windows權(quán)限設(shè)置步驟詳解

1.選取整個硬盤：

專注于為中小企業(yè)提供成都網(wǎng)站建設(shè)、成都網(wǎng)站制作服務(wù),電腦端+手機端+微信端的三站合一,更高效的管理,為中小企業(yè)泰山免費做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)。我們立足成都，凝聚了一批互聯(lián)網(wǎng)行業(yè)人才，有力地推動了超過千家企業(yè)的穩(wěn)健成長，幫助中小企業(yè)通過網(wǎng)站建設(shè)實現(xiàn)規(guī)模擴充和轉(zhuǎn)變。

system：完全控制

administrator：完全控制

(允許將來自父系的可繼承性權(quán)限傳播給對象)

　 　2/programfiles/commonfiles：

everyone組：讀取及運行

列出文件目錄

讀取

(允許將來自父系的'可繼承性權(quán)限傳播給對象)

3./inetpub/wwwroot：(指的是WEB目錄)

iusr_machine：

寫入

讀取

只要這兩個，不要給運行的權(quán)限。

(允許將來自父系的可繼承性權(quán)限傳播給對象)

　 　4./winnt/system32：

選擇除inetsrv和centsrv以外的所有目錄，

去除“允許將來自父系的可繼承性權(quán)限傳播給對象”選框，復(fù)制。

5./winnt：

選擇除了downloadedprogramfiles、help、iistemporarycompressedfiles、offlinewebpages、system32、tasks、temp、web以外的所有目錄

去除“允許將來自父系的可繼承性權(quán)限傳播給對象”選框，復(fù)制。

6./winnt：

everyone：讀取及運行

列出文件目錄

讀取

(允許將來自父系的可繼承性權(quán)限傳播給對象)

7./winnt/temp：（允許訪問數(shù)據(jù)庫并顯示在asp頁面上）

everyone：修改

(允許將來自父系的可繼承性權(quán)限傳播給對象)

以前有好多，不過這個最經(jīng)典了，直接設(shè)置就可以了，呵呵

windows設(shè)置權(quán)限幾大方法

隨著動網(wǎng)論壇的廣泛應(yīng)用和動網(wǎng)上傳漏洞的被發(fā)現(xiàn)以及SQL注入式攻擊越來越多的被使用，WEBSHELL讓防火墻形同虛設(shè)，一臺即使打了所有微軟補丁、只讓80端口對外開放的WEB服務(wù)器也逃不過被黑的命運。難道我們真的無能為力了嗎?其實，只要你弄明白了NTFS系統(tǒng)下的權(quán)限設(shè)置問題，我們可以對crackers們說：NO!

要打造一臺安全的WEB服務(wù)器，那么這臺服務(wù)器就一定要使用NTFS和WindowsNT/2000/2003。眾所周知，Windows是一個支持多用戶、多任務(wù)的操作系統(tǒng)，這是權(quán)限設(shè)置的基礎(chǔ)，一切權(quán)限設(shè)置都是基于用戶和進程而言的，不同的用戶在訪問這臺計算機時，將會有不同的權(quán)限。DOS是個單任務(wù)、單用戶的操作系統(tǒng)。但是我們能說DOS沒有權(quán)限嗎?不能!當(dāng)我們打開一臺裝有DOS操作系統(tǒng)的計算機的時候，我們就擁有了這個操作系統(tǒng)的管理員權(quán)限，而且，這個權(quán)限無處不在。所以，我們只能說DOS不支持權(quán)限的設(shè)置，不能說它沒有權(quán)限。隨著人們安全意識的提高，權(quán)限設(shè)置隨著NTFS的發(fā)布誕生了。

WindowsNT里，用戶被分成許多組，組和組之間都有不同的權(quán)限，當(dāng)然，一個組的用戶和用戶之間也可以有不同的權(quán)限。下面我們來談?wù)凬T中常見的用戶組。

