当前位置: 首页 > 图文教程 > 服务器 > Windows服务器 > Windows 2000的一些Privilege

Windows服务器
2003操作系统十例最新配置技巧
在win 2003中得到登陆密码
无敌命令结束Windows系统进程
最新Win2003操作系统技巧十例
操作系统被入侵后的修复过程
Win Server 2003 10条小技巧
巧妙突破Win 2003系统的种种限制
巧用“管理工具”优化操作系统
五种windows密码设置及破解
Windows2003网络服务器安全攻略
Windows系统文件夹全面大揭密
轻松设置拒绝windows 2003泄密
如何高效的使用内存
九招让硬盘更快、系统更稳定
如何在win 2003中得到登陆密码
轻松部署Windows2003的DHCP服务
Win2003的分发功能给网管减负
突破Win 2003系统种种限制
巧让Win2000系统急速“瘦”身
Windows2000启动菜单详解

Windows服务器 中的 Windows 2000的一些Privilege


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-02   浏览: 44 ::
收藏到网摘: n/a

 

讲一下这个2000的一些privilege。

Privilege,为本地管理员提供了一种手段,可以控制允许什么人具有什么权限或者能执行什么样的系统操作,

如允许交互式登陆等等。这里我们说的特权是指特殊操作所需的权限,如备份呀什么的!一旦授予了某种特权,

这些特权就会包括在用户的安全访问令牌中。这是一些基本的概念,可以看以下,比较容易明白。

系统为了管理的方便总是为每个本地组分配了相应的特权,而且从来不改变这个特权,这些东东在NT系统上可以分为内置能力,标准用户权力,高级用户权力这么几种,但是在2000中标准权利和高级权力已经被用户特权所取代,只有在为委派而信任计算机和用户帐户(SeEnableDelegationPrivilege)和把计算机从dock中移出(SeUndockPrivilege)这两种情况下可以把NT的权利映射到2000中的特权。
注意一下2000的一些问题。并非所有能力都有匹配的权利,因此,不可能用权力完全匹配组的内置能力。而由于

特定组能力的预定义分配和不能把所有能力复制为权力,就难以区分任务,并且只能强制使用最低特权的概念。

那么在域一级下就缺少一个安全结构,导致了难以授予管理的功能。2000在AD引入后,就允许区分任务,也可授

予domain和OU相应的管理层次。

下面来谈一下具体的一些用户特权,应当有26个,也有说28个的。

SeTcbPrivilege
成为OS的一部分
允许进程可以像用户一样被鉴别,因此可以像用户一样访问相应的资源。只有底层的鉴别服务需要这样的特权所以无论是工作站,独立服务器,还是DC都没有把这个设为某人权利。

SeMachineAccountPrivilege
添加工作站到域为了这个特权可以启用,必须保证这个用户在域控制器本地安全策略中的才行。

SeBackupPrivilege
备份文件和目录。
允许用户绕过文件和目录的权限来做备份。只有当应用程序尝试访问NTFS备份API时才检查这个特权。默认情况下,这个特权分配给Administrators和Backup Operators。

SeChangeNotifyPrivilege
回避遍历检查。
允许用户来回移动目录,但是不能列出文件夹的内容。默认情况下,这种特权被赋予Administrators,

Backup Operators, Power Users, Users ,and Everyone,换句话说就是所有人都有这种权利。

SeSystemTimePrivilege
改变系统时间。
默认情况下Administrators和Power Users有这种权利。

SeCreatePagefilePrivilege
创建分页文件。
允许用户创建和改变一个分页文件的大小。默认情况下,只有Administrators有这个特权。

SeCreateTokenPrivilege
创建令牌对象。
允许进程调用NtCreateToken()或者是其他的Token-Creating APIs创建一个访问令牌。

SeCreatePermanentPrivilege
创建永久共享对象。
允许进程在2000项目管理器中创建一个目录对象。

SeDebugPrivilege
调试程序。
允许用户连接一个Debugger来调试任何进程。默认情况下Administrators有该特权。

SeEnableDelegationPrivilege
为委派而信任计算机和用户帐户。
允许用户为了委派而改变信任,只有当用户或者是计算机对该对象的帐户控制标志有写权限的时候可以。

SeRemoteShutdownPrivilege
远程关闭系统。
Administrators在默认情况下有此特权。

SeAuditPrivilege
产生安全审核。
允许一个应用程序在安全日志中,创建,产生,增加一条记录。

SeIncreaseQuotaPrivilege
增加限额。
允许一个有写属性的进程利用其他进程从而取得更多的处理器限额,这种特权有利于系统调试,但是也有导致
DOS的可能。

SeIncreaseBaseProrityPrivilege
增加调度优先级。
允许一个有写属性的进程利用其它进程来获得更多的执行优先权。有这种特权的用户可以在Task管理器中改变一个进程的调度优先权。默认情况Administrators有该特权。

SeLoadDriverPrivilege
安装和卸载设备驱动程序。
允许用户安装和卸载即插即用设备的驱动程序,不是即插即用的不受这个特权影响,但是只能被
Administrators所安装。因为驱动程序是作为被信任的程序来运行的,这需要很高的特权。而这种特权可能会被用于安装恶意程序,和破坏性的访问。默认情况下Administrators有该特权。

SeSecurityPrivilege
管理审计和安全日志。
允许用户指定对象访问的审计。有这种特权的用户也可以清空安全日志。默认情况下Administrators有该特权

SeSystemEnvironmentPrivilege
修改firmware环境变量。
允许用户使用进程通过一个API来设置系统环境变量,另外,也可以让用户使用System Properties来做到以上这一步。默认情况下Administrators有该特权。

SeProfileSingleProcessPrivilege
Profile单一进程。
允许用户使用性能监视器来监视nonsystem进程。默认情况下Administrators有此特权。


SeSystemProfilePrivilege
Prof