有效管理Windows系統帳戶許可權

許可權是Windows管理的基礎，當然與Windows使用者關係最密切，平時接觸最多的是與帳戶相關的許可權。對於Windows帳戶許可權的管理，你是否完全瞭解呢?下面，以Winsows XP為例進行相關測試，希望對提升認識有所幫助。　　1、系統許可權概述　　大家知道，Windows NT系統是個等級森嚴的系統，作業系統透過對使用者(帳戶)授權來實施管理。以Windows XP系統為例，系統預設的使用者等級有4級：其中System擁有至高無上的許可權，掌握著系統資源的生死大權;Administrators組的使用者許可權次於System，擁有大多數的系統許可權;Users組的使用者許可權受到限制，只能執行與本使用者相關的操作，而對於其它使用者它無權過問;Guest組的使用者許可權更少，只能進行極少的操作。　　2、以System帳戶登入系統　　眾所周知，在有些時候我們可以獲取System許可權，但如何以System許可權登入系統呢?其實，這是不可能的。因為，System是基於系統服務的，不同於使用者級別的帳戶，所以在Windows是不容許以System登入系統。不過，我們可以採用變通的辦法以System“登入”系統。　　其原理是：Windows是基於圖形介面的，而其圖形介面主要是由Explorer.exe負責實現的，Explorer俗稱為Windows的Shell(殼)，我們只要獲得一個具有System許可權的Explorer不就等同於以System登入系統了嗎?　　其實現方法是：　　(1).以Administrators組的使用者登入系統，然後需要開啟Task Scheduler服務，該服務負責使使用者能在此上配置和制定自動任務。執行“開始→執行”，輸入services.msc開啟服務管理器，然後找到並啟動Task Scheduler服務。　　(2).啟動Task Scheduler後，我們需要使用at命令來實現啟　　動一個System許可權的cmd(命令提示符)。at命令有個interactive引數，該引數允許作業在執行時，與當時登入的使用者桌面進行互動。我們在當前帳戶下執行“開始→執行”，輸入cmd開啟一個具有當前使用者許可權的命令提示符。為了與後面的擁有system許可權的cmd相區別，我們輸入命令title cmd1將其命名為cmd1。　　(3).在cmd1中輸入命令“at 21:08 /interactive cmd.exe”，其中21:08為系統當前時間之後的某個時間，一般與當前時間間隔1分鐘即可。然後我們可以輸入命令at，檢視當前新增加的作業。　　(4).大概一分鐘後剛才用at建立的作業順利執行，重新啟動一個cmd。並且該命令提示符的標題欄顯示為“C:WINDOWSSystem32svchost.exe”，命令提示路徑為“C:WINDOWSsystem32>”，表明這個命令提示符不是基於某個帳戶的，而是基於服務的。我們可以開啟“工作管理員”檢視，這麼cmd是System許可權。　　(5).由於System是基於System許可權，那麼透過其執行的程式也會繼承其許可權，那麼這些程式也是System許可權。首先我們執行regedit開啟登錄檔編輯器，我們知道[HKEY_LOCAL_MACHINESAMSAM]登錄檔項預設只有System許可權可以進行檢視和修改，透過驗證我們可以展開該登錄檔項，說明regedit也是以System許可權執行的。　　(6).下面進入關鍵一步，在system的cmd中執行命令“taskkill /f /im explorer.exe”結束當前使用者的explorer.exe，然後繼續輸入命令“start explorer.exe”，回車後可以看到windows會進行explorer.exe配置，配置完成會開啟explorer進入桌面。我們點選開始選單，可以看到在帳戶圖示旁顯示SYSTEM，說明我們變通地以System登入系統了。　　以System許可權登入系統，我們就獲得了最高的系統許可權，這樣我們在圖形介面中的操作都是以system許可權在操作。這在手工防毒，系統檔案操作方面和有用，不過，此時的操作要非常小心。當然，上面的演示技術測試的意義大於實用價值，不過這些探討還是非常有益的。　　提示：上面的測試在windows /2000/XP/2003中透過，微軟的新系統Vista/Server 2008/Windows 7出於安全性考慮，at命令不可以與當前登入的使用者桌面進行互動，所以不能用此方法獲得system許可權。　　3、“孤魂”帳戶和Guest帳戶的關係　　何謂“孤魂”帳戶?我們知道在Windows系統中有Administrators、Users、Guests三個可進行系統登入的使用者組，所謂“孤魂”帳戶就是不屬於上面三個組任何一組中帳戶。我們也知道guest是屬於Guests中的預設的系統帳戶，那“孤魂”帳戶和guest帳戶之間是什麼關係呢?它們兩個哪個的許可權大呢?　　(1).建立“孤魂”帳戶　　首先我們需要建立一個“孤魂”帳戶，在cmd下執行命令“net user fr 123 /add”建立一個名為fr，密碼為123的帳戶。我們知道，這樣建立的帳戶預設是輸入users組的，具有users組的許可權，大家可以透過命令“net user fr”或者“net localgroup users”驗證。　　然後我們輸入命令“net localgroup users fr /del”將fr從users組中刪除，這樣它就不屬於任何組，而成為一個“孤魂”帳戶了。大家可以輸入命令net user fr檢視。　　(2).啟用guest帳戶　　預設情況下，Windows的guest帳戶是被禁用的。要以guest登入系統，需要啟用它。在命令提示符下輸入命令“net user guest /active:yes”即可。　　(2).許可權測試　　下面我們分別以fr和guest登入系統，看看“孤魂”帳戶和Guest的許可權呈現什麼樣的情況，以及組成員與組之間的許可權關係。　　測試1　　首先以fr登入系統，我們在cmd1下輸入命令logoff登出system登入，按兩次“Ctrl+Alt+Del”調出登入對話方塊(“孤魂”帳戶只能安全登入，友好登入中不會顯示。)，輸入fr和密碼123用fr登入系統。登入後，發現一個奇怪的現象，system許可權的那個cmd視窗還是存在。這說明什麼呢?這再一次證明system是基於windows服務的，在登出的過程中只是與當前使用者相關的東西會被結束掉，但是關鍵的系統服務還一直職守，為不同的使用者提供服務。　　下面我們在fr帳戶中進行操作，發現可進行的操作還是比較多的，但是隻能進行與本使用者相關的操作，對其他使用者相關的東西都無權進行操作，比如對Documents and Settings下的相關資料夾沒有操作許可權，修改系統設定比如網路設定都是不可以的。　　小結：將fr從users組中刪除後，其許可權還是users許可權，刪除作並沒有剝奪其此前所擁有的許可權，可見組成員繼承了組的許可權，哪怕他已經不屬於這個組，這個判斷對於users組至少是成立的。　　測試2

來自 “ ITPUB部落格 ” ，連結：http://blog.itpub.net/9236282/viewspace-1029363/，如需轉載，請註明出處，否則將追究法律責任。