win2000用户组默认安全设置

Windows 2000 的默认安全设置可以概括为对 4 个默认组（Administrators 组、Power Users 组、Users 组和 Backup Operators 组）和 3 个特殊组的权限许可。

管理员 (Administrators)

管理员组的成员可以执行操作系统支持的所有功能。默认的安全设置不能限制对任何注册表或文件系统对象的“管理”访问。管理员可以给予在默认情况下没有给予他们的任何权限。

管理访问最好用于：

安装操作系统和组件（例如硬件驱动程序、系统服务等等）。

安装 Service Packs 和 Windows Packs。

升级操作系统。

修复操作系统。

配置关键操作系统参数（例如密码策略、访问控制、审核策略、内核模式驱动程序配置等等）。

获取已经不能访问的文件的所有权。

管理安全措施和审核日志。

备份和还原系统。

在实际应用中，通常必须使用 administrator 帐户来安装和运行为 Windows 以前版本编写的应用程序。

用户 (Users)

Users 组提供了一个最安全的程序运行环境。在全新安装（非升级安装）的系统的 NTFS 格式的卷上，默认的安全设置被设计为禁止该组的成员危及操作系统的完整性及安装程序。用户不能修改系统注册表设置，操作系统文件或程序文件。用户可以关闭工作站，但不能关闭服务器。Users 可以创建本地组，但只能修改自己创建的本地组。他们可以运行由管理员安装和配置的 Windows 2000 认可的程序，并对他们自己的所有数据文件 (%userprofile%) 和自己的那一部分注册表 (HKEY_CURRENT_USER) 有完全的控制权。

用户无法安装其他用户运行的程序（这样可防止特洛伊木马程序）。他们也不能访问其他用户的私人数据或桌面设置。

为确保 Windows 2000 系统的安全性，管理员应该：

确保最终用户只属于 Users 组。

安装和配置 Users 组成员可以成功运行的 Windows 2000 认可程序。
用户不能运行大多数为 Windows 以前版本编写的程序，因为这些应用程序中的大多数都是要么不支持文件系统和注册表安全（Windows 95 和 WIndows 98），要么就是默认安全设置不严格（Windows NT）。如果在新安装的 NTFS 系统上运行以前的应用程序，可采取下列措施：

安装 Windows 2000 认可的新版应用程序。

将用户从 Users 组移到 Power Users 组。

降低 Users 组的默认安全权限。这可以用兼容的安全模板完成。详细信息，请参阅相关主题中的“预定义安全模板”。

超级用户 (Power Users)

Power Users 组的成员拥有的权限比 Users 组的成员多，但比 Administrators 组的成员少。超级用户可以执行除了为管理员组保留的任务外的其他任何操作系统任务。超级用户的默认 Windows 2000 安全设置与 Windows NT 4.0 中 Users 的默认安全设置十分相似。Windows 2000 中 Power Users 可以运行的任何程序都可以由 Windows NT 4.0 中的 Users 运行。

Power Users 可以：

除了 Windows 2000 认可的应用程序外，还可以运行一些安全性不太严格的应用程序。

安装不修改操作系统文件并且不需要安装系统服务的应用程序。

自定义系统资源，包括打印机、日期/时间、电源选项和其他控制面板资源。

创建和管理本地用户帐户和组。

启动或停止默认情况下不启动的服务。

超级用户没有将自己添加到管理员组的权限，也不能访问在 NTFS 卷上的其他用户的数据，除非那些用户赋予他们这样的权限。

 警告

在 Windows 2000 上运行安全性不太严格的程序常常需要修改某些系统设置。默认情况下允许超级用户运行安全性不太严格的程序的权限可能让超级用户获得其他系统权限，甚至完全的管理权限。因此，部署 Windows 2000 认可的程序，以便在不影响程序功能的同时，让安全性得到最大限度的保护非常重要。Windows 2000 认可的程序在为 Users 组提供的安全配置下正常运行。详细信息，请参阅 Microsoft 安全顾问 Web 站点上的“Securing Windows 2000 Installations”。

由于超级用户可以安装或修改程序，因而以超级用户身份连接到 Internet 时可能引起特洛伊木马程序的攻击或其他安全隐患。详细信息，请参阅相关主题中的“为什么不能以管理员身份运行程序”。

备份操作员 (Backup Operators)

Backup Operators 组的成员可以备份和还原计算机上的文件，而不管保护这些文件的权限如何。他们还可以登录到计算机和关闭计算机，但不能更改安全性设置。

 警告

备份和还原数据文件和系统文件都需要对这些文件的读写权限。在默认情况下，赋予备份操作员的备份和还原文件权限也可能被用于其他目的，例如读取其他用户的文件或者安装特洛伊木马程序。可以使用组策略设置创建一个备份操作员只能运行备份程序的环境，详细信息，请参阅 Microsoft 安全顾问 Web 站点上的“Securing Windows 2000 Installations”。

特殊组

Windows 2000 还会自动创建另外一些组。

交互 (Interactive)。该组包含当前登录到计算机上的用户。

网络 (Network)。该组包含通过网络远程访问系统的所有用户。

终端服务器用户 (Terminal Server User)。当终端服务器以应用程序服务模式被安装时，该组包含使用终端服务器登录到该系统的任何用户。用户可以在 Windows NT 4.0 中运行的程序也能在 Windows 2000 中由终端服务器用户运行。赋予该组的默认权限允许终端服务器用户运行大部分安全性不太严格的程序。

 警告

在 Windows 2000 上运行安全性不太严格的程序常常需要修改某些系统设置。默认情况下允许终端服务器用户运行安全性不太严格的程序的权限可能让终端服务器用户获得其他系统权限，甚至完全的管理权限。因此，部署 Windows 2000 认可的程序，以便在不影响程序功能的同时，让安全性得到最大限度的保护非常重要。Windows 2000 认可的程序在为 Users 组提供的安全配置下正常运行。详细信息，请参阅 Microsoft 安全顾问 Web 站点上的“Securing Windows 2000 Installations”。

 注意

当“终端服务器”以远程管理模式被安装时，通过“终端服务器”登录的用户不会成为此组的成员。