【正文】 　　(2)臨時(shí)分配程序文件　　為什么要臨時(shí)分配程序文件的管理權(quán)限呢？這是因?yàn)樵赪indows XP中，有許多很重要的程序都是要求用戶具有一定的管理權(quán)限才能使用的，因此在使用權(quán)限不足以使用某些程序的賬戶時(shí)，為了能夠使用程序，我們就需要為自己臨時(shí)分配一個(gè)訪問程序的管理權(quán)限了?！　?　　什么是日志？我們可以將日志理解為系統(tǒng)日記，這本“日記”可以按系統(tǒng)管理員預(yù)先的設(shè)定，自動(dòng)將系統(tǒng)中發(fā)生的所有事件都一一記錄在案，供管理員查詢。這樣一來，對用戶權(quán)限的管理就更加容易精確控制了。設(shè)置權(quán)限和用戶權(quán)力時(shí)，可考慮用此項(xiàng)代替Everyone組；　?、跙ATCH：這個(gè)組包含任何訪問這臺計(jì)算機(jī)的批處理程序(Batch Process)；　?、蹹IALUP：任何通過撥號網(wǎng)絡(luò)登錄的用戶；　?、軪veryone：指所有經(jīng)驗(yàn)證登錄的用戶及來賓(Guest)； 　　⑥Network：任何通過網(wǎng)絡(luò)登錄的用戶；　?、逫nteractive：指任何直接登錄本機(jī)的用戶；　?、郥erminal server user：指任何通過終端服務(wù)登錄的用戶。如圖7所示。　　如果想為其他用戶賦予管理審核安全日志的權(quán)限，那么可以在“運(yùn)行”欄中輸入“”命令打開組策略編輯器窗口后，依次進(jìn)入“計(jì)算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”→“本地策略”→“用戶權(quán)利指派”，雙擊右側(cè)的“管理審核和安全日志”項(xiàng)，在彈出的對話框中添加所需的用戶即可。如圖6所示。顯然，之所以在系統(tǒng)中可以設(shè)置各種權(quán)限，是因?yàn)橛羞@個(gè)默認(rèn)安全策略在背后默默支持的緣故?！　∪绻雽⑺姓吒挠脩?，那么只需在“將所有者更改為”列表中選擇目標(biāo)用戶名后，點(diǎn)擊“確定”按鈕即可。　　(2)移動(dòng)資源時(shí)　　在移動(dòng)資源時(shí)，一般會遇到兩種情況，一是如果資源的移動(dòng)發(fā)生在同一驅(qū)動(dòng)器內(nèi)，那么對象保留本身原有的權(quán)限不變(包括資源本身權(quán)限及原先從父級資源中繼承的權(quán)限)；二是如果資源的移動(dòng)發(fā)生在不同的驅(qū)動(dòng)器之間，那么不僅對象本身的權(quán)限會丟失，而且原先從父級資源中繼承的權(quán)限也會被從目標(biāo)位置的父級資源繼承的權(quán)限所替代?！　≌f完了權(quán)限的含義，我們就可以點(diǎn)擊“添加”按鈕，將需要設(shè)置權(quán)限的用戶或用戶組添加進(jìn)來了。如該文件夾存在于NTFS分區(qū)中，那么它將同時(shí)具有NTFS權(quán)限與共享權(quán)限，如果這個(gè)資源同時(shí)擁有NTFS和共享兩種權(quán)限，那么系統(tǒng)中對權(quán)限的具體實(shí)施將以兩種權(quán)限中的“較嚴(yán)格的權(quán)限”為準(zhǔn)──這也是“拒絕優(yōu)于允許”原則的一種體現(xiàn)！　　例如，某個(gè)共享資源的NTFS權(quán)限設(shè)置為完全控制，而共享權(quán)限設(shè)置為讀取，那么遠(yuǎn)程用戶就只能使用“讀取”權(quán)限對共享資源進(jìn)行訪問了。注意：只有當(dāng)在“組策略”中(“計(jì)算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”→“本地策略”→“用戶權(quán)利指派”)將“跳過遍歷檢查”項(xiàng)授予了特定的用戶或用戶組，該項(xiàng)權(quán)限才能起作用?！　∧敲慈绾卧O(shè)置特殊權(quán)限呢？