Windows *** 作系统账户权限设置步骤详解

难道我们真的无能为力了吗其实，只要你弄明白了NTFS系统下的权限设置问题，我们可以对crackers们说:NO!

要打造一台安全的WEB服务器，那么这台服务器就一定要使用NTFS和Windows NT/2000/2003。众所周知，Windows是一个支持多用户、多任务的 *** 作系统，这是权限设置的基础，一切权限设置都是基于用户和进程而言的，不同的用户在访问这台计算机时，将会有不同的权限。

DOS跟WinNT的权限的分别

DOS是个单任务、单用户的 *** 作系统。但是我们能说DOS没有权限吗不能!当我们打开一台装有DOS *** 作系统的计算机的时候，我们就拥有了这个 *** 作系统的管理员权限，而且，这个权限无处不在。所以，我们只能说DOS不支持权限的设置，不能说它没有权限。随着人们安全意识的提高，权限设置随着NTFS的发布诞生了。

Windows NT里，用户被分成许多组，组和组之间都有不同的权限，当然，一个组的用户和用户之间也可以有不同的权限。下面我们来谈谈NT中常见的用户组。

Administrators,管理员组，默认情况下，Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以，只有受信任的人员才可成为该组的成员。

Power Users，高级用户组，Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何 *** 作系统任务。分配给 Power Users 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。但Power Users 不具有将自己添加到 Administrators 组的权限。在权限设置中，这个组的权限是仅次于Administrators的。

Users:普通用户组，这个组的用户无法进行有意或无意的改动。因此，用户可以运行经过验证的应用程序，但不可以运行大多数旧版应用程序。Users 组是最安全的组，因为分配给该组的默认权限不允许成员修改 *** 作系统的设置或用户资料。Users 组提供了一个最安全的程序运行环境。在经过 NTFS 格式化的卷上，默认安全设置旨在禁止该组的成员危及 *** 作系统和已安装程序的完整性。用户不能修改系统注册表设置、 *** 作系统文件或程序文件。Users 可以关闭工作站，但不能关闭服务器。Users 可以创建本地组，但只能修改自己创建的本地组。

Guests:来宾组，按默认值，来宾跟普通Users的成员有同等访问权，但来宾帐户的限制更多。

Everyone:顾名思义，所有的用户，这个计算机上的所有用户都属于这个组。

其实还有一个组也很常见，它拥有和Administrators一样、甚至比其还高的权限，但是这个组不允许任何用户的加入，在察看用户组的时候，它也不会被显示出来，它就是SYSTEM组。系统和系统级的服务正常运行所需要的权限都是靠它赋予的。由于该组只有这一个用户SYSTEM，也许把该组归为用户的行列更为贴切。

权限实例攻击

权限将是你的最后一道防线!那我们现在就来对这台没有经过任何权限设置，全部采用Windows默认权限的服务器进行一次模拟攻击，看看其是否真的固若金汤。

假设服务器外网域名为x，用扫描软件对其进行扫描后发现开放>我刚刚试验过可以的。
我用的是win2003+ftp，在internet信息管理器里已经有一个ftp站点，然后把里面的一个文件夹设置成可写。 我那个文件夹叫“公用网盘”，我每次外出需要存东西就远程往里复制，单位的网络被我当成网盘了。。hoho
启动excel2010，在打开文件对话框里，文件名直接填写成ftp地址(根目录地址就好)，然后就显示出ftp里的一大堆文件夹，用鼠标进入可改写的那个文件夹。 我试验的效果是，对于已有的文件不能改，但是另存为以后就可以随便修改了。 这是远程 *** 作的。不知道2003行不行。
----------------哈哈，刚才试验成功了，秘诀有3条：
1怎样把FTP中的一个文件夹设为“可写”
方法：internet信息管理器中配置你的ftp站点，添加一个虚拟目录，指向服务器上的另一个单独的文件夹（文件夹名为123）。并把虚拟目录设置成可写。 然后进入资源管理器，在你FTP原来指向的目录中创建一个名叫123的文件夹，这个文件夹里不要存东西。－－如果不建两个123，FTP里就看不到那个虚拟目录。
2怎样让excel能直接远程修改文档
方法：在资源管理器中设置123的属性，安全性，NTFS权限，把IUSER用户（internet来宾帐户）加入，设置成完全控制。
3现在就可以在EXCEL中直接远程 *** 作了。
--------------以上所有文字均为键盘敲入，非抄袭。