windows系统权限问题

最近在工作中，经常会因为各种系统的访问问题，而遇到很多的权限问题。所以系统的了解下windows 系统的权限问题，也是挺好的，方便解决一些配置问题。

DOS跟WinNT的权限的分别

DOS是个单任务、单用户的操作系统。但是我们能说DOS没有权限吗不能!当我们打开一台装有DOS操作系统的计算机的时候，我们就拥有了这个操作系统的管理员权限，而且，这个权限无处不在。所以，我们只能说DOS不支持权限的设置，不能说它没有权限。随着人们安全意识的提高，权限设置随着NTFS的发布诞生了。

WindowsNT里，用户被分成许多组，组和组之间都有不同的权限，当然，一个组的用户和用户之间也可以有不同的权限。下面我们来谈谈NT中常见的用户组。

Administrators,管理员组，默认情况下，Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以，只有受信任的人员才可成为该组的成员。

PowerUsers,高级用户组，Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。分配给 PowerUsers 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。但Power Users 不具有将自己添加到 Administrators组的权限。在权限设置中，这个组的权限是仅次于Administrators的。

Users:普通用户组，这个组的用户无法进行有意或无意的改动。因此，用户可以运行经过验证的应用程序，但不可以运行大多数旧版应用程序。Users组是最安全的组，因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。Users 组提供了一个最安全的程序运行环境。在经过 NTFS格式化的卷上，默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。Users可以关闭工作站，但不能关闭服务器。Users 可以创建本地组，但只能修改自己创建的本地组。

Guests:来宾组，按默认值，来宾跟普通Users的成员有同等访问权，但来宾帐户的限制更多。

Everyone:顾名思义，所有的用户，这个计算机上的所有用户都属于这个组。

其实还有一个组也很常见，它拥有和Administrators一样、甚至比其还高的权限，但是这个组不允许任何用户的加入，在察看用户组的时候，它也不会被显示出来，它就是SYSTEM组。系统和系统级的服务正常运行所需要的权限都是靠它赋予的。由于该组只有这一个用户SYSTEM,也许把该组归为用户的行列更为贴切。

最后，经常用的是Run as administrator需要继续深入了解啊前面的一些分组，之后也该去深入了解更具体。先说个大概了

本文介绍如何在 Windows Server 2003 环境中解决服务启动权限的问题。

注意：以下过程由运行 Windows Server 2003 Enterprise Edition 的系统上的 Administrators 组的成员验证。

如果某个服务因登录失败而未启动，系统事件日志中将生成并显示一条类似以下内容的错误信息：

来源:服务控制管理程序

事件 ID:7000

描述:

由于下列错误，%service% 服务启动失败：

由于登录失败而无法启动服务。

将没有可用数据。

来源:服务控制管理程序

事件 ID:7013

描述:

以当前密码登录的尝试因下列错误而宣告失败：

登录失败：用户名未知或密码错误。

将没有可用数据。

如果存在下列一种或多种情况，就可能会出现此问题：

更改了为该服务配置的登录帐户的密码。

注册表中的密码数据已损坏。

撤消了指定用户帐户作为服务登录的权限。

若要解决这些问题，应将服务配置为使用内置系统帐户，更改指定用户帐户的密码，使其与该用户的当前密码匹配，或恢复该用户作为服务登录的权限。本文的以下章节将分别介绍这些方法。