Administrators,管理員組，默認(rèn)情況下，Administrators中的用戶對計算機/域有不受限制的完全訪問權(quán)。分配給該組的默認(rèn)權(quán)限允許對整個系統(tǒng)進行完全控制。所以，只有受信任的人員才可成為該組的成員。

PowerUsers，高級用戶組，PowerUsers可以執(zhí)行除了為Administrators組保留的任務(wù)外的其他任何操作系統(tǒng)任務(wù)。分配給PowerUsers組的默認(rèn)權(quán)限允許PowerUsers組的成員修改整個計算機的設(shè)置。但PowerUsers不具有將自己添加到Administrators組的權(quán)限。在權(quán)限設(shè)置中，這個組的權(quán)限是僅次于Administrators的。

Users:普通用戶組，這個組的用戶無法進行有意或無意的改動。因此，用戶可以運行經(jīng)過驗證的應(yīng)用程序，但不可以運行大多數(shù)舊版應(yīng)用程序。Users組是最安全的組，因為分配給該組的默認(rèn)權(quán)限不允許成員修改操作系統(tǒng)的設(shè)置或用戶資料。Users組提供了一個最安全的程序運行環(huán)境。在經(jīng)過NTFS格式化的卷上，默認(rèn)安全設(shè)置旨在禁止該組的成員危及操作系統(tǒng)和已安裝程序的完整性。用戶不能修改系統(tǒng)注冊表設(shè)置、操作系統(tǒng)文件或程序文件。Users可以關(guān)閉工作站，但不能關(guān)閉服務(wù)器。Users可以創(chuàng)建本地組，但只能修改自己創(chuàng)建的本地組。

Guests:來賓組，按默認(rèn)值，來賓跟普通Users的成員有同等訪問權(quán)，但來賓帳戶的限制更多。

Everyone:顧名思義，所有的用戶，這個計算機上的所有用戶都屬于這個組。

其實還有一個組也很常見，它擁有和Administrators一樣、甚至比其還高的權(quán)限，但是這個組不允許任何用戶的加入，在察看用戶組的時候，它也不會被顯示出來，它就是SYSTEM組。系統(tǒng)和系統(tǒng)級的服務(wù)正常運行所需要的權(quán)限都是靠它賦予的。由于該組只有這一個用戶SYSTEM，也許把該組歸為用戶的行列更為貼切。

權(quán)限是有高低之分的，有高權(quán)限的用戶可以對低權(quán)限的用戶進行操作，但除了Administrators之外，其他組的用戶不能訪問NTFS卷上的其他用戶資料，除非他們獲得了這些用戶的授權(quán)。而低權(quán)限的用戶無法對高權(quán)限的用戶進行任何操作。

我們平常使用計算機的過程當(dāng)中不會感覺到有權(quán)限在阻撓你去做某件事情，這是因為我們在使用計算機的時候都用的是Administrators中的用戶登陸的。這樣有利也有弊，利當(dāng)然是你能去做你想做的任何一件事情而不會遇到權(quán)限的限制。弊就是以Administrators組成員的身份運行計算機將使系統(tǒng)容易受到特洛伊木馬、病毒及其他安全風(fēng)險的威脅。訪問Internet站點或打開電子郵件附件的簡單行動都可能破壞系統(tǒng)。不熟悉的Internet站點或電子郵件附件可能有特洛伊木馬代碼，這些代碼可以下載到系統(tǒng)并被執(zhí)行。如果以本地計算機的管理員身份登錄，特洛伊木馬可能使用管理訪問權(quán)重新格式化您的硬盤，造成不可估量的損失，所以在沒有必要的情況下，最好不用Administrators中的用戶登陸。

