W INDOW S 权限安全知识全解 作为微软第一个稳定且安全的操作系统,Windows XP 经过几年的磨合过渡期,终于以超过 Windows 系列操作系统 50%的用户占有量成为目前用户使用最多的操作系统。在慢慢熟悉了Windows XP 后,人们逐渐开始不满足基本的系统应用了,他们更加渴望学习一些较深入且实用的知识,以便能让系统充分发挥出Windows XP 的高级性能。 因此本文以 Windows XP Professional版本为平台,引领大家感受一下Windows XP 在"权限"方面的设计魅力! 一、什么是权限 Windows XP 提供了非常细致的权限控制项,能够精确定制用户对资源的访问控制能力,大多数的权限从其名称上就可以基本了解其所能实现的内容。 " 权限"(Permission)是针对资源而言的。也就是说,设置权限只能是以资源为对象,即"设置某个文件夹有哪些用户可以拥有相应的权限",而不能是以用户为主,即"设置某个用户可以对哪些资源拥有权限"。这就意味着"权限"必须针对"资源"而言,脱离了资源去谈权限毫无意义──在提到权限的具体实施时,"某个资源"是必须存在的。 利用权限可以控制资源被访问的方式,如 User 组的成员对某个资源拥有"读取"操作权限、Administrators 组成员拥有"读取+写入+删除"操作权限等。 值得一提的是,有一些 Windows 用户往往会将"权力"与"权限"两个非常相似的概念搞混淆,这里做一下简单解释:"权力"(Right)主要是针对用户而言的。"权力"通常包含"登录权力" (Logon Right)和"特权"(Privilege)两种。登录权力决定了用户如何登录到计算机,如是否采用本地交互式登录、是否为网络登录等。特权则是一系列权力的总称,这些权力主要用于帮助用户对系统进行管理,如是否允许用户安装或加载驱动程序等。显然,权力与权限有本质上的区别。 二、安全标识符、访问控制列表、安全主体 说到 Windows XP 的权限,就不能不说说"安全标识符"(Security Identifier, SID)、"访问控制列表"(Access Control List,ACL)和安全主体(Security Principal)这三个与其息息相关的设计了。 1.安全标识符 在 Windows XP 中,系统是通过 SID 对用户进行识别的,而不是很多用户认为的"用户名称"。SID 可以应用于系统内的所有用户、组、服务或计算机,因为 SID 是一个具有惟一性、绝对不会重复产生的数值,所以,在删除了一个账户(如名为"A"的账户)后,再次创建这个"A"账户时,前一个 A 与后一个 A 账户的 SID 是不相同的。这...
