win7特殊权限_电脑系统的特殊权限在哪里

2024-07-21 06:02:52

1.为什么Win10总是删除不了文件夹总是提示要管理员权限

2.win10系统下删除文件提示需要管理员权限

3.linux文件系统的三种特殊权限是什么？何时使用它们

4.我电脑win7旗舰版，发现有一特殊权限的未知用户，无法删除，提示是通过父系建立的，如何搞掉，求解，谢谢

5.win10如何解除管理员权限？

6.什么是权限？有什么用？怎么用？

win7特殊权限_电脑系统的特殊权限在哪里

　有用户反映Linux系统中想使用命令进行一些配置，但是提示没有权限，怎么解决呢?下面我就给大家介绍下Linux普通用户没有权限使用系统命令的解决方法。

　Linux普通用户没有权限使用命令怎么办?

　解决方法：

　这里就要用到linux的特殊权限命令了：suid权限的赋加。

　比如说你登陆普通用户user1，想要使用reboot的命令，一般情况下会提示你没有权限执行此命令。

　但如果把此命令的配置文件的权限修改下，就可以登陆普通用户使用此命令了。

　首先使用root用户登陆系统;

　然后敲入 ?which reboot?，会得到reboot配置文件的绝对路径/sbin/reboot

　然后赋加给/sbin/reboot文件权限S，

　chmod 4744 /sbin/reboot

　然后切换到user1：su - user1

　再次输入reboot后就可以执行此命令了。

补充：系统常用维护技巧

　1，在 ?开始? 菜单中选择 ?控制面板? 选项，打开 ?控制面板? 窗口，单击 ?管理工具? 链接

　2，在打开的 ?管理工具? 窗口中双击 ?查看器? 图标

　3，接着会打开 ?查看器? 窗口

　4，在右侧窗格中的树状目录中选择需要查看的日志类型，如 ?查看器本地--Win日志--系统日志，在接着在中间的 ?系统? 列表中即查看到关于系统的日志

　5，双击日志名称，可以打开 ?属性? 对话框，切换到 ?常规? 选项卡，可以查看该日志的常规描述信息

　6，切换到 ?详细信息? 选项卡，可以查看该日志的详细信息

　7，打开 ?控制面板? 窗口，单击 ?操作中心? 链接，打开 ?操作中心? 窗口，展开 ?维护? 区域

　8，单击 ?查看可靠性历史记录? 链接，打开 ?可靠性监视程序? 主界面，如图所示，用户可以选择按天或者按周为时间单位来查看系统的稳定性曲线表，如果系统近日没出过什么状况，那么按周来查看会比较合适。观察图中的曲线可以发现，在某段时间内，系统遇到些问题，可靠性指数曲线呈下降的趋势，并且在这段时间系统遇到了三次问题和一次警告，在下方的列表中可以查看详细的问题信息。

　相关阅读：系统故障导致死机怎么解决

　1、原因造成电脑频繁死机

　由于此类原因造成该故障的现象比较常见，当计算机感染后，主要表现在以下几个方面：

　①系统启动时间延长;

　②系统启动时自动启动一些不必要的程序;

　③无故死机

　④屏幕上出现一些乱码。

　其表现形式层出不穷，由于篇幅原因就介绍到此，在此需要一并提出的是，倘若因为损坏了一些系统文件，导致系统工作不稳定，我们可以在安全模式下用系统文件检查器对系统文件予以修复。

　2、由于某些元件热稳定性不良造成此类故障(具体表现在CPU、电源、内存条、主板)

　对此，我们可以让电脑运行一段时间，待其死机后，再用手触摸以上各部件，倘若温度太高则说明该部件可能存在问题，我们可用替换法来诊断。值得注意的是在安装CPU风扇时最好能涂一些散热硅脂，但我在某些组装的电脑上却是很难见其踪影，实践证明，硅脂能降低温度5?10度左右，特别是P Ⅲ 的电脑上，倘若不涂散热硅脂，计算机根本就不能正常工作，曾遇到过一次此类现象。该机主要配置如下：磐英815EP主板、PⅢ733CPU、133外频的128M内存条，当该机组装完后，频繁死机，连Windows系统都不能正常安装，但是更换赛扬533的CPU后，故障排除，怀疑主板或CPU有问题，但更换同型号的主板、CPU后该故障也不能解决。后来由于发现其温度太高，在CPU上涂了一些散热硅脂，故障完全解决。实践证明在赛扬533以上的CPU上必须要涂散热硅脂，否则极有可能引起死机故障。

　3、由于各部件接触不良导致计算机频繁死机

　此类现象比较常见，特别是在购买一段时间的电脑上。由于各部件大多是靠金手指与主板接触，经过一段时间后其金手指部位会出现氧化现象，在拔下各卡后会发现金手指部位已经泛黄，此时，我们可用橡皮擦来回擦拭其泛黄处来予以清洁。

　4、由于硬件之间不兼容造成电脑频繁死机

　此类现象常见于显卡与其它部件不兼容或内存条与主板不兼容，例如SIS的显卡，当然其它设备也有可能发生不兼容现象，对此可以将其它不必要的设备如Modem、声卡等设备拆下后予以判断。

　5、软件冲突或损坏引起死机

　此类故障，一般都会发生在同一点，对此可将该软件卸掉来予以解决。

为什么Win10总是删除不了文件夹总是提示要管理员权限

我在网上找到一点资料,可能对你有用,看一下.

=======

windows下权限设置详解

随着动网论坛的广泛应用和动网上传漏洞的被发现以及sql注入式攻击越来越多的被使用，webshell让防火墙形同虚设，一台即使打了所有微软补丁、只让80端口对外开放的web服务器也逃不过被黑的命运。难道我们真的无能为力了吗？其实，只要你弄明白了ntfs系统下的权限设置问题，我们可以对crackers们说：no!