Administrators中有一個在系統(tǒng)安裝時就創(chuàng)建的默認(rèn)用戶----Administrator，Administrator帳戶具有對服務(wù)器的完全控制權(quán)限，并可以根據(jù)需要向用戶指派用戶權(quán)利和訪問控制權(quán)限。因此強烈建議將此帳戶設(shè)置為使用強密碼。永遠(yuǎn)也不可以從Administrators組刪除Administrator帳戶，但可以重命名或禁用該帳戶。由于大家都知道“管理員”存在于許多版本的Windows上，所以重命名或禁用此帳戶將使惡意用戶嘗試并訪問該帳戶變得更為困難。對于一個好的服務(wù)器管理員來說，他們通常都會重命名或禁用此帳戶。Guests用戶組下，也有一個默認(rèn)用戶----Guest,但是在默認(rèn)情況下，它是被禁用的。如果沒有特別必要，無須啟用此賬戶。我們可以通過“控制面板”--“管理工具”--“計算機管理”--“用戶和用戶組”來查看用戶組及該組下的用戶。

我們用鼠標(biāo)右鍵單擊一個NTFS卷或NTFS卷下的一個目錄，選擇“屬性”--“安全”就可以對一個卷，或者一個卷下面的目錄進行權(quán)限設(shè)置，此時我們會看到以下七種權(quán)限：完全控制、修改、讀取和運行、列出文件夾目錄、讀取、寫入、和特別的權(quán)限?！巴耆刂啤本褪菍Υ司砘蚰夸洆碛胁皇芟拗频耐耆L問。地位就像Administrators在所有組中的地位一樣。選中了“完全控制”，下面的五項屬性將被自動被選中。“修改”則像Powerusers，選中了“修改”，下面的四項屬性將被自動被選中。下面的任何一項沒有被選中時，“修改”條件將不再成立。“讀取和運行”就是允許讀取和運行在這個卷或目錄下的任何文件，“列出文件夾目錄”和“讀取”是“讀取和運行”的必要條件。“列出文件夾目錄”是指只能瀏覽該卷或目錄下的子目錄，不能讀取，也不能運行?！白x取”是能夠讀取該卷或目錄下的數(shù)據(jù)?！皩懭搿本褪悄芡摼砘蚰夸浵聦懭霐?shù)據(jù)。而“特別”則是對以上的六種權(quán)限進行了細(xì)分。讀者可以自行對“特別”進行更深的研究，鄙人在此就不過多贅述了。

下面我們對一臺剛剛安裝好操作系統(tǒng)和服務(wù)軟件的WEB服務(wù)器系統(tǒng)和其權(quán)限進行全面的刨析。服務(wù)器采用Windows2000Server版，安裝好了SP4及各種補丁。WEB服務(wù)軟件則是用了Windows2000自帶的IIS5.0，刪除了一切不必要的映射。整個硬盤分為四個NTFS卷，C盤為系統(tǒng)卷，只安裝了系統(tǒng)和驅(qū)動程序;D盤為軟件卷，該服務(wù)器上所有安裝的軟件都在D盤中;E盤是WEB程序卷，網(wǎng)站程序都在該卷下的WWW目錄中;F盤是網(wǎng)站數(shù)據(jù)卷，網(wǎng)站系統(tǒng)調(diào)用的所有數(shù)據(jù)都存放在該卷的WWWDATABASE目錄下。這樣的分類還算是比較符合一臺安全服務(wù)器的標(biāo)準(zhǔn)了。

希望各個新手管理員能合理給你的服務(wù)器數(shù)據(jù)進行分類，這樣不光是查找起來方便，更重要的是這樣大大的增強了服務(wù)器的安全性，因為我們可以根據(jù)需要給每個卷或者每個目錄都設(shè)置不同的權(quán)限，一旦發(fā)生了網(wǎng)絡(luò)安全事故，也可以把損失降到最低。當(dāng)然，也可以把網(wǎng)站的數(shù)據(jù)分布在不同的服務(wù)器上，使之成為一個服務(wù)器群，每個服務(wù)器都擁有不同的用戶名和密碼并提供不同的服務(wù)，這樣做的安全性更高。不過愿意這樣做的人都有一個特點----有錢:)。好了，言歸正傳，該服務(wù)器的數(shù)據(jù)庫為MS-SQL，MS-SQL的服務(wù)軟件SQL2000安裝在d:/ms-sqlserver2K目錄下，給SA賬戶設(shè)置好了足夠強度的密碼，安裝好了SP3補丁。

