本文目录
Windows最高权限真的是Administrator吗
在Windows XP系统之前,administrator权限确实可以说是无敌权限了,简直可以媲美system这个至高无上的超级系统权限,连删个系统文件都不再话下,这时导致病毒肆虐的主要原因之一。
但从Vista开始,系统权限和用户权限做了很明显的划分,administrator的权限感觉明显的削弱了很多,系统文件不是你想删就可以删了,也不是你想改就可以随便改了。
在system权限的之上还增加了底层的TrustedInstaller权限,没错TrustedInstaller权限就是用来防止程序或用户无意或恶意破坏系统文件。若使用“取得文件或其他对象的所有权”特权来尝试修改权限,很容易被杀毒软件发现。所以TrustedInstaller权限配合UAC、Windows Defender、浏览器SmartScreen从源头上杜绝了病毒的肆虐。
Windows的用户组
Windows操作系统的用户组就像管理一家公司一样参与管理,会根据不同的职位,分配不同的权力和职能范围。不同的账户或组队文件、文件夹、注册表等拥有不同的访问能力,这点是非常重要的,可以防止重要文件被其他人或病毒修改,避免系统崩溃或者机密性文件被盗。
当一个用户试图访问一个文件或者文件夹的时候,NTFS文件管理系统就会检查用户使用的账号或所属的组在不在文件或文件夹的访问控制列表中(ACL),再进一步的检查就是访问控制项(ACE),控制项可以判断用户最终的权限。NTFS权限有两大要素:标准访问权限和特别访问权限。
标准访问权限的6大基本权限
- 完全控制。该权限允许用户对对文件夹、子文件夹、文件进行完全控制,比如:修改资源的权限、获取资源的所有者、删除资源的权限等,拥有完全控制权限等于拥有了其他所有的权限。
- 修改。该权限运行用户修改或删除资源,同时让用户拥有写入及读取和运行权限。
- 读取和运行。该权限允许用户拥有读取和列出资源目录的权限。也允许用户在资源中进行移动和遍历,专业用户就可以直接访问子文件夹和文件,即使用户没有权限访问这个路径。
- 列出文件夹目录。该权限允许用户查看资源中的子文件夹和文件名称。
- 读取。该权限允许用户查看该文件夹中的文件以及子文件夹,也允许查看该文件夹的属性、所有者和拥有的权限等。
- 写入。该权限允许用户在该文件夹中创建新的文件和子文件夹,也可以改变文件夹的属性、查看文件夹的所有者和权限等。
特别访问权限
- 遍历文件夹/运行文件。该权限允许用户在文件夹及其子文件夹之间移动(遍历),即使这些文件夹本身没有访问权限。
- 列出文件/读取数据。该权限允许用户查看文件夹中的文件名称、子文件夹名称和查看文件中的数据。
- 读取属性。该权限允许用户查看文件或文件夹的属性。
- 读取扩展属性。该权限允许查看文件或文件夹的扩展属性,这些扩展属性通常由程序所定义,并可以被程序修改。
- 创建文件/写入数据。该权限允许用户在文件夹中创建新文件,也允许将数据写入现有文件并覆盖现有文件中的数据。
- 创建文件夹/附加数据。该权限允许用户在文件夹中创建新文件夹或允许用户在现有文件的末尾添加数据,但不能对文件现有的数据进行覆盖、修改,也不能删除数据。
- 写入属性。该权限允许用户对文件或文件夹的扩展属性进行修改。
- 写入扩展属性。该权限允许用户对文件或文件夹的扩展属性进行修改。
- 删除子文件夹及文件。该权限允许用户删除文件夹中的子文件夹夹或文件,即使在这些子文件夹和文件上没有设置删除权限。
- 删除。该权限允许用户删除当前文件夹和文件,如果用户在该文件或文件夹上没有删除权限,但是在其父级文件夹上有删除子文件及文件及的权限,那么仍然可以删除它。
- 读取权限。该权限允许用户读取文件或文件夹的权限列表。
- 更改权限。该权限允许用户改变文件或文件夹上的现有权限。
- 取得所有权。该权限允许用户获取文件或文件夹的所有权,一旦获取了所有权,用户就可以对文件或文件夹进行全权的控制。
大多数情况下,标准权限是完全可以满足日常的管理需求,但对于一些要求严格的管理环境,管理员就需要赋予某些用户“特别权限”了。
TrustedInstaller是从Vista开始出现的内置安全主体,拥有修改系统文件的权限,它本身是一个服务但是以账户组的形式出现,全名:NT SERVICETrustedInstaller。TrustedInstaller用户账户用于保护系统核心文件,用于Windows Module Installer的安装、修改和删除Windows更新,也负责删除一些可选的Windows组件。想要获得TrustedInstaller权限,只有通过了服务启动控制器的验证才能获取,普通用户几乎不可能获得。
总结
在Windows XP以前拥有Administrator账户就意味着有完全控制它的权利,但Vista之后仅表示你拥有使用它的最高权限而已。Administrator权限之上还有System权限和TrustedInstaller权限。System权限通过NTFS文件管理系统和TrustedInstaller的加持已经变得地位相当稳固,而Administrator再也别想越界了。
以上个人浅见,欢迎批评指正。
认同我的看法,请点个赞再走,感谢!
喜欢我的,请关注我,再次感谢!
Administrator什么意思
administrator
英
n.(公司、机构的)管理人员,行政人员
扩展
Administrator原意为管理人或行政官员或遗产管理人,在计算机名词中,它的意思是系统超级管理员或超级用户。但是在Windows系统中此用户名只在安全模式中使用(或手动启用此帐户)。
读音:
n.管理者; 有管理(或行政)才能得人;(由遗嘱检验法庭指定的)遗产管理人; 地产管理人;
复数:administrators
同义词 decision maker, executive
用例
1.A forum admin can control and edit everything in the forum.
论坛管理员可以控制和论坛里面的所有东西。
2. Person appointed by the court to administer the deceased’s estate where the deceased.
死者生前没立遗嘱,由法庭所委任遗产管理者。
3.LAN Administrator:
局域网管理员|局域网管理员|局域网管制员
4.HMO Administrator:
医疗保险管理|医疗保险治理|医疗保险管制。
历史来源:
起初在DOS操作系统的年代里,很少用这个单词,但是到了Windows NT及以后的Windows系列系统就开始使用“Administrator”用户名作为系统默认的管理员,后来就为了省事,简单的缩写为“Admin”慢慢的各种各样的需要认证的软件都使用“Admin”、“Administrator”、“Guest”等单词来作为软件默认的用户名。
Administrator的简写形式是Admin,中文意思就是“系统管理员”。即所谓的“超级用户”。administrator是电脑里权限不受控的人:
每台电脑装上系统后,在你自己新建的账户外,会自动新建一个叫administrator 的管理计算机(域)的内置账户,它平时是隐藏的,它是计算机管理员的意思,是拥有计算机管理的最高权限,我们新建的账户都是在它下派生的。
它的用途主要用于当常用账号下无法解决问题时,就会进入administrator账户,在这里账户里任何操作都是允许的(一般是在安全模式下进行的开机一直点按F8,选择安全模式,即可进入。维修电脑时多用)。它的密码默认是空,可以在控制面板-用户账户里面设置密码,建议设置密码。
在开机后选择登陆用户界面时,按下Ctrl+Alt+Del,可以打开用户登陆框,输入administrator和密码(若无密码无须输入),即可进入administrator账户。