要打造一台安全的web服务器，那么这台服务器就一定要使用ntfs和windows nt/2000/2003。众所周知，windows是一个支持多用户、多任务的操作系统，这是权限设置的基础，一切权限设置都是基于用户和进程而言的，不同的用户在访问这台计算机时，将会有不同的权限。dos是个单任务、单用户的操作系统。但是我们能说dos没有权限吗？不能！当我们打开一台装有dos操作系统的计算机的时候，我们就拥有了这个操作系统的管理员权限，而且，这个权限无处不在。所以，我们只能说dos不支持权限的设置，不能说它没有权限。随着人们安全意识的提高，权限设置随着ntfs的发布诞生了。

windows nt里，用户被分成许多组，组和组之间都有不同的权限，当然，一个组的用户和用户之间也可以有不同的权限。下面我们来谈谈nt中常见的用户组。

administrators,管理员组，默认情况下，administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以，只有受信任的人员才可成为该组的成员。

power users，高级用户组，power users 可以执行除了为 administrators 组保留的任务外的其他任何操作系统任务。分配给 power users 组的默认权限允许 power users 组的成员修改整个计算机的设置。但power users 不具有将自己添加到 administrators 组的权限。在权限设置中，这个组的权限是仅次于administrators的。

users:普通用户组，这个组的用户无法进行有意或无意的改动。因此，用户可以运行经过验证的应用程序，但不可以运行大多数旧版应用程序。users 组是最安全的组，因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。users 组提供了一个最安全的程序运行环境。在经过 ntfs 格式化的卷上，默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。users 可以关闭工作站，但不能关闭服务器。users 可以创建本地组，但只能修改自己创建的本地组。

guests:来宾组，按默认值，来宾跟普通users的成员有同等访问权，但来宾帐户的限制更多。

everyone:顾名思义，所有的用户，这个计算机上的所有用户都属于这个组。

其实还有一个组也很常见，它拥有和administrators一样、甚至比其还高的权限，但是这个组不允许任何用户的加入，在察看用户组的时候，它也不会被显示出来，它就是system组。系统和系统级的服务正常运行所需要的权限都是靠它赋予的。由于该组只有这一个用户system，也许把该组归为用户的行列更为贴切。

权限是有高低之分的，有高权限的用户可以对低权限的用户进行操作，但除了administrators之外，其他组的用户不能访问 ntfs 卷上的其他用户资料，除非他们获得了这些用户的授权。而低权限的用户无法对高权限的用户进行任何操作。

我们平常使用计算机的过程当中不会感觉到有权限在阻挠你去做某件事情，这是因为我们在使用计算机的时候都用的是administrators中的用户登陆的。这样有利也有弊，利当然是你能去做你想做的任何一件事情而不会遇到权限的限制。弊就是以 administrators 组成员的身份运行计算机将使系统容易受到特洛伊木马、及其他安全风险的威胁。访问 internet 站点或打开电子邮件附件的简单行动都可能破坏系统。不熟悉的 internet 站点或电子邮件附件可能有特洛伊木马代码，这些代码可以下载到系统并被执行。如果以本地计算机的管理员身份登录，特洛伊木马可能使用管理访问权重新格式化您的硬盘，造成不可估量的损失，所以在没有必要的情况下，最好不用administrators中的用户登陆。administrators中有一个在系统安装时就创建的默认用户----administrator，administrator 帐户具有对服务器的完全控制权限，并可以根据需要向用户指派用户权利和访问控制权限。因此强烈建议将此帐户设置为使用强密码。永远也不可以从 administrators 组删除 administrator 帐户，但可以重命名或禁用该帐户。由于大家都知道“管理员”存在于许多版本的 windows 上，所以重命名或禁用此帐户将使恶意用户尝试并访问该帐户变得更为困难。对于一个好的服务器管理员来说，他们通常都会重命名或禁用此帐户。guests用户组下，也有一个默认用户----guest,但是在默认情况下，它是被禁用的。如果没有特别必要，无须启用此账户。我们可以通过“控制面板”--“管理工具”--“计算机管理”--“用户和用户组”来查看用户组及该组下的用户。

我们用鼠标右键单击一个ntfs卷或ntfs卷下的一个目录，选择“属性”--“安全”就可以对一个卷，或者一个卷下面的目录进行权限设置，此时我们会看到以下七种权限：完全控制、修改、读取和运行、列出文件夹目录、读取、写入、和特别的权限。“完全控制”就是对此卷或目录拥有不受限制的完全访问。地位就像administrators在所有组中的地位一样。选中了“完全控制”，下面的五项属性将被自动被选中。“修改”则像power users，选中了“修改”，下面的四项属性将被自动被选中。下面的任何一项没有被选中时，“修改”条件将不再成立。“读取和运行”就是允许读取和运行在这个卷或目录下的任何文件，“列出文件夹目录”和“读取”是“读取和运行”的必要条件。“列出文件夹目录”是指只能浏览该卷或目录下的子目录，不能读取，也不能运行。“读取”是能够读取该卷或目录下的数据。“写入”就是能往该卷或目录下写入数据。而“特别”则是对以上的六种权限进行了细分。读者可以自行对“特别”进行更深的研究，鄙人在此就不过多赘述了。