為了方便網(wǎng)頁制作員對網(wǎng)頁進行管理，該網(wǎng)站還開通了FTP服務(wù)，F(xiàn)TP服務(wù)軟件使用的是SERV-U5.1.0.0，安裝在d:/ftpservice/serv-u目錄下。殺毒軟件和防火墻用的分別是NortonAntivirus和BlackICE,路徑分別為d:/nortonAV和d:/firewall/blackice,病毒庫已經(jīng)升級到最新，防火墻規(guī)則庫定義只有80端口和21端口對外開放。網(wǎng)站的內(nèi)容是采用動網(wǎng)7.0的論壇,網(wǎng)站程序在e:/www/bbs下。細(xì)心的讀者可能已經(jīng)注意到了，安裝這些服務(wù)軟件的路徑我都沒有采用默認(rèn)的路徑或者是僅僅更改盤符的默認(rèn)路徑，這也是安全上的需要，因為一個黑客如果通過某些途徑進入了你的服務(wù)器，但并沒有獲得管理員權(quán)限，他首先做的事情將是查看你開放了哪些服務(wù)以及安裝了哪些軟件，因為他需要通過這些來提升他的權(quán)限。

一個難以猜解的路徑加上好的權(quán)限設(shè)置將把他阻擋在外。相信經(jīng)過這樣配置的WEB服務(wù)器已經(jīng)足夠抵擋大部分學(xué)藝不精的黑客了。讀者可能又會問了：“這根本沒用到權(quán)限設(shè)置嘛!我把其他都安全工作都做好了，權(quán)限設(shè)置還有必要嗎?”當(dāng)然有!智者千慮還必有一失呢，就算你現(xiàn)在已經(jīng)把系統(tǒng)安全做的完美無缺，你也要知道新的安全漏洞總是在被不斷的發(fā)現(xiàn)。權(quán)限將是你的最后一道防線!那我們現(xiàn)在就來對這臺沒有經(jīng)過任何權(quán)限設(shè)置，全部采用Windows默認(rèn)權(quán)限的服務(wù)器進行一次模擬攻擊，看看其是否真的固若金湯。

假設(shè)服務(wù)器外網(wǎng)域名為，用掃描軟件對其進行掃描后發(fā)現(xiàn)開放WWW和FTP服務(wù)，并發(fā)現(xiàn)其服務(wù)軟件使用的是IIS5.0和Serv-u5.1，用一些針對他們的溢出工具后發(fā)現(xiàn)無效，遂放棄直接遠(yuǎn)程溢出的想法。打開網(wǎng)站頁面，發(fā)現(xiàn)使用的是動網(wǎng)的論壇系統(tǒng)，于是在其域名后面加個/upfile.asp，發(fā)現(xiàn)有文件上傳漏洞，便抓包，把修改過的ASP木馬用NC提交，提示上傳成功，成功得到WEBSHELL，打開剛剛上傳的ASP木馬，發(fā)現(xiàn)有MS-SQL、NortonAntivirus和BlackICE在運行，判斷是防火墻上做了限制，把SQL服務(wù)端口屏蔽了。通過ASP木馬查看到了NortonAntivirus和BlackICE的PID，又通過ASP木馬上傳了一個能殺掉進程的文件，運行后殺掉了NortonAntivirus和BlackICE。再掃描，發(fā)現(xiàn)1433端口開放了，到此，便有很多種途徑獲得管理員權(quán)限了，可以查看網(wǎng)站目錄下的conn.asp得到SQL的用戶名密碼，再登陸進SQL執(zhí)行添加用戶，提管理員權(quán)限。也可以抓SERV-U下的ServUDaemon.ini修改后上傳，得到系統(tǒng)管理員權(quán)限。還可以傳本地溢出SERV-U的工具直接添加用戶到Administrators等等。大家可以看到，一旦黑客找到了切入點，在沒有權(quán)限限制的情況下，黑客將一帆風(fēng)順的取得管理員權(quán)限。

