一、用户(User)
定义
用户是操作系统中的身份标识,用于区分不同操作者并控制资源访问权限。每个用户拥有独立的安全标识符(SID)。
分类
内置用户:
Administrator:系统管理员账户,拥有最高权限(默认禁用,需手动启用)。
Guest:来宾账户,权限极低,仅允许临时访问(默认禁用)。
系统用户:
SYSTEM:系统服务或进程的运行账户,权限高于管理员。
Local Service/Network Service:用于管理本地或网络服务的低权限账户。
二、组(Group)
定义
组是用户账户的集合,通过集中分配权限简化管理。组的权限由其成员继承。
常见内置组
Administrators:管理员组,成员拥有系统控制权。
Users:普通用户组,权限受限。
Guests:来宾用户组,权限最低。
三、内置安全主体(Built-in Security Principals)
定义
安全主体是系统预定义的特殊身份标识,用于描述一类操作场景下的访问权限需求,包括用户、组或计算机。
核心类型
Authenticated Users:所有通过系统验证的用户(不包括匿名用户)。
Everyone:涵盖所有用户(含匿名用户和来宾账户)。
Network:通过网络访问资源的用户。
Interactive:直接登录本机的用户。
Anonymous Logon:未经验证的匿名用户(如匿名访问网页)。
作用
通过赋予安全主体权限,实现灵活的资源访问控制(如限制网络用户仅可读取共享文件)。
四、安全标识符(SID)
定义
SID 是唯一标识用户、组或安全主体的字符串,格式如 S-1-5-21-...,确保全局唯一性。
特性
不可重复使用:删除用户后,其 SID 不会分配给新用户。
权限关联:系统通过 SID 匹配用户/组的权限设置。
五、关系与应用
权限分配逻辑
用户通过所属组或安全主体继承权限(如将用户加入 Administrators 组即赋予管理员权限)。
系统进程(如服务)使用 SYSTEM 或 Network Service 账户运行,确保权限隔离。
典型场景
共享文件夹:限制 Network 安全主体仅允许读取,禁止写入。
服务配置:将服务运行账户设为 Local Service,降低权限风险。
附:关键操作示例
查看用户 SID:
命令行执行 whoami /user,显示当前用户 SID。
管理内置安全主体:
在文件/文件夹的"安全"选项卡中添加 Authenticated Users 或 Network 主体并设置权限。