返回页首

配置用户权限

如果撤销了指定用户帐户作为服务登录的权限，请根据您的环境在域控制器或独立的成员服务器上恢复该权限。

域控制器

如果该用户在 Active Directory 域中，请按照下列步骤操作：

单击开始，指向管理工具，然后单击“Active Directory 用户和计算机”。

在控制台树中，右键单击在其中授予作为服务登录的用户权限的组织单位。默认情况下，该组织单位是“域控制器”组织单位。

右键单击所需的容器，然后单击属性。

在组策略选项卡上，单击“默认域控制器策略”，然后单击编辑。

组策略管理器将启动。

展开计算机配置，展开 Windows 设置，然后展开安全设置。

展开本地策略，然后单击用户权限分配。

在右窗格中，右键单击“作为服务登录”，然后单击“添加用户或组”。

在“用户和组名”框中，键入要添加到该策略的名称，然后单击确定。

退出“组策略管理器”，关闭“组策略”属性，然后退出“Active Directory 用户和计算机”Microsoft 管理控制台 (MMC) 管理单元。

返回页首

成员服务器

如果该用户是独立的成员服务器的成员，请按照下列步骤操作：

启动“本地安全设置”MMC 管理单元。

展开本地策略，然后单击用户权限分配。

在右窗格中，右键单击“作为服务登录”，然后单击“添加用户或组”。

在“用户和组名”框中，键入要添加到该策略的名称，然后单击确定。

退出“本地安全设置”MMC 管理单元。

返回页首

配置服务登录信息

配置指定用户帐户的密码，使其与该用户的当前密码匹配。为此，请按照下列步骤操作：

单击开始，指向管理工具，然后单击服务。

右键单击所需的服务，然后单击属性。

单击登录选项卡，更改密码，然后单击应用。

单击常规选项卡，然后单击启动以重新启动该服务。

单击确定，然后关闭服务工具。

返回页首

配置服务以使用内置系统帐户启动

如果使用指定的用户帐户该服务仍不工作，可将该服务配置为使用内置系统帐户启动。为此，请按照下列步骤操作：

单击开始，指向管理工具，然后单击服务。

右键单击所需的服务，然后单击属性。

单击登录选项卡，单击本地系统帐户，然后单击应用。注意：通常不必将服务配置为与桌面交互，因此不必选中“允许服务与桌面交互”复选框。

单击常规选项卡，然后单击启动以重新启动该服务。

关闭“服务”工具。当您试图通过“控制面板”中的“服务”工具打开服务属性时，计算机可能会停止响应，然后可能会出现以下错误信息：

The RPC Server is unavailable

如果远程过程调用 (RPC) 服务因为该服务或依存服务登录失败而未启动，则可能会出现此问题。某些服务有依存服务，这些服务仅在它们 的依存服务先启动的情况下才启动（如 Workstation 服务）。

一、首先启用guest来宾帐户；

二、控制面板→管理工具→本地安全策略→本地策略→用户权利指派里，“从网络访问此计算机”中加入guest帐户，而“拒绝从网络访问这台计算机”中删除guest帐户；

三、我的电脑→工具→文件夹选项→查看→去掉“使用简单文件共享（推荐）”前的勾；

四、设置共享文件夹；

五、控制面板→管理工具→本地安全策略→本地策略→安全选项里，把“网络访问：本地帐户的共享和安全模式”设为“仅来宾-本地用户以来宾的身份验证”（可选，此项设置可去除访问时要求输入密码的对话框，也可视情况设为“经典-本地用户以自己的身份验证”）；

六、右击“我的电脑”→“属性”→“计算机名”，该选项卡中有没有出现你的局域网工作组名称，如“work”等。然后单击“网络 ID”按钮，开始“网络标识向导”：单击“下一步”，选择“本机是商业网络的一部分，用它连接到其他工作着的计算机”；单击“下一步”，选择“公司使用没有域的网络”；单击“下一步”按钮，然后输入你的局域网的工作组名，如“work”，再次单击“下一步”按钮，最后单击“完成”按钮完成设置。

一般经过以上步骤，基本可以解决。如果不行，再往下看：

七、检查本地连接是否被禁用，右击“本地连接”→“启用”；

八、关闭网络防火墙；

九、检查是否启用了域，是否加入了该域并检查域设置；

十、检查是否关闭了server服务；

十一、检查本地连接IP、子网掩码、网关及DNS设置是否有误；

十二、“本地连接”→属性→常规，检查是否安装了“Microsoft网络文件和打印机共享”、“Microsoft网络客户端”以及TCP/IP协议；

十三、某些局域网游戏和软件须安装NetBEUI协议。而且网上有文章说，在小型局域网中，微软在WinXP中只支持的TCP/IP协议和NWLink IPX/SPX/NetBIOS兼容协议表现不尽如人意，在小型局域网(拥有200台左右电脑的网络)中NetBEUI是占用内存最少、速度最快的一种协议。安装方法：

①放入Windows XP安装光盘，到“valueaddMsft et etbeui”目录下将Netnbfinf复制C:\Windows\INF中；

②将Nbfsys复制到C:\Windows\System32\Drivers中；

③开始→控制面板→网上邻居”→“网络连接”→“本地连接”(就是你目前使用中的局域网连接)上按右键→“属性”→“常规”→“安装”→“通讯协议”→→“添加”，此时就可以看到“NetBEUI Protocol”这一项(此项原来是没有的)，选取NetBEUI之后，按确定就OK了。