那我們現(xiàn)在就來看看Windows2000的默認(rèn)權(quán)限設(shè)置到底是怎樣的`。對于各個卷的根目錄，默認(rèn)給了Everyone組完全控制權(quán)。這意味著任何進入電腦的用戶將不受限制的在這些根目錄中為所欲為。系統(tǒng)卷下有三個目錄比較特殊，系統(tǒng)默認(rèn)給了他們有限制的權(quán)限，這三個目錄是Documentsandsettings、Programfiles和Winnt。對于Documentsandsettings，默認(rèn)的權(quán)限是這樣分配的：Administrators擁有完全控制權(quán);Everyone擁有讀運，列和讀權(quán)限;Powerusers擁有讀運，列和讀權(quán)限;SYSTEM同Administrators;Users擁有讀運，列和讀權(quán)限。對于Programfiles，Administrators擁有完全控制權(quán);Creatorowner擁有特殊權(quán)限;Powerusers有完全控制權(quán);SYSTEM同Administrators;Terminalserverusers擁有完全控制權(quán)，Users有讀運，列和讀權(quán)限。對于Winnt，Administrators擁有完全控制權(quán);Creatorowner擁有特殊權(quán)限;Powerusers有完全控制權(quán);SYSTEM同Administrators;Users有讀運，列和讀權(quán)限。而非系統(tǒng)卷下的所有目錄都將繼承其父目錄的權(quán)限，也就是Everyone組完全控制權(quán)!

現(xiàn)在大家知道為什么我們剛剛在測試的時候能一帆風(fēng)順的取得管理員權(quán)限了吧?權(quán)限設(shè)置的太低了!一個人在訪問網(wǎng)站的時候，將被自動賦予IUSR用戶，它是隸屬于Guest組的。本來權(quán)限不高，但是系統(tǒng)默認(rèn)給的Everyone組完全控制權(quán)卻讓它“身價倍增”，到最后能得到Administrators了。那么，怎樣設(shè)置權(quán)限給這臺WEB服務(wù)器才算是安全的呢?大家要牢記一句話：“最少的服務(wù)+最小的權(quán)限=最大的安全”對于服務(wù)，不必要的話一定不要裝，要知道服務(wù)的運行是SYSTEM級的哦，對于權(quán)限，本著夠用就好的原則分配就是了。對于WEB服務(wù)器，就拿剛剛那臺服務(wù)器來說，我是這樣設(shè)置權(quán)限的，大家可以參考一下：各個卷的根目錄、Documentsandsettings以及Programfiles，只給Administrator完全控制權(quán)，或者干脆直接把Programfiles給刪除掉;給系統(tǒng)卷的根目錄多加一個Everyone的讀、寫權(quán);給e:/www目錄，也就是網(wǎng)站目錄讀、寫權(quán)。

最后，還要把cmd.exe這個文件給挖出來，只給Administrator完全控制權(quán)。經(jīng)過這樣的設(shè)置后，再想通過我剛剛的方法入侵這臺服務(wù)器就是不可能完成的任務(wù)了?？赡苓@時候又有讀者會問：“為什么要給系統(tǒng)卷的根目錄一個Everyone的讀、寫權(quán)?網(wǎng)站中的ASP文件運行不需要運行權(quán)限嗎?”問的好，有深度。是這樣的，系統(tǒng)卷如果不給Everyone的讀、寫權(quán)的話，啟動計算機的時候，計算機會報錯，而且會提示虛擬內(nèi)存不足。當(dāng)然這也有個前提----虛擬內(nèi)存是分配在系統(tǒng)盤的，如果把虛擬內(nèi)存分配在其他卷上，那你就要給那個卷Everyone的讀、寫權(quán)。ASP文件的運行方式是在服務(wù)器上執(zhí)行，只把執(zhí)行的結(jié)果傳回最終用戶的瀏覽器，這沒錯，但ASP文件不是系統(tǒng)意義上的可執(zhí)行文件，它是由WEB服務(wù)的提供者----IIS來解釋執(zhí)行的，所以它的執(zhí)行并不需要運行的權(quán)限。