下面我们对一台刚刚安装好操作系统和服务软件的web服务器系统和其权限进行全面的刨析。服务器用windows 2000 server版，安装好了sp4及各种补丁。web服务软件则是用了windows 2000自带的iis 5.0，删除了一切不必要的映射。整个硬盘分为四个ntfs卷，c盘为系统卷，只安装了系统和驱动程序；d盘为软件卷，该服务器上所有安装的软件都在d盘中；e盘是web程序卷，网站程序都在该卷下的目录中；f盘是网站数据卷，网站系统调用的所有数据都存放在该卷的database目录下。这样的分类还算是比较符合一台安全服务器的标准了。希望各个新手管理员能合理给你的服务器数据进行分类，这样不光是查找起来方便，更重要的是这样大大的增强了服务器的安全性，因为我们可以根据需要给每个卷或者每个目录都设置不同的权限，一旦发生了网络安全事故，也可以把损失降到最低。当然，也可以把网站的数据分布在不同的服务器上，使之成为一个服务器群，每个服务器都拥有不同的用户名和密码并提供不同的服务，这样做的安全性更高。不过愿意这样做的人都有一个特点----有钱:)。好了，言归正传，该服务器的数据库为ms-sql，ms-sql的服务软件sql2000安装在d:\ms-sqlserver2k目录下，给sa账户设置好了足够强度的密码，安装好了sp3补丁。为了方便网页制作员对网页进行管理，该网站还开通了ftp服务，ftp服务软件使用的是serv-u 5.1.0.0，安装在d:\ftpservice\serv-u目录下。杀毒软件和防火墙用的分别是norton antivirus和blackice,路径分别为d:\norton和d:\firewall\blackice,库已经升级到最新，防火墙规则库定义只有80端口和21端口对外开放。网站的内容是用动网7.0的论坛,网站程序在e:\\bbs下。细心的读者可能已经注意到了，安装这些服务软件的路径我都没有用默认的路径或者是仅仅更改盘符的默认路径，这也是安全上的需要，因为一个黑客如果通过某些途径进入了你的服务器，但并没有获得管理员权限，他首先做的事情将是查看你开放了哪些服务以及安装了哪些软件，因为他需要通过这些来提升他的权限。一个难以猜解的路径加上好的权限设置将把他阻挡在外。相信经过这样配置的web服务器已经足够抵挡大部分学艺不精的黑客了。读者可能又会问了：“这根本没用到权限设置嘛！我把其他都安全工作都做好了，权限设置还有必要吗？”当然有！智者千虑还必有一失呢，就算你现在已经把系统安全做的完美无缺，你也要知道新的安全漏洞总是在被不断的发现。权限将是你的最后一道防线！那我们现在就来对这台没有经过任何权限设置，全部用windows默认权限的服务器进行一次模拟攻击，看看其是否真的固若金汤。

设服务器外网域名为[imga]://.gdjyj.cn/jyjbbs/pic/url.gif[/imga]://.webserver，用扫描软件对其进行扫描后发现开放和ftp服务，并发现其服务软件使用的是iis 5.0和serv-u 5.1，用一些针对他们的溢出工具后发现无效，遂放弃直接远程溢出的想法。打开网站页面，发现使用的是动网的论坛系统，于是在其域名后面加个/upfile.asp，发现有文件上传漏洞，便抓包，把修改过的asp木马用nc提交，提示上传成功，成功得到webshell，打开刚刚上传的asp木马，发现有ms-sql、norton antivirus和blackice在运行，判断是防火墙上做了限制，把sql服务端口屏蔽了。通过asp木马查看到了norton antivirus和blackice的pid，又通过asp木马上传了一个能杀掉进程的文件，运行后杀掉了norton antivirus和blackice。再扫描，发现1433端口开放了，到此，便有很多种途径获得管理员权限了，可以查看网站目录下的conn.asp得到sql的用户名密码，再登陆进sql执行添加用户，提管理员权限。也可以抓serv-u下的servudaemon.ini修改后上传，得到系统管理员权限。还可以传本地溢出serv-u的工具直接添加用户到administrators等等。大家可以看到，一旦黑客找到了切入点，在没有权限限制的情况下，黑客将一帆风顺的取得管理员权限。

那我们现在就来看看windows 2000的默认权限设置到底是怎样的。对于各个卷的根目录，默认给了everyone组完全控制权。这意味着任何进入电脑的用户将不受限制的在这些根目录中为所欲为。系统卷下有三个目录比较特殊，系统默认给了他们有限制的权限，这三个目录是documents and settings、program files和winnt。对于documents and settings，默认的权限是这样分配的：administrators拥有完全控制权；everyone拥有读&运，列和读权限；power users拥有读&运，列和读权限；system同administrators;users拥有读&运，列和读权限。对于program files，administrators拥有完全控制权；creator owner拥有特殊权限;power users有完全控制权;system同administrators;terminal server users拥有完全控制权，users有读&运，列和读权限。对于winnt，administrators拥有完全控制权；creator owner拥有特殊权限;power users有完全控制权;system同administrators;users有读&运，列和读权限。而非系统卷下的所有目录都将继承其父目录的权限，也就是everyone组完全控制权！

现在大家知道为什么我们刚刚在测试的时候能一帆风顺的取得管理员权限了吧？权限设置的太低了！一个人在访问网站的时候，将被自动赋予iusr用户，它是隶属于guest组的。本来权限不高，但是系统默认给的everyone组完全控制权却让它“身价倍增”，到最后能得到administrators了。那么，怎样设置权限给这台web服务器才算是安全的呢？大家要牢记一句话：“最少的服务+最小的权限=最大的安全”对于服务，不必要的话一定不要装，要知道服务的运行是system级的哦，对于权限，本着够用就好的原则分配就是了。对于web服务器，就拿刚刚那台服务器来说，我是这样设置权限的，大家可以参考一下：各个卷的根目录、documents and settings以及program files，只给administrator完全控制权，或者干脆直接把program files给删除掉；给系统卷的根目录多加一个everyone的读、写权；给e:\目录，也就是网站目录读、写权。最后，还要把cmd.exe这个文件给挖出来，只给administrator完全控制权。经过这样的设置后，再想通过我刚刚的方法入侵这台服务器就是不可能完成的任务了。可能这时候又有读者会问：“为什么要给系统卷的根目录一个everyone的读、写权？网站中的asp文件运行不需要运行权限吗？”问的好，有深度。是这样的，系统卷如果不给everyone的读、写权的话，启动计算机的时候，计算机会报错，而且会提示虚拟内存不足。当然这也有个前提----虚拟内存是分配在系统盘的，如果把虚拟内存分配在其他卷上，那你就要给那个卷everyone的读、写权。asp文件的运行方式是在服务器上执行，只把执行的结果传回最终用户的浏览器，这没错，但asp文件不是系统意义上的可执行文件，它是由web服务的提供者----iis来解释执行的，所以它的执行并不需要运行的权限。

