当前位置: 首页 > 图文教程 > 服务器 > Windows服务器 > Windows 2000的一些Privilege

Windows服务器
Windows 2000系统Ping不通 缓存在作怪
Windows 2000中如何突破注册表容量限制
浅析Windows 2000系统中的关机技巧
Windows 2000/XP安装驱动的兼容问题
在Windows 2000系统下共享ADSL的办法
时尚 让Win2k也用上XP绚丽主题
领先在起点—Win 2000操作系统的启动优化
Windows 2000 Server系统帐号安全设置技巧
轻松给Windows 2000搭建邮件服务器
让你的Windows 2000安全些,再安全些
详述Windows 2000日志及其删除方法
轻松取消Windows 2000默认共享
浅析Windows 2000操作系统中的关机技巧
更改Windows 2000系统收藏夹位置的方法
Windows操作系统的十则高级应用技巧
关于windows 2000各种服务的简要说明
Windows 2000操作系统内存优化全攻略
让Windows 2000服务运行得更好
Windows 2000操作技巧完全手册(上)
Windows 2000操作技巧完全手册(下)

Windows服务器 中的 Windows 2000的一些Privilege


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-02   浏览: 32 ::
收藏到网摘: n/a

 

讲一下这个2000的一些privilege。

Privilege,为本地管理员提供了一种手段,可以控制允许什么人具有什么权限或者能执行什么样的系统操作,

如允许交互式登陆等等。这里我们说的特权是指特殊操作所需的权限,如备份呀什么的!一旦授予了某种特权,

这些特权就会包括在用户的安全访问令牌中。这是一些基本的概念,可以看以下,比较容易明白。

系统为了管理的方便总是为每个本地组分配了相应的特权,而且从来不改变这个特权,这些东东在NT系统上可以分为内置能力,标准用户权力,高级用户权力这么几种,但是在2000中标准权利和高级权力已经被用户特权所取代,只有在为委派而信任计算机和用户帐户(SeEnableDelegationPrivilege)和把计算机从dock中移出(SeUndockPrivilege)这两种情况下可以把NT的权利映射到2000中的特权。
注意一下2000的一些问题。并非所有能力都有匹配的权利,因此,不可能用权力完全匹配组的内置能力。而由于

特定组能力的预定义分配和不能把所有能力复制为权力,就难以区分任务,并且只能强制使用最低特权的概念。

那么在域一级下就缺少一个安全结构,导致了难以授予管理的功能。2000在AD引入后,就允许区分任务,也可授

予domain和OU相应的管理层次。

下面来谈一下具体的一些用户特权,应当有26个,也有说28个的。

SeTcbPrivilege
成为OS的一部分
允许进程可以像用户一样被鉴别,因此可以像用户一样访问相应的资源。只有底层的鉴别服务需要这样的特权所以无论是工作站,独立服务器,还是DC都没有把这个设为某人权利。

SeMachineAccountPrivilege
添加工作站到域为了这个特权可以启用,必须保证这个用户在域控制器本地安全策略中的才行。

SeBackupPrivilege
备份文件和目录。
允许用户绕过文件和目录的权限来做备份。只有当应用程序尝试访问NTFS备份API时才检查这个特权。默认情况下,这个特权分配给Administrators和Backup Operators。

SeChangeNotifyPrivilege
回避遍历检查。
允许用户来回移动目录,但是不能列出文件夹的内容。默认情况下,这种特权被赋予Administrators,

Backup Operators, Power Users, Users ,and Everyone,换句话说就是所有人都有这种权利。

SeSystemTimePrivilege
改变系统时间。
默认情况下Administrators和Power Users有这种权利。

SeCreatePagefilePrivilege
创建分页文件。
允许用户创建和改变一个分页文件的大小。默认情况下,只有Administrators有这个特权。

SeCreateTokenPrivilege
创建令牌对象。
允许进程调用NtCreateToken()或者是其他的Token-Creating APIs创建一个访问令牌。

SeCreatePermanentPrivilege
创建永久共享对象。
允许进程在2000项目管理器中创建一个目录对象。

SeDebugPrivilege
调试程序。
允许用户连接一个Debugger来调试任何进程。默认情况下Administrators有该特权。

SeEnableDelegationPrivilege
为委派而信任计算机和用户帐户。
允许用户为了委派而改变信任,只有当用户或者是计算机对该对象的帐户控制标志有写权限的时候可以。

SeRemoteShutdownPrivilege
远程关闭系统。
Administrators在默认情况下有此特权。

SeAuditPrivilege
产生安全审核。
允许一个应用程序在安全日志中,创建,产生,增加一条记录。

SeIncreaseQuotaPrivilege
增加限额。
允许一个有写属性的进程利用其他进程从而取得更多的处理器限额,这种特权有利于系统调试,但是也有导致
DOS的可能。

SeIncreaseBaseProrityPrivilege
增加调度优先级。
允许一个有写属性的进程利用其它进程来获得更多的执行优先权。有这种特权的用户可以在Task管理器中改变一个进程的调度优先权。默认情况Administrators有该特权。

SeLoadDriverPrivilege
安装和卸载设备驱动程序。
允许用户安装和卸载即插即用设备的驱动程序,不是即插即用的不受这个特权影响,但是只能被
Administrators所安装。因为驱动程序是作为被信任的程序来运行的,这需要很高的特权。而这种特权可能会被用于安装恶意程序,和破坏性的访问。默认情况下Administrators有该特权。

SeSecurityPrivilege
管理审计和安全日志。
允许用户指定对象访问的审计。有这种特权的用户也可以清空安全日志。默认情况下Administrators有该特权

SeSystemEnvironmentPrivilege
修改firmware环境变量。
允许用户使用进程通过一个API来设置系统环境变量,另外,也可以让用户使用System Properties来做到以上这一步。默认情况下Administrators有该特权。

SeProfileSingleProcessPrivilege
Profile单一进程。
允许用户使用性能监视器来监视nonsystem进程。默认情况下Administrators有此特权。


SeSystemProfilePrivilege
Prof