今天，你又在用管理員賬戶心安理得的到處逛了嗎？

什麼是system權限？爲什麼說它是最高的權限？ 請大家認真看完本貼。（重新編輯下，刪除NTFS權限內容，更改部分文字顏色這樣不會感覺眼睛疲勞，刪除增加某些內容。）底下提供完整版的文章下載有doc 和txt 兩種格式的


一. 權限的由來
　　遠方的某個山腳下，有一片被森林包圍的草原，草原邊上居住着一羣以牧羊爲生的牧民。草原邊緣的森林裏，生存着各種動物，包括野狼。
　　由於羊羣是牧民們的主要生活來源，它們的價值便顯得特別珍貴，爲了防止羊的跑失和野獸的襲擊，每戶牧民都用柵欄把自己的羊羣圈了起來，只留下一道小門，以便每天傍晚供羊羣外出到一定範圍的草原上活動，實現了一定規模的保護和管理效果。
　　最初，野狼只知道在森林裏逮兔子等野生動物生存，沒有發現遠處草原邊上的羊羣，因此，在一段時間裏實現了彼此和平相處，直到有一天，一隻爲了追逐兔子而湊巧跑到了森林邊緣的狼，用它那靈敏的鼻子嗅到了遠處那隱隱約約的烤羊肉香味。
　　當晚，突然出現的狼羣襲擊了草原上大部分牧民飼養的羊，它們完全無視牧民們修築的僅僅能攔住羊羣的矮小柵欄，輕輕一躍便突破了這道防線……雖然聞訊而來的牧民們合作擊退了狼羣，但是羊羣已經遭到了一定的損失。
　　事後，牧民們明白了柵欄不是僅僅用來防止羊羣逃脫的城牆，各戶牧民都在忙着加高加固了柵欄……


　　如今使用WINDOWS  XP VISTA WIN7 的人都聽說過“權限”(Privilege)這個概念，但是真正理解它的家庭用戶，也許並不會太多，那麼，什麼是“權限”呢?對於一般的用戶而言，我們可以把它理解爲系統對用戶能夠執行的功能操作所設立的額外限制，用於進一步約束計算機用戶能操作的系統功能和內容訪問範圍，或者說，權限是指某個特定的用戶具有特定的系統資源使用權力。
　　
     對計算機來說，系統執行的代碼可能會對它造成危害，因此處理器產生了Ring（圈內，環內）的概念，把“裸露在外”的一部分用於人機交互的操作界面限制起來，避免它一時頭腦發熱發出有害指令;而對於操作界面部分而言，用戶的每一步操作仍然有可能傷害到它自己和底層系統——儘管它自身已經被禁止執行許多有害代碼，但是一些不能禁止的功能卻依然在對這層安全體系作出威脅，因此，爲了保護自己，操作系統需要在Ring 的籠子裏限制操作界面基礎上，再產生一個專門用來限制用戶的柵欄，這就是現在我們要討論的權限，它是爲限制用戶而存在的，而且限制對每個用戶並不是一樣的，在這個思想的引導下，有些用戶能操作的範圍相對大些，有些只能操作屬於自己的文件，有些甚至什麼也不能做……
　　                   
                                  正因爲如此，計算機用戶纔有了分類:管理員、普通用戶、受限用戶、來賓等……
二. 權限的指派 