十四、作为网络浏览服务器的电脑由于病毒、配置低运行慢以及死机等原因导致网络上的计算机列表得不到更新，使得某些机器有时候在网上邻居中找不到。

解决办法：最简单的办法是重启各种网络设备和电脑，或者关闭个别有上述问题的电脑上的网络浏览服务器功能,方法如下： win2000/XP下禁用Computer Browser服务

指令是需要权限节点每个插件下载页都会有权限节点说明来支持的，即如果某个玩家没有这个权限节点就输入指令是无效的不过默认的OP是拥有所有权限节点的，除非你设置了副管理组权限组，因此绝大多数插件需要一个权限插件来作为前置插件或者其中的部分在无权限插件环境下运行也是可以的，不过就无法设置什么等级制度了，玩家只有默认的玩家组权限，OP拥有全部权限。

要使用权限节点的话你需要安装一个权限插件，在MCBBS上下载的Essential基本插件组中的EssentialGroupManager就是一个基础权限插件

安装完成权限插件后需要启动一次服务器，让权限插件自行创建配置记录文件。

安装完成后有两种方式可以配置权限节点，一个一个来。

第一种方式：关闭服务器后进行权限节点设置

启动完成后就可以输入服务端指令/stop关闭服务器了。

然后在插件文件夹plugins下多了一个新的文件夹：GroupManager

打开来，你将看到出现了两个文件夹“backup”“worlds”以及两个新的yml文件“configyml”“globalgroupsyml”

backup顾名思义：备份，即在服务器运行时使用指令修改权限节点前保存的权限节点文件，可以在发现错误时关闭服务器手动还原权限节点。

worlds原意为世界，在这里意为所有世界的玩家权限设置，在worlds文件夹下拥有多个世界名字的文件夹，一般为三个，如果有多世界插件，则有服务器所有世界数目相同的文件夹。

