8/14/2008

WINDIWS XP中受限用户user和power user 的区别

摘自xp帮助中关于power user组和user组的说明.

超级用户
Power Users 组主要为运行未经认证的应用程序而提供向后兼容性。分配给该组的默认权限允许该组的成员修改计算机的大部分设置。若必须支持未经验证的应用程序,则最终用户需要成为 Power Users 组的成员。

Power Users 组的成员拥有的权限比 Users 组的成员多,但比 Administrators 组的成员少。超级用户可以执行除了为管理员组保留的任务外的其他任何操作系统任务。默认的 Windows 2000 和 Windows XP Professional 对于 Power Users 的安全设置非常类似于 Windows NT 4.0 中对 Users 的安全设置。由 Windows NT 4.0 中的 Users 运行的任何程序,都可由 Windows 2000 或 Windows XP Professional 中 Power Users 运行。

Power Users 可以:

除了 Windows 2000 或 Windows XP Professional 认证的应用程序外,还可以运行一些旧版应用程序。
安装不修改操作系统文件并且不需要安装系统服务的应用程序。
自定义系统资源,包括打印机、日期/时间、电源选项和其他控制面板资源。
创建和管理本地用户帐户和组。
启动或停止默认情况下不启动的服务。
Power Users 不具有将自己添加到 Administrators 组的权限。Power Users 不能访问 NTFS 卷上的其它用户资料,除非他们获得了这些用户的授权。

警告

在 Windows 2000 或 Windows XP Professional 上运行旧版程序通常要求修改对某些系统设置的访问。默认情况下允许超级用户运行安全性不太严格的程序的权限,可能让超级用户获得其他系统权限,甚至完全的 管理权限。因此,部署 Windows 2000 或 Windows XP Professional 认证的程序,以便在不影响程序功能的同时,得到最大的安全性非常重要。经认证的程序在由 Users 组提供的安全配置下正常运行。详细信息,请参阅 Microsoft 网站上的安全页。(http://www.microsoft.com)
由于超级用户可以安装或修改程序,因而以超级用户身份连接到 Internet 时可能引起特洛伊木马程序的攻击或其他安全隐患。

用户
"Users" 组是最安全的组,因为分配给该组的默认权限不允许成员修改操作系统的设置或其他用户资料。

Users 组提供了一个最安全的程序运行环境。在全新安装(非升级安装)的系统的 NTFS 格式的卷上,默认的安全设置被设计为禁止该组的成员危及操作系统的完整性及安装程序。用户不能修改系统注册表设置,操作系统文件或程序文件。用户可以关闭 工作站,但不能关闭服务器。Users 可以创建本地组,但只能修改自己创建的本地组。他们可以运行经认证的 Windows 2000 或 Windows XP Professional 程序,这些程序由管理员安装或部署。用户对自己的数据文件 (%userprofile%) 和注册表中有关自己的部分 (HKEY_CURRENT_USER) 具有完全控制权。

然而,用户级别权限通常不允许用户成功地运行旧版 应用程序。仅保证 Users 组的成员可运行经认证的 Windows 应用程序。(详细信息,请参阅 Microsoft 网站上的 Windows 认证程序。) (http://msdn.microsoft.com)

要保证 Windows 2000 或 Windows XP Professional 系统的安全,管理员应该:

确保最终用户只属于 Users 组。
部署 Users 组的成员可以成功运行的程序,如经认证的 Windows 2000 或 Windows XP Professional 程序。
用 户将无法运行为 Windows 2000 以前版本所编写的大多数 Windows 程序,因为这些应用程序中的大多数都是要么不支持文件系统和注册表安全(Windows 95 和 Windows 98),要么就是默认安全设置不严格(Windows NT)。如果在新安装的 NTFS 系统上运行以前的应用程序有问题,可采取下列措施之一:

安装经 Windows 2000 或 Windows XP Professional 所认证的新版应用程序。
将用户从 Users 组移到 Power Users 组。
降低 Users 组的默认安全权限。这可以用兼容的安全模板完成。

0 评论:

免责声明

1、本人是文盲,以上内容文字均不认识,也看不懂是什么意思(包括但不限于对所以上之内容的识别、阅读、理解、分析、记忆等);

2、本人过去、现在以及将来都不认识本文中提及当事人,且自古以来与该相对人无利益关系;

3、本人昨天、今天以及明天都没有或者不准备去本文所述地点。本文表述之事与本人无关。

4、本人在此发文(包括但不限于汉字、拼音、拉丁字母、斯拉夫字母、日语假名、阿拉伯字母、单词、句子、图片、影像、录音、以及前述之各种任意组合等等)均为随意敲击键盘所出,用于检验本人电脑键盘录入、屏幕显示的机械、光电性能,并不代表本人局部或全部同意、支持或者反对文中观点。如需要详查请直接与键盘发明者及生产厂商法人代表联系;

5、人生有风险,上网需谨慎。本文不暗示、鼓励、支持或映射读者作出生活方式、工作态度、婚姻交友、股票债券买卖、子女教育的积极或消极判断。未成年人请在监护人陪同下阅读本文。无完全民事行为能力者,请立即关闭网页,并用20%高锰酸钾+75%乙醇对键盘、硬盘、电压插座、显示器、鼠标、cpu进行灌溉消毒;

6、如本人留言违反国家有关法律,请网络管理员及时删除本文,本人保留继续发文的权利;

7、因删贴不及时所产生的任何法律(包括宪法、加法、减法、乘法、除法、剑法、拳法、脚法、指法、民法、刑法、书法、公检法、基本法、劳动法、婚姻法、输入法、没办法、国际法、今日说法、吸星大法及文中涉及或可能涉及以及未涉及之法,各地治安管理条例)纠纷或责任本人概不负责;

8、本人谢绝任何跨省(包括但不限于跨国、跨洲、跨星球、跨星系)追捕行为。确因不抓不足以平民愤,或不抓就领不到薪水养家户口的公职人员,建议携带工作证、身份证、结婚证/离婚证、独生子女证、健康证、暂住证、毕业证、边防证、县以上政府机关出具的介绍信温情操作。抓捕按照以下排序倒序:作者、原作者以及网络管理员以及网络运行商、电信运营商、电力供应商、电脑生产销售商.