假設(shè)現(xiàn)在需要對一個(gè)名為“zhiguo”的目錄賦予“zhong”用戶對其具有“讀取”、“建立文件和目錄”的權(quán)限，基于安全考慮，又決定取消該賬戶的“刪除”權(quán)限。針對資源進(jìn)行NTFS權(quán)限設(shè)置就是通過這個(gè)選項(xiàng)卡來實(shí)現(xiàn)的，此時(shí)應(yīng)首先在“組或用戶名稱”列表中選擇需要賦予權(quán)限的用戶名組(這里選擇“zhong”用戶)，接著在下方的“zhong 的權(quán)限”列表中設(shè)置該用戶可以擁有的權(quán)限即可。此權(quán)限對于使用FAT16/FAT32文件系統(tǒng)的文件與文件夾無效！ 　　NTFS權(quán)限有兩大要素：一是標(biāo)準(zhǔn)訪問權(quán)限；二是特別訪問權(quán)限。假設(shè)現(xiàn)在有個(gè)“DOC”目錄，在這個(gè)目錄中有“DOC01”、“DOC02”、“DOC03”等子目錄，現(xiàn)在需要對DOC目錄及其下的子目錄均設(shè)置“shyzhong”用戶有“寫入”權(quán)限。基于“拒絕優(yōu)于允許”的原則，“shyzhong”在“shyzhongs”組中被 “拒絕寫入”的權(quán)限將優(yōu)先于“xhxs”組中被賦予的允許“寫入”權(quán)限被執(zhí)行。 　　在訪問控制列表中，每一個(gè)用戶或用戶組都對應(yīng)一組訪問控制項(xiàng)(Access Control Entry, ACE)，這一點(diǎn)只需在“組或用戶名稱”列表中選擇不同的用戶或組時(shí)，通過下方的權(quán)限列表設(shè)置項(xiàng)是不同的這一點(diǎn)就可以看出來?！　《?、安全標(biāo)識符、訪問控制列表、安全主體 　　說到Windows XP的權(quán)限，就不能不說說“安全標(biāo)識符”(Security Identifier, SID)、“訪問控制列表”(Access Control List，ACL)和安全主體(Security Principal)這三個(gè)與其息息相關(guān)的設(shè)計(jì)了。也就是說，設(shè)置權(quán)限只能是以資源為對象，即“設(shè)置某個(gè)文件夾有哪些用戶可以擁有相應(yīng)的權(quán)限”，而不能是以用戶為主，即“設(shè)置某個(gè)用戶可以對哪些資源擁有權(quán)限”?！　≈档靡惶岬氖牵幸恍￤indows用戶往往會將“權(quán)力”與“權(quán)限”兩個(gè)非常相似的概念搞混淆，這里做一下簡單解釋：“權(quán)力”(Right)主要是針對用戶而言的。這種設(shè)計(jì)使得賬戶的權(quán)限得到了最基礎(chǔ)的保護(hù)，盜用權(quán)限的情況也就徹底杜絕了。根據(jù)系統(tǒng)架構(gòu)的不同，賬戶的管理方式也有所不同──本地賬戶被本地的SAM管理；域的賬戶則會被活動(dòng)目錄進(jìn)行管理……　　一般來說，權(quán)限的指派過程實(shí)際上就是為某個(gè)資源指定安全主體(即用戶、用戶組等)可以擁有怎樣的操作過程。這條原則可以確保資源得到最大的安全保障?！　★@然，“拒絕優(yōu)于允許”原則是用于解決權(quán)限設(shè)置上的沖突問題的；“權(quán)限最小化”原則是用于保障資源安全的；“權(quán)限繼承性”原則是用于“自動(dòng)化”執(zhí)行權(quán)限設(shè)置的；而“累加原則”則是讓權(quán)限的設(shè)置更加靈活多變。圖 1在大多數(shù)的情況下，“標(biāo)準(zhǔn)權(quán)限”是可以滿足管理需要的，但對于權(quán)限管理要求嚴(yán)格的環(huán)境，它往往就不能令管理員們滿意了，如只想賦予某用戶有建立文件夾的權(quán)限，卻沒有建立文件的權(quán)限；如只能刪除當(dāng)前目錄中的文件，卻不能刪除當(dāng)前目錄中的子目錄的權(quán)限等……這個(gè)時(shí)候，就可以讓擁有所有權(quán)限選項(xiàng)的“特別權(quán)限”來大顯身手了。　　如果在“組或用戶名稱”列表中沒有所需的用戶或組，那么就需要進(jìn)行相應(yīng)的添加操作了，方法如下：點(diǎn)擊“添加”按鈕后，在出