windows 2003 系统用户权限详解

WINDWOS2003下各类用户：

SYSTEM ：本地机器上拥有最高权限的用户，使用普通的用户管理工具通常是查看不到他们的，可理解为WINDWOS本身帐户，一些大型系统软件也拥有此帐号权限，比如MSSQL。

Administrator：基本上是本地机器上拥有最高权限的用户；你可以对它重命名，但是不能删除。

Guest：只拥有相对极少的权限，在默认情况下是被禁用的。

IUSR_*、 IWAM_*：都是在安装IIS后出现的内建帐号；IUSR_*----如果装了IIS，访问IIS的用户都是使用这个帐号来匿名访问IIS；它是 GUEST组的成员之一。IWAM_*----如果装了IIS ，各种IIS就用程序就将运行在这个帐户下，它是IIS――WPG用户组的成员之一。


WINDWOS2003常见用户组：

Administrators：这个用户组在本地机器上拥有最高权限（SID：S-1-5-32-544）。

Backup Operators：虽然不如Administrators大，但也差不多。

Guests：与USER组权限相同。

Distributed COM Users：分布式系统帐号，涉及到域及域控制器等知识。

Network Configuration Operators：：WINDOWS2003中新增的用户组，这个用户组有足够的权限去管理网络配置情况。

Performance Log Users：WINDWOS2003中新增用户组，这个用户有权从远程安排性能计数器的日志工作。

Performance Monitor Users，WINDOWS2003新增用户组，这个用户组有权从远程监控计算机的运行情况。

Power Users：低于ADMINISTRAOTRS，但远高于GUEST，不能将添加管理员。

Print Operators：不如ADMINISTRATOR大，但是差不多。

Users：本地机器上所有的用户帐户：这是一个低权限的用户组（SID：S-1-5-32-545）。

IIS_WPG：WINDOWS2003新增用户组：如果安装了IIS，用来运行和种WEB应用程序的，帐户将被容纳在这个用户组里。

其中：

管理员 (Administrators)

• 安装操作系统和组件（例如硬件驱动程序、系统服务等等）。
• 安装 Service Packs 和 Windows Packs。
• 升级操作系统。
• 修复操作系统。
• 配置关键操作系统参数（例如密码策略、访问控制、审核策略、内核模式驱动程序配置等等）。
• 获取已经不能访问的文件的所有权。
• 管理安全措施和审核日志。
• 备份和还原系统。

用户 (Users)

1. 安装 Windows 2000 认可的新版应用程序。
2. 将用户从 Users 组移到 Power Users 组。
3. 降低 Users 组的默认安全权限。这可以用兼容的安全模板完成。详细信息，请参阅相关主题中的“预定义安全模板”。

超级用户 (Power Users)

Power Users 组的成员拥有的权限比 Users 组的成员多，但比 Administrators 组的成员少。超级用户可以执行除了为管理员组保留的任务外的其他任何操作系统任务。超级用户的默认 Windows 2000 安全设置与 Windows NT 4.0 中 Users 的默认安全设置十分相似。Windows 2000 中 Power Users 可以运行的任何程序都可以由 Windows NT 4.0 中的 Users 运行。

Power Users 可以：

• 除了 Windows 2000 认可的应用程序外，还可以运行一些安全性不太严格的应用程序。
• 安装不修改操作系统文件并且不需要安装系统服务的应用程序。
• 自定义系统资源，包括打印机、日期/时间、电源选项和其他控制面板资源。
• 创建和管理本地用户帐户和组。
• 启动或停止默认情况下不启动的服务。

超级用户没有将自己添加到管理员组的权限，也不能访问在 NTFS 卷上的其他用户的数据，除非那些用户赋予他们这样的权限。

备份操作员 (Backup Operators)

Backup Operators 组的成员可以备份和还原计算机上的文件，而不管保护这些文件的权限如何。他们还可以登录到计算机和关闭计算机，但不能更改安全性设置。

特殊组

• 交互 (Interactive)。该组包含当前登录到计算机上的用户。
• 网络 (Network)。该组包含通过网络远程访问系统的所有用户。
• 终端服务器用户 (Terminal Server User)。当终端服务器以应用程序服务模式被安装时，该组包含使用终端服务器登录到该系统的任何用户。用户可以在 Windows NT 4.0 中运行的程序也能在 Windows 2000 中由终端服务器用户运行。赋予该组的默认权限允许终端服务器用户运行大部分安全性不太严格的程序。
• 所有用户组（everyone）。是个抽象组，计算机系统中所有的用户统统属于该组。