什么是system权限？为什么说它是
最高的权限？ 请大家认真看完本
贴。（重新编辑下，删除NTFS权限
内容，更改部分文字颜色这样不会
感觉眼睛疲劳，删除增加某些内
容。）底下提供完整版的文章下载
有doc 和txt 两种格式的
　　一。 权限的由来
　　远方的某个山脚下，有一片被
森林包围的草原，草原边上居住着
一群以牧羊为生的牧民。草原边缘
的森林里，生存着各种动物，包括
野狼。
　　由于羊群是牧民们的主要生活
来源，它们的价值便显得特别珍
贵，为了防止羊的跑失和野兽的袭
击，每户牧民都用栅栏把自己的羊
群圈了起来，只留下一道小门，以
便每天傍晚供羊群外出到一定范围
的草原上活动，实现了一定规模的
保护和管理效果。
　　最初，野狼只知道在森林里逮
兔子等野生动物生存，没有发现远
处草原边上的羊群，因此，在一段
时间里实现了彼此和平相处，直到
有一天，一只为了追逐兔子而凑巧
跑到了森林边缘的狼，用它那灵敏
的鼻子嗅到了远处那隐隐约约的烤
羊肉香味。
　　当晚，突然出现的狼群袭击了
草原上大部分牧民饲养的羊，它们
完全无视牧民们修筑的仅仅能拦住
羊群的矮小栅栏，轻轻一跃便突破
了这道防线……虽然闻讯而来的牧民
们合作击退了狼群，但是羊群已经
遭到了一定的损失。
　　事后，牧民们明白了栅栏不是
仅仅用来防止羊群逃脱的城墙，各
户牧民都在忙着加高加固了栅栏……
　　如今使用WINDOWS XP
VISTA WIN7 的人都听说过“权
限”（Privilege）这个概念，但是真
正理解它的家庭用户，也许并不会
太多，那么，什么是“权限”呢？对
于一般的用户而言，我们可以把它
理解为系统对用户能够执行的功能
操作所设立的额外限制，用于进一
步约束计算机用户能操作的系统功
能和内容访问范围，或者说，权限
是指某个特定的用户具有特定的系
统资源使用权力。
　　对计算机来说，系统执行的代
码可能会对它造成危害，因此处理
器产生了Ring（圈内，环内）的概
念，把“裸露在外”的一部分用于人
机交互的操作界面限制起来，避免
它一时头脑发热发出有害指令；而
对于操作界面部分而言，用户的每
一步操作仍然有可能伤害到它自己
和底层系统——尽管它自身已经被
禁止执行许多有害代码，但是一些
不能禁止的功能却依然在对这层安
全体系作出威胁，因此，为了保护
自己，操作系统需要在Ring 的笼子
里限制操作界面基础上，再产生一
个专门用来限制用户的栅栏，这就
是现在我们要讨论的权限，它是为
限制用户而存在的，而且限制对每
个用户并不是一样的，在这个思想
的引导下，有些用户能操作的范围
相对大些，有些只能操作属于自己
的文件，有些甚至什么也不能做……
　　正因为如此，计算机用户才有
了分类：管理员、普通用户、受限
用户、来宾等……
　　二。 权限的指派
　　1.普通权限
　　虽然Win2\X\V\win7等系统提
供了“权限”的功能，但是这样就又
带来一个新问题：权限如何分配才
是合理的？如果所有人拥有的权限
都一样，那么就等于所有人都没有
权限的限制，那和使用Win9x有什
么区别？幸好，系统默认就为我们
设置好了“权限组”（Group），只
需把用户加进相应的组即可拥有由
这个组赋予的操作权限，这种做法
就称为权限的指派。
　　默认情况下，系统为用户分了7
个组，并给每个组赋予不同的操作
权限，管理员组
（Administrators）、高权限用户
组（Power Users）、普通用户组
（Users）、备份操作组（Backup
Operators）、文件复制组（Replicator）、
来宾用户组（Guests），身份验证
用户组（Ahthenticated users）其