经过上面的讲解以后，你一定对权限有了一个初步了了解了吧？想更深入的了解权限，那么权限的一些特性你就不能不知道了，权限是具有继承性、累加性、优先性、交叉性的。

继承性是说下级的目录在没有经过重新设置之前，是拥有上一级目录权限设置的。这里还有一种情况要说明一下，在分区内复制目录或文件的时候，复制过去的目录和文件将拥有它现在所处位置的上一级目录权限设置。但在分区内移动目录或文件的时候，移动过去的目录和文件将拥有它原先的权限设置。

累加是说如一个组group1中有两个用户user1、user2，他们同时对某文件或目录的访问权限分别为“读取”和“写入”，那么组group1对该文件或目录的访问权限就为user1和user2的访问权限之和，实际上是取其最大的那个，即“读取”+“写入”=“写入”。又如一个用户user1同属于组group1和group2，而group1对某一文件或目录的访问权限为“只读”型的，而group2对这一文件或文件夹的访问权限为“完全控制”型的，则用户user1对该文件或文件夹的访问权限为两个组权限累加所得，即：“只读”+“完全控制”=“完全控制”。

优先性，权限的这一特性又包含两特性，其一是文件的访问权限优先目录的权限，也就是说文件权限可以越过目录的权限，不顾上一级文件夹的设置。另一特性就是“拒绝”权限优先其它权限，也就是说“拒绝”权限可以越过其它所有其它权限，一旦选择了“拒绝”权限，则其它权限也就不能取任何作用，相当于没有设置。

交叉性是指当同一文件夹在为某一用户设置了共享权限的同时又为用户设置了该文件夹的访问权限，且所设权限不一致时，它的取舍原则是取两个权限的交集，也即最严格、最小的那种权限。如目录a为用户user1设置的共享权限为“只读”，同时目录a为用户user1设置的访问权限为“完全控制”，那用户user1的最终访问权限为“只读”。

权限设置的问题我就说到这了，在最后我还想给各位读者提醒一下，权限的设置必须在ntfs分区中才能实现的，fat32是不支持权限设置的。同时还想给各位管理员们一些建议：

1.养成良好的习惯，给服务器硬盘分区的时候分类明确些，在不使用服务器的时候将服务器锁定，经常更新各种补丁和升级杀毒软件。

2.设置足够强度的密码，这是老生常谈了，但总有管理员设置弱密码甚至空密码。

3.尽量不要把各种软件安装在默认的路径下

4.在英文水平不是问题的情况下，尽量安装英文版操作系统。

5.切忌在服务器上乱装软件或不必要的服务。

6.牢记：没有永远安全的系统，经常更新你的知识。

一. 权限的由来

远方的某个山脚下，有一片被森林包围的草原，草原边上居住着一群以牧羊为生的牧民。草原边缘的森林里，生存着各种动物，包括野狼。

由于羊群是牧民们的主要生活来源，它们的价值便显得特别珍贵，为了防止羊的跑失和野兽的袭击，每户牧民都用栅栏把自己的羊群圈了起来，只留下一道小门，以便每天傍晚供羊群外出到一定范围的草原上活动，实现了一定规模的保护和管理效果。

最初，野狼只知道在森林里逮兔子等野生动物生存，没有发现远处草原边上的羊群，因此，在一段时间里实现了彼此和平相处，直到有一天，一只为了追逐兔子而凑巧跑到了森林边缘的狼，用它那灵敏的鼻子嗅到了远处那隐隐约约的烤羊肉香味。

当晚，突然出现的狼群袭击了草原上大部分牧民饲养的羊，它们完全无视牧民们修筑的仅仅能拦住羊群的矮小栅栏，轻轻一跃便突破了这道防线……虽然闻讯而来的牧民们合作击退了狼群，但是羊群已经遭到了一定的损失。

事后，牧民们明白了栅栏不是仅仅用来防止羊群逃脱的城墙，各户牧民都在忙着加高加固了栅栏……

如今使用Windows 2000/XP等操作系统的用户，或多或少都会听说过“权限”(Privilege)这个概念，但是真正理解它的家庭用户，也许并不会太多，那么，什么是“权限”呢?对于一般的用户而言，我们可以把它理解为系统对用户能够执行的功能操作所设立的额外限制，用于进一步约束计算机用户能操作的系统功能和内容访问范围，或者说，权限是指某个特定的用户具有特定的系统使用权力。

掌握了“Ring级别”概念的读者也许会问，在如今盛行的80386保护模式中，处理器不是已经为指令执行做了一个“运行级别”的限制了吗?而且我们也知道，面对用户操作的Ring 3级别相对于系统内核运行的Ring 0级别来说，能直接处理的事务已经被大幅度缩减了，为什么还要对运行在“权限少得可怜”的Ring 3层次上的操作系统人机交互界面上另外建立起一套用于进一步限制用户操作的“权限”概念呢?这是因为，前者针对的是机器能执行的指令代码权限，而后者要针对的对象，是坐在计算机面前的用户。

对计算机来说，系统执行的代码可能会对它造成危害，因此处理器产生了Ring的概念，把“裸露在外”的一部分用于人机交互的操作界面限制起来，避免它一时头脑发热发出有害指令;而对于操作界面部分而言，用户的每一步操作仍然有可能伤害到它自己和底层系统——尽管它自身已经被禁止执行许多有害代码，但是一些不能禁止的功能却依然在对这层安全体系作出威胁，例如格式化操作、删除修改文件等，这些操作在计算机看来，只是“不严重”的磁盘文件处理功能，然而它忽略了一点，操作系统自身就是驻留在磁盘介质上的文件!因此，为了保护自己，操作系统需要在Ring 3笼子限制的操作界面基础上，再产生一个专门用来限制用户的栅栏，这就是现在我们要讨论的权限，它是为限制用户而存在的，而且限制对每个用户并不是一样的，在这个思想的引导下，有些用户能操作的范围相对大些，有些只能操作属于自己的文件，有些甚至什么也不能做……