Windows權(quán)限

在Windows中，權(quán)限指的是不同賬戶對文件、文件夾、注冊表等的訪問能力。在Windows中，為不同的賬戶設(shè)置權(quán)限很重要，可以防止重要文件被其他人所使用、修改而造成信息泄露或安全問題。

? ? NTFS(New Technology File System)是Windows NT操作環(huán)境和Windows NT高級服務(wù)器網(wǎng)絡(luò)操作系統(tǒng)環(huán)境的文件系統(tǒng)。NTFS取代了文件分配表(FAT)文件系統(tǒng)，為Microsoft的Windows系列操作系統(tǒng)提供文件系統(tǒng)。NTFS對FAT和HPFS(高性能文件系統(tǒng))做了若干改進，例如，支持元數(shù)據(jù)，并且使用了高級數(shù)據(jù)結(jié)構(gòu)，便于改善性能、可靠性和磁盤空間利用率，并提供了若干附加擴展功能，如訪問控制列表(ACL)和文件系統(tǒng)日志。

? ? 在NTFS分區(qū)上，可以為共享資源、文件夾以及文件設(shè)置訪問許可權(quán)限。許可的設(shè)置包括兩方面的內(nèi)容：一是允許哪些組或用戶對文件夾、文件和共享資源進行訪問；二是獲得訪問許可的組或用戶可以進行什么級別的訪問。訪問許可權(quán)限的設(shè)置不但適用于本地計算機用戶，同樣也應(yīng)用于通過網(wǎng)絡(luò)的共享文件夾對文件進行訪問的網(wǎng)絡(luò)用戶。與FAT32文件系統(tǒng)下對文件夾或文件進行訪問相比，安全性要高得多。另外，在采用NTFS格式的Windows 2000中，應(yīng)用審核策略可以對文件夾、文件以及活動目錄對象進行審核，審核結(jié)果記錄在安全日志中，通過安全日志就可以查看哪些組或用戶對文件夾、文件或活動目錄對象進行了什么級別的操作，從而發(fā)現(xiàn)系統(tǒng)可能面臨的非法訪問，通過采取相應(yīng)的措施，將這種安全降低到最低。這些在FAT32文件系統(tǒng)下，是不能實現(xiàn)的。

? ? 這里講的Windows文件系統(tǒng)的權(quán)限，都是基于磁盤是NTFS格式的前提下。即磁盤必須是NTFS格式的情況下，才可以對其進行權(quán)限設(shè)置。右擊，查看磁盤的文件系統(tǒng)格式，如圖 1所示。

該權(quán)限允許用戶對文件夾、子文件夾、文件進行全權(quán)控制，如修改資源的權(quán)限、獲取資源的所有者、刪除資源的權(quán)限等，當(dāng)勾選完全控制權(quán)限之后，其他權(quán)限會自動勾選。

該權(quán)限允許用戶修改或刪除資源，同時讓用戶擁有寫入及讀取和運行權(quán)限。

該權(quán)限允許用戶擁有讀取和列出資源目錄的權(quán)限，另外也允許用戶在資源中進行移動和遍歷，這使得用戶能夠直接訪問子文件夾與文件，即使用戶沒有權(quán)限訪問這個路徑。

該權(quán)限允許用戶査看資源中的子文件夾與文件名稱。

該權(quán)限允許用戶查看該文件夾中的文件及子文件夾，也允許査看該文件夾的屬性、所有者和擁有的權(quán)限等。

該權(quán)限允許用戶在該文件夾中創(chuàng)建新的文件和子文件夾，也可以改變文件夾的屬性、查看文件夾的所有者和權(quán)限等。

該權(quán)限是對文件系統(tǒng)權(quán)限的進一步高級配置，這里不做講解。

"拒絕優(yōu)于允許原則"是一項非常重要且基礎(chǔ)性的原則，它可以非常完美地處理好因用戶在用戶組的歸屬方面引起的權(quán)限“糾紛”，以及更加安全地管理用戶權(quán)限。

