional作業系統,上面分別給每個家庭成員建立了帳戶;XP2是新添的電腦,運行Windows XP Professional,98運行了Windows 98。我們要讓家庭成員能夠在XP2和98兩台電腦上通過區域網路訪問XP1中共用出來的每個使用者的個人檔案。

  首先在XP上為每個使用者建立一個共用資料夾A、B和C,對應老爸、老媽還有妹妹,共用的要求是每個人通過網路能完全訪問自己的檔案夾,讀取和修改其中的檔案,甚至可以刪除。而且每個人可以通過網路訪問其他使用者的共用資料夾,但只能讀取其中的內容,不能修改或者刪除。

  在檔案夾A上點擊滑鼠右鍵,選擇屬性,然後在屬性對話方塊中開啟“共用”選項卡。選中“共用這個檔案夾”,然後在下面輸入希望使用的共用檔案名稱以及描述(圖十二),接著點擊“許可權”按鈕。在A檔案夾的使用權限設定對話方塊上可以看到,預設情況下已經給“所有人”設定了唯讀許可權。

圖十二

   這裡要注意“所有人”這個概念。這是系統中的一個組,該組可以包括所有已經串連到電腦的使用者。而這裡預設給所有人設定了唯讀許可權意味著,任何人,只要能夠使用一個有效使用者名稱和密碼通過網路訪問到這台電腦,那他就能對這個檔案夾具有唯讀許可權。

  另一方面,許可權是可以累加的,例如這裡已經給“所有人”唯讀許可權,但是如果我們又給老爸的帳戶設定了“修改”的許可權,那麼當老爸訪問這個共用資料夾時,他將擁有讀和寫的許可權。相反,如果我們在這裡拒絕了老爸完全控制的許可權,那麼就算老爸使用他的帳戶通過網路看到了所有的共用資料夾(在這種情況下他已經是“所有人”組的一員,本應該擁有至少唯讀許可權),但因為他又被拒絕了完全控制(以及其他所有許可權)的許可權,因此他將無法訪問這個檔案夾。

  我們在這裡要做的就是在此基礎上,給其他的家庭成員設定合適的許可權。因為檔案夾A是老爸的專用共用資料夾,因此我們要添加老爸的帳戶,然後給這個帳戶設定完全控制的許可權(圖十三)。

圖十三

  同理,我們要用同樣的方法給老媽的帳戶設定對檔案夾B的完全控制共用許可權;給妹妹的帳戶設定對檔案夾C的完全控制共用許可權。這樣每個人對自己專用的共用資料夾具有完全控制的許可權,可以在其中建立新檔案或者修改以及刪除現有檔案,但是又都只能唯讀查看其他使用者的共用檔案。

  共用設定完之後該考慮訪問這些共用的問題了。在Windows XP和Windows 2000的電腦上,訪問Windows XP的共用資料夾非常簡單,只有在98下訪問XP中的共用資源時有些不同。

  在XP2電腦上開啟運行對話方塊,然後輸入“//xp1”並斷行符號,接著系統中會彈出一個視窗要你輸入使用者名稱和密碼。在這裡輸入家庭成員的使用者名稱和密碼,然後點擊確定(圖十四)。如果使用者名稱和密碼驗證成功就可以訪問所有被授權的資源,同時我們還可以自己實驗一下,雖然其他家庭成員的共用資料夾都可以訪問,不過這僅限於讀取現有的檔案,我們不能修改、刪除或者建立檔案。

圖十四

   在98電腦上訪問共用資料夾是有些區別的。因為9x系統和NT系統的驗證機制不同,因此在98中,我們需要在身分識別驗證上多下功夫。首先開啟網路位置的屬性對話方塊,然後在“主網路登入”下選中“Microsoft網路使用者”(圖十五),並點擊確定。這時以後每次啟動98時首先會遇到一個登入對話方塊,雖然可以按下ESC鍵跳過這個過程,不過同時你也就失去了訪問網際網路共用資源的能力(圖十六)。因此在98的登陸框中每個家庭成員可以使用自己在XP1機器上的使用者帳戶和密碼登入,這樣雖然主要的介面沒有變化,不過在訪問網路資源時已經被自動驗證為登入時使用的帳戶。如果你已經跳過了登入對話方塊,則可以在開始菜單中點擊“登出”,待登出後輸入一個有效使用者名稱和密碼登入到網路(圖十七),之後就可以使用所有授權的資源。

圖十五

圖十六

圖十七

  許可權的內容基本上就是這樣,現在通過設定許可權,你基本上應該可以控制其他人對你電腦上檔案的訪問情況了。不過要注意,安全永遠都是相對的,使用權限設定也是如此。例如你設定了許可權使得我無法訪問硬碟上的某些檔案,但是我只要把你的硬碟拆下來掛到其他Windows 2000/XP/2003的電腦上,只要我有一個管理員帳號,我就能在那台電腦上重新獲得所有檔案的所有權和其他一切許可權。另外現在有很多工具光碟片,用這些光碟片引導電腦後可以進入到一個圖形介面的Linux或者其他工具中,在這些系統中可以輕易的讀取硬碟上所有的檔案。因此NTFS許可權在這些方法下將無任何安全性可言。因此如果你的資料很重要,那麼在作業系統層面保護的同時,請千萬不要忘了同時保證你的電腦硬體物理上的安全。

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.