正因为如此，计算机用户才有了分类:管理员、普通用户、受限用户、来宾等……

还记得古老的Windows 9x和MS-DOS吗?它们仅仅拥有基本的Ring权限保护(实模式的DOS甚至连Ring分级都没有)，在这个系统架构里，所有用户的权力都是一样的，任何人都是管理员，系统没有为环境安全提供一点保障——它连实际有用的登录界面都没有提供，仅仅有个随便按ESC都能正常进入系统并进行任何操作的“伪登录”限制而已。对这样的系统而言，不熟悉电脑的用户经常一不小心就把系统毁掉了，而且木马自然也不会放过如此“松软”的一块蛋糕，在如今这个提倡信息安全的时代里，Windows 9x成了名副其实的鸡肋系统，最终淡出人们的视线，取而代之的是由Windows NT家族发展而来的Windows 2000和Windows XP，此外还有近年来致力向桌面用户发展的Linux系统等，它们才是能够满足这个安全危机时代里个人隐私和数据安全等要求的系统。

Win2000/XP系统是微软Windows NT技术的产物，是基于服务器安全环境思想来构建的纯32位系统。NT技术没有辜负微软的开发，它稳定，安全，提供了比较完善的多用户环境，最重要的是，它实现了系统权限的指派，从而杜绝了由Win9x时代带来的不安全操作习惯可能引发的大部分严重后果。

二. 权限的指派

1.普通权限

虽然Win2000/XP等系统提供了“权限”的功能，但是这样就又带来一个新问题:权限如何分配才是合理的?如果所有人拥有的权限都一样，那么就等于所有人都没有权限的限制，那和使用Win9x有什么区别?幸好，系统默认就为我们设置好了“权限组”(Group)，只需把用户加进相应的组即可拥有由这个组赋予的操作权限，这种做法就称为权限的指派。

默认情况下，系统为用户分了6个组，并给每个组赋予不同的操作权限，依次为:管理员组(Administrators)、高权限用户组(Power Users)、普通用户组(Users)、备份操作组(Backup Operators)、文件复制组(Replicator)、来宾用户组(Guests)，其中备份操作组和文件复制组为维护系统而设置，平时不会被使用。

系统默认的分组是依照一定的管理凭据指派权限的，而不是胡乱产生，管理员组拥有大部分的计算机操作权限(并不是全部)，能够随意修改删除所有文件和修改系统设置。再往下就是高权限用户组，这一部分用户也能做大部分事情，但是不能修改系统设置，不能运行一些涉及系统管理的程序。普通用户组则被系统拴在了自己的地盘里，不能处理其他用户的文件和运行涉及管理的程序等。来宾用户组的文件操作权限和普通用户组一样，但是无法执行更多的程序。

这是系统给各个组指派的权限说明，细心的用户也许会发现，为什么里面描述的“不能处理其他用户的文件”这一条规则并不成立呢，我可以访问所有文件啊，只是不能对系统设置作出修改而已，难道是权限设定自身存在问题?实际上，NT技术的一部分功能必须依赖于特有的“NTFS”(NT文件系统)分区才能实现，文件操作的权限指派就是最敏感的一部分，而大部分家庭用户的分区为FAT32格式，它并不支持NT技术的安全功能，因此在这样的文件系统分区上，连来宾用户都能随意浏览修改系统管理员建立的文件(限制写入操作的共享访问除外)，但这并不代表系统权限不起作用，我们只要把分区改为NTFS即可。

2.特殊权限

除了上面提到的6个默认权限分组，系统还存在一些特殊权限成员，这些成员是为了特殊用途而设置，分别是:SYSTEM(系统)、Everyone(所有人)、CREATOR OWNER(创建者)等，这些特殊成员不被任何内置用户组吸纳，属于完全独立出来的账户。(图.特殊权限成员)

前面我提到管理员分组的权限时并没有用“全部”来形容，秘密就在此，不要相信系统描述的“有不受限制的完全访问权”，它不会傻到把自己完全交给人类，管理员分组同样受到一定的限制，只是没那么明显罢了，真正拥有“完全访问权”的只有一个成员:SYSTEM。这个成员是系统产生的，真正拥有整台计算机管理权限的账户，一般的操作是无法获取与它等价的权限的。

“所有人”权限与普通用户组权限差不多，它的存在是为了让用户能访问被标记为“公有”的文件，这也是一些程序正常运行需要的访问权限——任何人都能正常访问被赋予“Everyone”权限的文件，包括来宾组成员。

被标记为“创建者”权限的文件只有建立文件的那个用户才能访问，做到了一定程度的隐私保护。

但是，所有的文件访问权限均可以被管理员组用户和SYSTEM成员忽略，除非用户使用了NTFS加密。

无论是普通权限还是特殊权限，它们都可以“叠加”使用，“叠加”就是指多个权限共同使用，例如一个账户原本属于Users组，而后我们把他加入Administrators组，那么现在这个账户便同时拥有两个权限身份，而不是用管理员权限去覆盖原来身份。权限叠加并不是没有意义的，在一些需要特定身份访问的场合，用户只有为自己设置了指定的身份才能访问，这个时候“叠加”的使用就能减轻一部分劳动量了。

3.NTFS与权限

在前面我提到了NTFS文件系统，自己安装过Win2000/XP的用户应该会注意到安装过程中出现的“转换分区格式为NTFS”的选择，那么什么是NTFS?