中备份操作组和文件复制组为维护
系统而设置，平时不会被使用。
　　系统默认的分组是依照一定的
管理凭据指派权限的，而不是胡乱
产生，管理员组拥有大部分的计算
机操作权限（并不是全部），能够
随意修改删除所有文件和修改系统
设置只有程序信任组（特殊权
限）。再往下就是高权限用户组，
这一部分用户也能做大部分事情，
但是不能修改系统设置，不能运行
一些涉及系统管理的程序。普通用
户组则被系统拴在了自己的地盘
里，不能处理其他用户的文件和运
行涉及管理的程序等。来宾用户组
的文件操作权限和普通用户组一
样，但是无法执行更多的程序。身
份验证用户组（Ahthenticated
users） 经过ms验证程序登录的用
户均属于此组。
　　2.特殊权限
　　除了上面提到的7个默认权限分
组，系统还存在一些特殊权限成
员，这些成员是为了特殊用途而设
置，分别是：SYSTEM（系统）、
Trustedinstaller（信任程序模
块）、Everyone（所有人）、
CREATOR OWNER（创建者）
等，这些特殊成员不被任何内置用
户组吸纳，属于完全独立出来的账
户。
　　前面我提到管理员分组的权限
时并没有用“全部”来形容，秘密就
在此，不要相信系统描述的“有不受
限制的完全访问权”，它不会傻到把
自己完全交给人类，管理员分组同
样受到一定的限制，只是没那么明
显罢了，真正拥有“完全访问权”的
只有一个成员：SYSTEM。这个成
员是系统产生的，真正拥有整台计
算机管理权限的账户，一般的操作
是无法获取与它等价的权限的。
　　“所有人”权限与普通用户组权
限差不多，它的存在是为了让用户
能访问被标记为“公有”的文件，这
也是一些程序正常运行需要的访问
权限——任何人都能正常访问被赋
予“Everyone”权限的文件，包括来
宾组成员。
　　被标记为“创建者”权限的文件
只有建立文件的那个用户才能访
问，做到了一定程度的隐私保护。
　　但是，所有的文件访问权限均
可以被管理员组用户和SYSTEM成
员忽略，除非用户使用了NTFS加
密。
　　无论是普通权限还是特殊权
限，它们都可以“叠加”使用，“叠
加”就是指多个权限共同使用，例如
一个账户原本属于Users组，而后我
们把他加入Administrators组在加
入Trustedinstaller等权限提升，那
么现在这个账户便同时拥有两个或
多个权限身份，而不是用管理员权
限去覆盖原来身份。权限叠加并不
是没有意义的，在一些需要特定身
份访问的场合，用户只有为自己设
置了指定的身份才能访问，这个时
候“叠加”的使用就能减轻一部分劳
动量了。
　　距离上一次狼群的袭击已经过
了很久，羊们渐渐都忘记了恐惧，
一天晚上，一只羊看准了某处因为
下雨被泡得有点松软低陷的栅栏，
跳了出去。可惜这只羊刚跳出去不
久就遭遇了饿狼，不仅尸骨无存，
还给狼群带来了一个信息：栅栏存
在弱点，可以突破！
　　几天后的一个深夜，狼群专找
地面泥泞处的栅栏下手，把栅栏挖
松了钻进去，再次洗劫了羊群。从
来以后牧民们开始轮流拿着枪，带
着牧羊犬巡视着羊圈（大家想到什
么！没错正是UAC保护 呵呵）
　　以后狼群的进攻被牧民们击退
了，而且在不断吸取教训，牧民们
在加固栅栏时都会把栅栏的根部打
在坚硬的泥地上，并且嵌得很深。
饿狼们，还会再来吗？
　　权限是计算机安全技术的一个
进步，但是它也是由人创造出来的，不可避免会存
在不足和遗漏，我们在享受权限带
来的便利时，也不能忽视了它可能
引起的安全隐患或者设置失误导致
的众多问题。要如何才算合理使用
权限，大概，这只能是个仁者见
仁，智者见智的问题了。