在圖2中可以看到，毎個權(quán)限后面都有允許和拒絕勾選框，假設(shè)一個用戶Mike屬于user用戶組和admin用戶組，user用戶組對某資源性勾選了寫權(quán)限允許選項，admin用戶組勾選了寫權(quán)限拒絕選項。那么Mike用戶對這個資源是否擁有寫權(quán)限呢了根據(jù)。拒絕優(yōu)于允許原則。，Mike應(yīng)該執(zhí)行拒絕寫權(quán)限。因此，不擁有寫權(quán)限。

"保持用戶最小的權(quán)限"作為一個基本原則執(zhí)行，這一點是非常有必要的。這條原則可以確保資源得到最大限度的安全保障。這項原則可以盡量讓用戶不能訪問或沒必要訪問的資源得到有效的權(quán)限賦予限制。

權(quán)限繼承性原則可以讓資源的權(quán)限設(shè)置變得更加簡單。假設(shè)現(xiàn)在有個。新建文件夾目錄，在這個目錄中有新建文件夾A、新建文件夾B、新建文件夾C等子目錄，現(xiàn)在需要對新建文件夾目錄及其下的子目錄均設(shè)置Mike用戶有寫入權(quán)限。因為有繼承性原則，所以只需對新建文件夾目錄設(shè)置Mike用戶有寫入權(quán)限，其下的所有子目錄將自動繼承這個權(quán)限的設(shè)置。

假設(shè)現(xiàn)在Mike用戶既屬于A用戶組，也屬于B用戶組，它在A用戶組的權(quán)限是讀取，在B用戶組中的權(quán)限是寫入，那么根據(jù)累加原則，Mike用戶的實際權(quán)限將會是讀取+寫入兩種。

Administrators本地組：本地系統(tǒng)管理員權(quán)限組。擁有對這臺計算機最大的控制權(quán)限，可以執(zhí)行整臺計算機的管理任務(wù)。內(nèi)置的系統(tǒng)管理員賬號Administrator就是該組的成員，而且無法將它從該組刪除。如果這臺計算機已加入域，則域的Domain Admins會自動加入到該計算機的Administrators組內(nèi)。

Backup Operators：備份操作組。該組內(nèi)的成員，不論他們是否有權(quán)訪問這臺計算機中的文件夾或文件，都可以通過“開始 → 所有程序 → 附件 → 系統(tǒng)工具 → 備份”的途徑，備份和還原這些文件夾與文件。

Guests：訪客用戶組。該組是提供給沒有用戶的賬戶，但是需要訪問本地計算機內(nèi)資源的用戶使用，該組的成員無法永久地改變其桌面的工作環(huán)境。該組最常見的默認(rèn)成員為訪客用戶賬號Guest。

Network ConfigurationOperators：網(wǎng)絡(luò)配置操作組。該組內(nèi)的用戶可以在客戶端執(zhí)行一般的網(wǎng)絡(luò)設(shè)置任務(wù)，例如更改IP地址，但是不可以安裝/刪除驅(qū)動程序與服務(wù)，也不可以執(zhí)行與網(wǎng)絡(luò)服務(wù)器設(shè)置有關(guān)的任務(wù)，例如DNS服務(wù)器、DHCP服務(wù)器的設(shè)置。

Power Users：高權(quán)限用戶組。該組內(nèi)的用戶具備比Users組更多的權(quán)利，但比Adminstrators組擁有的去權(quán)利少一些，例如：

Remote Desktop Users：遠(yuǎn)程桌面用戶組。該組的成員可以通過遠(yuǎn)程計算機登錄，例如，利用終端服務(wù)器從遠(yuǎn)程計算機登錄。