configyml是插件自身的设定，例如OP是否拥有全部插件的管理权限。

globalgroupsyml则是设定权限组与权限组获得的权限节点。

接下来只要按照格式在玩家相应的权限组里添加权限节点即可，保存，启动服务器。

第二种方式：在服务器运行时指令修改权限节点。

在后台输入/mangaddp 权限组的名字 权限节点

然后就可以了。

附录1 CoreProtect查询插件权限节点表

CoreProtect权限

coreprotect 允许执行全部CoreProtect命令

coreprotectinspect 允许执行 /co i 命令

coreprotectlookup 允许执行 /co l 命令

coreprotectrollback 允许执行 /co rollback 命令

coreprotectrestore 允许执行 /co restore 命令

coreprotectpurge 允许执行 /co purge 命令

coreprotectreload 允许执行 /co reload 命令

coreprotecthelp 允许执行 /co help 命令

子权限

coreprotectlookupchat 去掉这个权限玩家就不能查聊天记录了

coreprotectlookupcommand 去掉这个权限玩家就不能命令记录了

coreprotectlookupsession 去掉这个权限玩家就不能查会话记录了

coreprotectlookupblock 去掉这个权限玩家就不能查方块记录了

coreprotectlookupclick 去掉这个权限玩家就不能查交互记录了

coreprotectlookupcontainer 去掉这个权限玩家就不能查容器记录了

coreprotectlookupkill 去掉这个权限玩家就不能查击杀记录了

附录2 EssentialGroupManager插件指令与指令应对权限节点表

用户管理

/manuadd: 移动用户到希望的用户组。（如果不存在的话会添加用户组到文件）

/<命令> <玩家> <用户组>

groupmanagermanuadd

01 groupmanagermanuadd

/<命令> <玩家>

groupmanagermanudel

01 groupmanagermanudel

/<命令> <玩家> <用户组>

groupmanagermanuaddsub

01 groupmanagermanuaddsub

/<命令> <玩家> <用户组>

groupmanagermanudelsub

01 groupmanagermanudelsub

移动。

/<命令> <玩家> <用户组>

groupmanagermanpromote

01 groupmanagermanpromote

移动。

/<命令> <玩家> <用户组>

groupmanagermandemote

01 groupmanagermandemote

/<命令> <玩家>

groupmanagermanwhois

01 groupmanagermanwhois

/manuaddp: 将权限直接添加到玩家。

/<命令> <玩家> <权限>

groupmanagermanuaddp

01 groupmanagermanuaddp

/<命令> <玩家> <权限>

groupmanagermanudelp

01 groupmanagermanudelp

/<命令> <玩家>

groupmanagermanulistp

01 groupmanagermanulistp

/<命令> <玩家> <权限>

groupmanagermanucheckp

01 groupmanagermanucheckp

/manuaddv: 增加或替换一个用户的变量（例如prefix或suffix）。

/<命令> <用户> <变量> <取值>

groupmanagermanuaddv

01 groupmanagermanuaddv

/<命令> <用户> <变量>

groupmanagermanudelv

01 groupmanagermanudelv

/manulistv: 列出一个用户拥有的变量（例如prefix或suffix）。

/<命令> <用户>

groupmanagermanulistv

01 groupmanagermanulistv

/manucheckv: 查看玩家的一个变量取值和其来源。

/<命令> <用户> <变量>

groupmanagermanucheckv

01 groupmanagermanucheckv

用户组

用户组管理

注意在这里使用g:前缀 的格式修改全体用户组是有效的。

/mangadd: 将一个用户组加入到系统。

/<命令> <用户组>

/<命令> <g:全体用户组>

groupmanagermangadd

01 groupmanagermangadd

/<命令> <用户组>

/<命令> <g:全体用户组>

groupmanagermangdel

01 groupmanagermangdel

/mangaddi: 将一个用户组2加入另一个用户组1继承列表。

/<命令> <用户组1> <用户组2>

groupmanagermangaddi

01 groupmanagermangaddi

/mangdeli: 从一个用户组1继承列表移除另一个用户组2。

/<命令> <用户组1> <用户组2>

groupmanagermangdeli

01 groupmanagermangdeli

/listgroups: 列出可用的用户组。

/<命令>

groupmanagerlistgroups

01 groupmanagerlistgroups

权限

注意在这里使用g:前缀 的格式修改全体用户组是有效的。

/mangaddp: 将权限加入一个用户组。

/<命令> <用户组> <权限>

/<命令> <g:全体用户组> <权限>

groupmanagermangaddp

01 groupmanagermangaddp

/mangdelp: 从一个用户组移除权限。

/<命令> <用户组> <权限>

/<命令> <g:全体用户组> <权限>

groupmanagermangdelp

01 groupmanagermangdelp

/manglistp: 列出一个用户组所有的权限。

/<命令> <用户组>

/<命令> <g:全体用户组>

groupmanagermanglistp

01 groupmanagermanglistp

/mangcheckp: 检查用户组是否拥有一个权限和其来源。

/<命令> <用户组> <权限>

/<命令> <g:全体用户组> <权限>

groupmanagermangcheckp

01 groupmanagermangcheckp

/mangaddv: 增加或更改一个用户组的变量（例如prefix或suffix）。

/<命令> <用户组> <变量> <取值>

groupmanagermangaddv

01 groupmanagermangaddv

/<命令> <用户组> <变量>

groupmanagermangdelv

01 groupmanagermangdelv

/<命令> <用户组>

groupmanagermanglistv

01 groupmanagermanglistv

/<命令> <用户组> <变量>

groupmanagermangckeckv

01 groupmanagermangckeckv

实用命令

/mansave: 在文件上保存所有权限的更改。

/<命令>

groupmanagermansave

01 groupmanagermansave

/<命令> [世界]

groupmanagermanload

01 groupmanagermanload

/<命令>

groupmanagermantogglevalidate

01 groupmanagermantogglevalidate

/<命令>

groupmanagermantogglesave

01 groupmanagermantogglesave

/<命令>

groupmanagermanworld

01 groupmanagermanworld

/<命令> <世界>

groupmanagermanselect

01 groupmanagermanselect

/manclear: 清除世界的选定，下一个命令会在你的世界工作。

/<命令>

groupmanagermanclear

01 groupmanagermanclear

/mancheckw: 获得一个世界的每一个文件（users／groups）存储的路径。

/<命令> <世界>

groupmanagermancheckw

01 groupmanagermancheckw

02

无命令权限

groupmanagerop 使用Group Manager命令时不理会所有的继承和权限。（op权限）

01 groupmanagerop

groupmanagernotifyself 在你的等级改变时通知你自己。

01 groupmanagernotifyself

groupmanagernotifyother 在别人等级改变时通知你。

01 groupmanagernotifyother

groupmanagernoofflineperms 服务器在离线模式时拒绝所有的权限。

01 groupmanagernoofflineperms