1.普通權限
　　雖然Win2\X\V\win7等系統提供了“權限”的功能，但是這樣就又帶來一個新問題:權限如何分配纔是合理的?如果所有人擁有的權限都一樣，那麼就等於所有人都沒有權限的限制，那和使用Win9x有什麼區別?幸好，系統默認就爲我們設置好了“權限組”(Group)，只需把用戶加進相應的組即可擁有由這個組賦予的操作權限，這種做法就稱爲權限的指派。
　　
默認情況下，系統爲用戶分了7個組，並給每個組賦予不同的操作權限，管理員組(Administrators)、高權限用戶組(Power Users)、普通用戶組(Users)、備份操作組(Backup Operators)、文件複製組(Replicator)、來賓用戶組(Guests)，身份驗證用戶組(Ahthenticated users)其中備份操作組和文件複製組爲維護系統而設置，平時不會被使用。
　　
      系統默認的分組是依照一定的管理憑據指派權限的，而不是胡亂產生，管理員組擁有大部分的計算機操作權限(並不是全部)，能夠隨意修改刪除所有文件和修改系統設置只有程序信任組（特殊權限）。再往下就是高權限用戶組，這一部分用戶也能做大部分事情，但是不能修改系統設置，不能運行一些涉及系統管理的程序。普通用戶組則被系統拴在了自己的地盤裏，不能處理其他用戶的文件和運行涉及管理的程序等。來賓用戶組的文件操作權限和普通用戶組一樣，但是無法執行更多的程序。身份驗證用戶組(Ahthenticated users) 經過ms驗證程序登錄的用戶均屬於此組。　　　　
2.特殊權限
　　除了上面提到的7個默認權限分組，系統還存在一些特殊權限成員，這些成員是爲了特殊用途而設置，分別是:SYSTEM(系統)、Trustedinstaller（信任程序模塊）、Everyone(所有人)、CREATOR OWNER(創建者) 等，這些特殊成員不被任何內置用戶組吸納，屬於完全獨立出來的賬戶。
　　前面我提到管理員分組的權限時並沒有用“全部”來形容，祕密就在此，不要相信系統描述的“有不受限制的完全訪問權”，它不會傻到把自己完全交給人類，管理員分組同樣受到一定的限制，只是沒那麼明顯罷了，真正擁有“完全訪問權”的只有一個成員:SYSTEM。這個成員是系統產生的，真正擁有整臺計算機管理權限的賬戶，一般的操作是無法獲取與它等價的權限的。
　　“所有人”權限與普通用戶組權限差不多，它的存在是爲了讓用戶能訪問被標記爲“公有”的文件，這也是一些程序正常運行需要的訪問權限——任何人都能正常訪問被賦予“Everyone”權限的文件，包括來賓組成員。
　　被標記爲“創建者”權限的文件只有建立文件的那個用戶才能訪問，做到了一定程度的隱私保護。
　　但是，所有的文件訪問權限均可以被管理員組用戶和SYSTEM成員忽略，除非用戶使用了NTFS加密。
　　無論是普通權限還是特殊權限，它們都可以“疊加”使用，“疊加”就是指多個權限共同使用，例如一個賬戶原本屬於Users組，而後我們把他加入Administrators組在加入Trustedinstaller等權限提升，那麼現在這個賬戶便同時擁有兩個或多個權限身份，而不是用管理員權限去覆蓋原來身份。權限疊加並不是沒有意義的，在一些需要特定身份訪問的場合，用戶只有爲自己設置了指定的身份才能訪問，這個時候“疊加”的使用就能減輕一部分勞動量了。


　　距離上一次狼羣的襲擊已經過了很久，羊們漸漸都忘記了恐懼，一天晚上，一隻羊看準了某處因爲下雨被泡得有點鬆軟低陷的柵欄，跳了出去。可惜這隻羊剛跳出去不久就遭遇了餓狼，不僅屍骨無存，還給狼羣帶來了一個信息:柵欄存在弱點，可以突破!
　　幾天後的一個深夜，狼羣專找地面泥濘處的柵欄下手，把柵欄挖鬆了鑽進去，再次洗劫了羊羣。從來以後牧民們開始輪流拿着槍,帶着牧羊犬巡視着羊圈（大家想到什麼！沒錯正是UAC保護 呵呵）
　　以後狼羣的進攻被牧民們擊退了，而且在不斷吸取教訓，牧民們在加固柵欄時都會把柵欄的根部打在堅硬的泥地上，並且嵌得很深。餓狼們，還會再來嗎?
　　
    權限是計算機安全技術的一個進步，但是它也是由人創造出來的，不可避免會存在不足和遺漏，我們在享受權限帶來的便利時，也不能忽視了它可能引起的安全隱患或者設置失誤導致的衆多問題。要如何纔算合理使用權限，大概，這隻能是個仁者見仁，智者見智的問題了。
　　
今天，你又在用管理員賬戶心安理得的到處逛了嗎？