Users:普通用戶組。該組用戶只用戶一些基本的權(quán)利，例如運行應(yīng)用程序，但是不能修改操作系統(tǒng)的設(shè)置，不能更改其他用戶的數(shù)據(jù)，不能關(guān)閉服務(wù)器級的計算機。所有添加的本地用戶賬戶則自動屬于該組。如果計算機已經(jīng)加入域，則域的Domain Users會自動被加入到計算機的Users組中。

Everyone：任何一個用戶都屬于這個組。注意，如果Guest賬戶被啟動時，則給Everyone這個組指派權(quán)限時必須小心，因為當(dāng)一個沒有賬戶的用戶連接計算機時，他被允許自動利用Guest賬戶連接，但是因為Guest也屬于Everyone組，所以他具備Everyone組所擁有的權(quán)限。

Authenticated Users：任何一個利用有效的用戶賬戶連接的用戶都屬于這個組。建議在設(shè)置權(quán)限時，盡量針對Authenticated Users組進行設(shè)置，而針對Everyone組進行設(shè)置。

Interactive：任何在本地登錄的用戶都屬于這個組。

Network：任何通過網(wǎng)絡(luò)連接此計算機的用戶都屬于這個組。

Creator Owner：文件夾、文件或打印文件等資源創(chuàng)建者，就是該資源Creator Owner（創(chuàng)建所有者）。不過，如果創(chuàng)建者是屬于Administrators組的成員，則其Creator Owner為Adminstrators組。

Anonymous Logo：任何未利用有效的Windows Server 2003賬戶連接的用戶，都屬于這個組。注意，在Windows 2003中，Everyone組內(nèi)并不包含“Anonymous Logon”組。

IIS_WPG：IIS工作進程組。IIS WorkerProcess Group、IIS_WPG的成員具有適當(dāng)?shù)腘TFS權(quán)限和必要的用戶權(quán)限，可以充當(dāng)IIS 6中工作進程標(biāo)識。IWAM_計算機名用戶通常屬于該用戶組。

IUSR_計算機名：通常稱做“Web匿名用戶”賬號或“l(fā)ntemet訪問”賬號。其中，計算機名是安裝IIS時所使用的Netbios服務(wù)器名稱。正如我們已經(jīng)了解的那樣，當(dāng)IIS服務(wù)器啟用匿名身份驗證方式，且該服務(wù)器上存在針對特定訪問請求類型具備適當(dāng)NTFS權(quán)限的IUSR賬號時，系統(tǒng)論自動對其加以應(yīng)用。該用戶通常屬于User用戶組或是Guest用戶組

IWAM_賬號：是安裝IIS時系統(tǒng)自動建立的一個內(nèi)置賬號，主要用于啟動進程之外的應(yīng)用程序的Internet信息服務(wù)。該用戶屬于IIS_WPG用戶組。

win10系統(tǒng)文件夾怎么添加權(quán)限？

設(shè)置文件夾的管理權(quán)限的辦法如下：

1、首先打開我們的電腦，然后在磁盤里找個文件夾，或是新建一個文件夾都可以，這里便于操作，就新建了一個文件夾，命名文件夾。

2、然后我們右擊文件夾，在彈出的右鍵菜單中找到屬性，一般都會在整個右鍵菜單的末尾，所以直接找最后一個選項就可以了。

3、選中屬性之后，就會彈出文件夾屬性的設(shè)置窗口，這里有常規(guī)，共享，安全，以前的版本和自定義選項，這里我們選擇第三個選項“安全”。

4、點開安全選項，這里就是設(shè)置文件夾權(quán)限的地方，我們可以看到上面一欄里是組或用戶名，這里就可以分別對其設(shè)置擁有的權(quán)限，我們選擇第一個用戶名，也就是authenticatedusers。

5、接下里就就給該用戶名加上完全控制的權(quán)限，點擊兩欄中間的編輯選項，然后就彈出編輯權(quán)限的窗口，還是選中我們要修改的用戶名，在下一欄完全控制選項后邊的允許下邊打鉤，然后點擊應(yīng)用，再點擊確定，這樣該用戶名就有了完全控制的權(quán)限。