NTFS是一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式，只有使用NT技术的系统对它直接提供支持，也就是说，如果系统崩溃了，用户将无法使用外面流行的普通光盘启动工具修复系统，因此，是使用传统的FAT32还是NTFS，一直是个倍受争议的话题，但如果用户要使用完全的系统权限功能，或者要安装作为服务器使用，建议最好还是使用NTFS分区格式。

与FAT32分区相比，NTFS分区多了一个“安全”特性，在里面，用户可以进一步设置相关的文件访问权限，而且前面提到的相关用户组指派的文件权限也只有在NTFS格式分区上才能体现出来。例如，来宾组的用户再也不能随便访问到NTFS格式分区的任意一个文件了，这样可以减少系统遭受一般由网站服务器带来的入侵损失，因为IIS账户对系统的访问权限仅仅是来宾级别而已，如果入侵者不能提升权限，那么他这次的入侵可以算是白忙了。

使用NTFS分区的时候，用户才会察觉到系统给管理员组用户设定的限制:一些文件即使是管理员也无法访问，因为它是SYSTEM成员建立的，并且设定了权限。

win10系统下删除文件提示需要管理员权限

如下图所示，这个目录应该是win7升级win10过程中的遗留目录，升级完了就不需要了，而在删除文件夹时报错，提示需要有管理员权限，编的账号本身就已经有管理员权限了。

判断还是因为系统相关的目录的特殊权限控制引起的，在我的电脑中右键点击需要删除的目录，在弹出菜单中选择最下方一行属性，在<属性>菜单中选择最上方tab页中的<安全>

如下图，如果用户没有目录的完全控制权限，或者没有修改、写入类write的权限，只有读和执行权限是无法删除目录的，可以在这里将该用户的权限加上，就可以正常删除目录。

但是这个目录的问题不在于此。如下图，这里小编隐去了账号，但从下面的权限中仍可以看到该账号对整个目录有完全控制权限，不存在删除权限的问题，那就进行下一步，选择下方的高级。

在高级的菜单中，能看到当前目录是所有者为administrtor，而非小编所用账号，由于admin的权限的特殊性，所以无法删除目录，要删除只有两个办法，一是切换到admin用户，二是更改目录所有者

虽然小编的机器上有admin账号，但那是小编用特殊方法打开的，正常情况下win10 home看不到该账号，所以建议普通用户用第二种方案，选择下图中的更改菜单。

出现如下图，win菜单有时真脑洞太大，一下子很难理解要干什么，联想到上个菜单就能容易理解一些，我们到这里来是为了选择该目录变为哪个用户所有，这里就是协助查找用户的，选择下方的<高级>

linux文件系统的三种特殊权限是什么？何时使用它们

这是因为没有取得管理员所有权，取得管理员所有权后即可删除，具体的操作方法为：

1、在电脑桌面上找到需要删除的文件，并右键点击打开菜单。

2、在打开的菜单界面中，找到管理员取得所有权选项，并点击选择。

3、之后右键打开菜单，点击删除选项即可删除。

我电脑win7旗舰版，发现有一特殊权限的未知用户，无法删除，提示是通过父系建立的，如何搞掉，求解，谢谢

读权限

为用户提供可以阅读文件的权限

写权限

为用户提供可以更改文件的权限

执行权限

为用户提供可以执行文件的权限

比如当用户需要执行shell脚本时

就需要对脚本提供执行权限

win10如何解除管理员权限？

1·以管理员身份登录后用右键在要删除项点右键根据提示取得权限才能删掉，

2·控制面板---用户账户和家庭安全----添加和删除用户账户---删除你想删除的用户账户。

3·在那个用户账户的属性中删除。

都试试，看可以不。

什么是权限？有什么用？怎么用？

win10电脑管理员权限怎么解除?

1、在右下方任务栏的“搜索web和windows”输入框中输入“gpedit.msc”，电脑会自行搜索，搜索完毕之后鼠标点击打开。打开本地组策略管理器。

2、在右下方任务栏的“搜索web和windows”输入框中输入“gpedit.msc”，电脑会自行搜索，搜索完毕之后鼠标点击打开。打开本地组策略管理器。

3、点击安全选项，然后在右边找到下图选项，双击打开；在打开的窗口选择已禁用，确定保存，然后重启电脑即可。win10明明是管理员还要权限的解决方法就为大家分享到这里啦，有遇到同样问题的可以参考上面的方法来解决哦。

win10如何取消程序只能以管理员运行的限制

按住“windows+x”，选择“计算机管理”。在页面左侧，找到“计算机管理(本地)”，展开“系统工具”，点击“本地用户和组”下面的“用户”，在右侧找到“Administrator”，双击打开。在打开页面选择常规栏目。

有些电脑会设置了管理员权限，那么，要如何解除管理员的权限呢？下面一起来看看吧。

首先点击开始菜单底部的输入框，如图所示，输入“cmd”以管理员身份运行。然后出来的页面中按住快捷键“shift”键，同时右键点击程序，出来的页面选择“复制为路径”选项。

右键点击，选择属性04点击勾选“已禁用”，然后点击确定退出，重启电脑再运行程序，就不会再出现管理员阻止运行了具体的步骤如下：同时按下win+r快捷键打开运行菜单，输入gpedit.msc并回车。找到安全选项，如图所示。

win10系统怎么删除管理员权限?

有些电脑会设置了管理员权限，那么，要如何解除管理员的权限呢？下面一起来看看吧。

在Windows10中，管理员账户是具有特殊权限的用户账户，因此不能直接删除。如果您不再需要使用管理员账户，可以通过以下步骤禁用它：以另一个管理员账户登录Windows10。

在右下方任务栏的“搜索web和windows”输入框中输入“gpedit.msc”，电脑会自行搜索，搜索完毕之后鼠标点击打开。打开本地组策略管理器。

win10管理员权限怎么关闭

1、有些电脑会设置了管理员权限，那么，要如何解除管理员的权限呢？下面一起来看看吧。

2、需要的是将它禁用Win10管理员账户默认是关闭的，登录的账户一般都是用户账户，并没有获取管理员权限，win10管理员权限设置方法如下：在Cortana搜索栏输入CMD，并“以管理员身份运行”。

3、首先，打开桌面左下角的开始菜单，在弹出菜单下方搜索框中输入“netplwiz”并进行搜索，该搜索框就相当于win系统旧版本中的“运行”命令窗口。在搜索结果打开用户帐户窗口后，将自己的帐户选中。

