Windows系统权限介绍

2024年4月3日发(作者：)

***

Windows系统权限

无形的栅栏 完全解析Windows系统权限〔1〕

一. 权限的由来

远方的某个山脚下，有一片被森林包围的草原，草原边上居住着一群以牧羊

为生的牧民。草原边缘的森林里，生存着各种动物，包括野狼。

由于羊群是牧民们的主要生活来源，它们的价值便显得特别珍贵，为了防止

羊的跑失和野兽的袭击，每户牧民都用栅栏把自己的羊群圈了起来，只留下一道

小门，以便每天黄昏供羊群外出到一定范围的草原上活动，实现了一定规模的保

护和管理效果。

最初，野狼只知道在森林里逮兔子等野生动物生存，没有发现远处草原边上

的羊群，因此，在一段时间里实现了彼此和平相处，直到有一天，一只为了追逐

兔子而凑巧跑到了森林边缘的狼，用它那灵敏的鼻子嗅到了远处那隐隐约约的烤

羊肉香味。

当晚，突然出现的狼群袭击了草原上大局部牧民饲养的羊，它们完全无视牧

民们修筑的仅仅能拦住羊群的矮小栅栏，轻轻一跃便打破了这道防线……虽然闻

讯而来的牧民们合作击退了狼群，但是羊群已经遭到了一定的损失。

事后，牧民们明白了栅栏不是仅仅用来防止羊群逃脱的城墙，各户牧民都在

忙着加高加固了栅栏……

如今使用Windows 2000/XP等操作系统的用户，或多或少都会听说过“权

限〞(Privilege)这个概念，但是真正理解它的家庭用户，也许并不会太多，那

么，什么是“权限〞呢?对于一般的用户而言，我们可以把它理解为系统对用户

可以执行的功能操作所设立的额外限制，用于进一步约束计算机用户能操作的系

统功能和内容访问范围，或者说，权限是指某个特定的用户具有特定的系统资源

使用权利。

掌握了“Ring级别〞概念的读者也许会问，在如今盛行的80386保护形式

中，处理器不是已经为指令执行做了一个“运行级别〞的限制了吗?而且我们也

知道，面对用户操作的Ring 3级别相对于系统内核运行的Ring 0级别来说，能

直接处理的事务已经被大幅度缩减了，为什么还要对运行在“权限少得可怜〞的

Ring 3层次上的操作系统人机交互界面上另外建立起一套用于进一步限制用户

操作的“权限〞概念呢?这是因为，前者针对的是机器能执行的指令代码权限，

而后者要针对的对象，是坐在计算机面前的用户。

对计算机来说，系统执行的代码可能会对它造成危害，因此处理器产生了

Ring的概念，把“裸露在外〞的一局部用于人机交互的操作界面限制起来，防

1

***

止它一时头脑发热发出有害指令;而对于操作界面局部而言，用户的每一步操作

仍然有可能伤害到它自己和底层系统——尽管它自身已经被制止执行许多有害

代码，但是一些不能制止的功能却仍然在对这层平安体系作出威胁，例如格式化

操作、删除修改文件等，这些操作在计算机看来，只是“不严重〞的磁盘文件处

理功能，然而它忽略了一点，操作系统自身就是驻留在磁盘介质上的文件!因此，

为了保护自己，操作系统需要在Ring 3笼子限制的操作界面根底上，再产生一

个专门用来限制用户的栅栏，这就是如今我们要讨论的权限，它是为限制用户而

存在的，而且限制对每个用户并不是一样的，在这个思想的引导下，有些用户能

操作的范围相对大些，有些只能操作属于自己的文件，有些甚至什么也不能

做……(图.权限)

正因为如此，计算机用户才有了分类:管理员、普通用户、受限用户、来宾

等……

还记得古老的Windows 9x和MS-DOS吗?它们仅仅拥有根本的Ring权限保护

(实形式的DOS甚至连Ring分级都没有)，在这个系统架构里，所有用户的权利

都是一样的，任何人都是管理员，系统没有为环境平安提供一点保障——它连实

际有用的登录界面都没有提供，仅仅有个随意按ESC都能正常进入系统并进展任

何操作的“伪登录〞限制而已。对这样的系统而言，不熟悉电脑的用户经常一不

小心就把系统毁掉了，而且病毒木马自然也不会放过如此“松软〞的一块蛋糕，

在如今这个提倡信息平安的时代里，Windows 9x成了名副其实的鸡肋系统，最

终淡出人们的视线，取而代之的是由Windows NT家族开展而来的Windows 2000

和Windows XP，此外还有近年来致力向桌面用户开展的Linux系统等，它们才

是可以满足这个平安危机时代里个人隐私和数据平安等要求的系统。

Win2000/XP系统是微软Windows NT技术的产物，是基于效劳器平安环境思

想来构建的纯32位系统。NT技术没有辜负微软的开发，它稳定，平安，提供了

比拟完善的多用户环境，最重要的是，它实现了系统权限的指派，从而杜绝了由

Win9x时代带来的不平安操作习惯可能引发的大局部严重后果。

二. 权限的指派

1.普通权限

虽然Win2000/XP等系统提供了“权限〞的功能，但是这样就又带来一个新

问题:权限如何分配才是合理的?假如所有人拥有的权限都一样，那么就等于所有

人都没有权限的限制，那和使用Win9x有什么区别?幸好，系统默认就为我们设

置好了“权限组〞(Group)，只需把用户加进相应的组即可拥有由这个组赋予的

操作权限，这种做法就称为权限的指派。

默认情况下，系统为用户分了6个组，并给每个组赋予不同的操作权限，依

次为:管理员组(Administrators)、高权限用户组(Power Users)、普通用户组

(Users)、备份操作组(Backup Operators)、文件复制组(Replicator)、来宾用

户组(Guests)，其中备份操作组和文件复制组为维护系统而设置，平时不会被使

2