4、win10以管理员权限运行具体设置方法如下：在电脑桌面任意位置点击鼠标右键---个性化---主题---在相关设置点击桌面图标设置---勾选需要展现在电脑桌面的图标，点击确定即可。

5、方法/步骤：右击开始菜单选择打开“计算机管理”。弹出对话框，左侧依次点击“系统工具-本地用户和组-用户”，右侧窗口中即可看到Administrator帐户。

6、Win10中启用和关闭管理员账户的方法，可以通过以下4个步骤操作来实现：计算机图标中击右键，选择“管理”选项，然后选择“本地用户和组”选项。

win10怎么关闭把管理员权限

1、需要的是将它禁用Win10管理员账户默认是关闭的，登录的账户一般都是用户账户，并没有获取管理员权限，win10管理员权限设置方法如下：在Cortana搜索栏输入CMD，并“以管理员身份运行”。

2、首先，打开桌面左下角的开始菜单，在弹出菜单下方搜索框中输入“netplwiz”并进行搜索，该搜索框就相当于win系统旧版本中的“运行”命令窗口。在搜索结果打开用户帐户窗口后，将自己的帐户选中。

3、有些电脑会设置了管理员权限，那么，要如何解除管理员的权限呢？下面一起来看看吧。

分类: 电脑/网络 >> 操作系统/系统故障

解析:

无形的栅栏：完全解析Windows系统权限

一. 权限的由来

远方的某个山脚下，有一片被森林包围的草原，草原边上居住着一群以牧羊为生的牧民。草原边缘的森林里，生存着各种动物，包括野狼。

事后，牧民们明白了栅栏不是仅仅用来防止羊群逃脱的城墙，各户牧民都在忙着加高加固了栅栏……

对计算机来说，系统执行的代码可能会对它造成危害，因此处理器产生了Ring的概念，把“ *** 在外”的一部分用于人机交互的操作界面限制起来，避免它一时头脑发热发出有害指令;而对于操作界面部分而言，用户的每一步操作仍然有可能伤害到它自己和底层系统——尽管它自身已经被禁止执行许多有害代码，但是一些不能禁止的功能却依然在对这层安全体系作出威胁，例如格式化操作、删除修改文件等，这些操作在计算机看来，只是“不严重”的磁盘文件处理功能，然而它忽略了一点，操作系统自身就是驻留在磁盘介质上的文件!因此，为了保护自己，操作系统需要在Ring 3笼子限制的操作界面基础上，再产生一个专门用来限制用户的栅栏，这就是现在我们要讨论的权限，它是为限制用户而存在的，而且限制对每个用户并不是一样的，在这个思想的引导下，有些用户能操作的范围相对大些，有些只能操作属于自己的文件，有些甚至什么也不能做……

正因为如此，计算机用户才有了分类:管理员、普通用户、受限用户、来宾等……

二. 权限的指派

1.普通权限

2.特殊权限

被标记为“创建者”权限的文件只有建立文件的那个用户才能访问，做到了一定程度的隐私保护。

但是，所有的文件访问权限均可以被管理员组用户和SYSTEM成员忽略，除非用户使用了NTFS加密。

3.NTFS与权限

在前面我提到了NTFS文件系统，自己安装过Win2000/XP的用户应该会注意到安装过程中出现的“转换分区格式为NTFS”的选择，那么什么是NTFS?

使用NTFS分区的时候，用户才会察觉到系统给管理员组用户设定的限制:一些文件即使是管理员也无法访问，因为它是SYSTEM成员建立的，并且设定了权限。

但是NTFS系统会带来一个众所周知的安全隐患:NTFS支持一种被称为“交换数据流”(AlternateDataStream，ADs)的存储特性，原意是为了和Macintosh的HFS文件系统兼容而设计的，使用这种技术可以在一个文件里写入相关数据(并不是写入文件中)，而且写进去的数据可以使用很简单的方法把它提取出来作为一个独立文件读取，甚至执行，这就给入侵者提供了一个可乘之机，例如在一个正常程序里插入包含恶意代码的数据流，在程序运行时把恶意代码提取出来执行，就完成了一次破坏行动。

不过值得庆幸的是，数据流仅仅能存在于NTFS格式分区内，一旦存储介质改变为FAT32、CDFS等格式，数据流内容便会消失了，破坏代码也就不复存在。

4.权限设置带来的安全访问和故障

很多时候，管理员不得不为远程网络访问带来的危险因素而担忧，普通用户也经常因为新漏洞攻击或者IE浏览器安全漏洞下载的网页木马而疲于奔命，实际上合理使用NTFS格式分区和权限设置的组合，足以让我们抵御大部分和黑客的入侵。

首先，我们要尽量避免平时使用管理员账户登录系统，这样会让一些由IE带来的木马因为得不到相关权限而感染失败，但是国内许多计算机用户并没有意识到这一点，或者说没有接触到相关概念，因而大部分系统都是以管理员账户运行的，这就给传播提供了一个很好的环境。如果用户因为某些工作需要，必须以管理员身份操作系统，那么请降低IE的运行权限，有试验证明，IE运行的用户权限每降低一个级别，受漏洞感染的几率就相应下降一个级别，因为一些在例如像Users组这样的权限级别里是无法对系统环境做出修改的。降低IE运行权限的方法很多，最简单的就是使用微软自家产品“Drop MyRights”对程序的运行权限做出调整。(图.用RunAs功能降低IE运行级别)

对管理员来说，设置服务器的访问权限才是他们关心的重点，这时候就必须搭配NTFS分区来设置IIS了，因为只有NTFS才具备文件访问权限的特性。然后就是安装IIS，经过这一步系统会建立两个用于IIS进程的来宾组账户“IUSR_机器名”和“IWAM_机器名”，但这样还不够，别忘记系统的特殊成员“Everyone”，这个成员的存在虽然是为了方便用户访问的，但是对于网络服务器最重要的“最小权限”思路(网络服务程序运行的权限越小，安全系数越高)来说，它成了安全隐患，“Everyone”使得整个服务器的文件可以随便被访问，一旦被入侵，黑客就有了提升权限的机会，因此需要把惹祸的“Everyone”成员从敏感文件夹的访问权限去掉，要做到这一步，只需运行“cacls.exe 目录名 /R "everyone" /E”即可。敏感文件夹包括整个系统盘、系统目录、用户主目录等。这是专为服务器安全设置的，不推荐一般用户依葫芦画瓢，因为这样设定过“最小权限”后，可能会对日常使用的一些程序造成影响。

虽然权限设定会给安全防范带来一定的好处，但是有时候，它也会闯祸的…… “文件共享”(Sharing)是被使用最多的网络远程文件访问功能，却也是最容易出问题的一部分，许多用户在使用一些优化工具后，发现文件共享功能突然就失效了，或者无论如何都无法成功共享文件，这也是很多网络管理员要面对的棘手问题，如果你也不巧遇到了，那么可以尝试检查以下几种原因:

(1)相应的服务被禁止。文件共享功能依赖于这4个服务:Computer Browser、TCP/IP NetBIOS Helper Service、Server、Workstation，如果它们的其中一个被禁止了，文件共享功能就会出现各种古怪问题如不能通过计算机名访问等，甚至完全不能访问。

(2)内置来宾账户组成员Guest未启用。文件共享功能需要使用Guest权限访问网络。

(3)内置来宾账户组成员Guest被禁止从网络访问。这问题常见于XP系统，因为它在组策略(gpedit.msc)->计算机配置->Windows设置->安全设置->本地策略->用户权利指派->拒绝从网络访问这台计算机里把Guest账户添加进去了，删除掉即可真正启用Guest远程访问权限。

(4)限制了匿名访问的权限。默认情况下，组策略(gpedit.msc)->计算机配置->Windows设置->安全设置->本地策略->安全选项->对匿名连结的额外限制的设置应该是“无。依赖于默认许可权限”或者“不允许枚举SAM账号和共享”，如果有工具自作聪明帮你把它设置为“没有显式匿名权限就无法访问”，那么我可以很负责的告诉你，你的共享全完蛋了。

(5).系统权限指派出现意外。默认情况下，系统会给共享目录指派一个“Everyone”账户访问授权，然而实际上它还是要使用Guest成员完成访问的工作，但是有时候，Everyone却忘记Guest的存在了，这是或我们就需要自己给共享目录手动添加一个Guest账户，才能完成远程访问。(图.手动添加一个账户权限)

(6)NTFS权限限制。一些刚接触NTFS的用户或者新手管理员经常会出这个差错，在排除以上所有问题的前提下依然无法实现文件共享，哪里都碰过了就是偏偏不知道来看看这个目录的“安全”选项卡，并在里面设置好Everyone的相应权限和添加一个Guest权限进去，如果它们会说话，也许早就在音箱里叫唤了:嘿，快看这里!哟嗬!

(7).系统自身设置问题。如果检查了以上所有方法都无效，那么可以考虑重装一个系统了，不要笑，一些用户的确碰到过这种问题，重装后什么也没动，却一切都好了。这大概是因为某些系统文件被新安装的工具替换掉后缺失了文件共享的功能。

由权限带来的好处是显而易见的，但是我们有时候也不得不面对它给我们带来的麻烦，没办法，谁叫事物都是有两面性的呢，毕竟正是因为有了这一圈栅栏，用户安全才有了保障。

三. 突破系统权限

距离上一次狼群的袭击已经过了一个多月，羊们渐渐都忘记了恐惧，一天晚上，一只羊看准了某处因为下雨被泡得有点松软低陷的栅栏，跳了出去。可惜这只羊刚跳出去不久就遭遇了饿狼，不仅尸骨无存，还给狼群带来了一个信息:栅栏存在弱点，可以突破!

几天后的一个深夜，狼群专找地面泥泞处的栅栏下手，把栅栏挖松了钻进去，再次洗劫了羊群。

虽然权限为我们做了不同范围的束缚，但是这些束缚并不是各自独立的，它们全都依靠于同样的指令完成工作，这就给入侵者提供了“提升权限”(Adjust Token Privilege)的基础。

所谓“提升权限”，就是指入侵者使用各种系统漏洞和手段，让自己像那只羊或者狼群那样，找到“栅栏”的薄弱环节，突破系统指派的权限级别，从而把自己当前的权限提高多个级别甚至管理员级别的方法，提升权限得以成功的前提是管理员设置的失误(例如没有按照“最小权限”思路来配置服务器)或者业界出现了新的溢出漏洞等(例如LSASS溢出，直接拿到SYSTEM权限)。

通常，如果IIS或SQL两者之一出现了漏洞或设置失误，入侵者会尝试直接调用SQL注入语句调用特殊的系统存储过程达到直接执行命令的愿望，如果这一步成功，那么这台服务器就沦陷了;但如果管理员还有点本事，删除了存储过程或者补好了SQL注入点呢?入侵者会想办法得到IIS的浏览权限，例如一个WebShell之类的，然后搜寻整台服务器的薄弱环节(前提:管理员没删除Everyone账户权限)，例如Serv-U、IIS特殊目录、各种外部CGI程序、FSO特殊对象等，这场猫和耗子的游戏永远也不会结束，如果管理员功底不够扎实，那么只能看着入侵者破坏自己的劳动成果甚至饭碗了。

四. 结语

狼群的进攻再次被牧民们击退了，吸取了这次教训，牧民们在加固栅栏时都会把栅栏的根部打在坚硬的泥地上，并且嵌得很深。

饿狼们，还会再来吗?

权限是计算机安全技术的一个进步，但是它也是由人创造出来的，不可避免会存在不足和遗漏，我们在享受权限带来的便利时，也不能忽视了它可能引起的安全隐患或者设置失误导致的众多问题。要如何才算合理使用权限，大概，这只能是个仁者见仁，智者见智的问题了。

今天，你又在用管理员账户心安理得地到处逛了吗?