windows源码分析(14)-权限管理篇Windows系统是支持多用户的。每个文件可以设置一个访问控制表(即ACL),在ACL中规定每个用户、每个组对该文件的访问权限。不过,只有Ntfs文件系统中的文件才支持ACL。
(Ntfs文件系统中,每个文件的ACL是作为文件的一个附加属性保存在文件中的)。不仅ntfs文件支持ACL机制,每个内核对象也支持ACL,不过内核对象的ACL保存在对象头部的安全属性字段中,只存在于内存,对象一销毁,ACL就跟着销毁。因此,内核对象的ACL是临时的,文件的ACL则是永久保存在磁盘上的。文件的ACL由文件的创建者设置后保存在文件中,以后只有创建者和管理员才可以修改ACL,内核对象的ACL由对象的创建者在创建时指定。
Windows系统中为每个用户、组、机器指定了一个ID,叫SID。每个用户登录到系统后,每当创建一个进程时,就会为进程创建一个令牌(进程的令牌叫主令牌),该令牌包含了用户、组、特权信息。由于子进程在创建时会继承父进程的令牌,所以一个用户创建的所有进程的令牌都是一样的,包含着相同的用户、组、特权等其他信息,只是令牌ID不同而已。换个角度看,令牌实际上相当于用户身份,进程要访问对象时,就出示它的令牌让系统检查,向系统表明自己是谁,在哪几个组中。
这样,当有了令牌和ACL后,当一个进程(准确说是线程)要访问一个对象时,系统就会检查该进程的令牌,申请的访问权限,然后与ACL比较,看看是否满足权限,不满足的话就拒绝访问。
下面我们看看相关的数据结构
typedef struct _SID { //用户ID、组ID、机器ID
UCHAR Revision;//版本号
UCHAR SubAuthorityCount;//RID数组元素个数,即ID级数,最大支持8级SID_IDENTIFIER_AUTHORITY IdentifierAuthority;//该ID的签发机关,6B长ULONG SubAuthority[ANYSIZE_ARRAY];//RID数组,即N级ID
} SID, *PISID;
一个ID就像一个文件路径一样,由签发机关 + N级ID组成。
Windows中有几种预定义的签发机关
#define SECURITY_NULL_SID_AUTHORITY {0,0,0,0,0,0} #define SECURITY_WORLD_SID_AUTHORITY {0,0,0,0,0,1} //世界签发机关 #define SECURITY_LOCAL_SID_AUTHORITY {0,0,0,0,0,2} //本机签发机关 #define SECURITY_CREATOR_SID_AUTHORITY {0,0,0,0,0,3}
#define SECURITY_NON_UNIQUE_AUTHORITY {0,0,0,0,0,4} #define SECURITY_NT_AUTHORITY {0,0,0,0,0,5} //NT域签发机关 #define
SECURITY_RESOURCE_MANAGER_AUTHORITY {0,0,0,0,0,9}
typedef struct _TOKEN
{
TOKEN_SOURCE TokenSource;
LUID TokenId; 令牌ID
LUID AuthenticationId;
LUID ParentTokenId;
LARGE_INTEGER ExpirationTime; 过期时间
struct _ERESOURCE *TokenLock;
SEP_AUDIT_POLICY AuditPolicy;
LUID ModifiedId;
ULONG SessionId;
ULONG UserAndGroupCount; 含有的用户、组总数
ULONG RestrictedSidCount;
ULONG PrivilegeCount; 含有的特权数量
ULONG VariableLength;
ULONG DynamicCharged;
ULONG DynamicAvailable;
ULONG DefaultOwnerIndex; 令牌的默认拥有者在UserAndGroups数组中的位置
PSID_AND_ATTRIBUTES UserAndGroups; 关键。包含的一个用户、N个组(一个‘数组’)
PSID_AND_ATTRIBUTES RestrictedSids;
PSID PrimaryGroup; 令牌的基本组ID(即拥有者所属的基本组)
PLUID_AND_ATTRIBUTES Privileges; 关键。包含的特权
PULONG DynamicPart;
PACL DefaultDacl;
TOKEN_TYPE TokenType; 令牌类型(自己的/模拟的)
SECURITY_IMPERSONATION_LEVEL ImpersonationLevel; 模拟级别
ULONG TokenFlags;
BOOLEAN TokenInUse; 是否已被指派成了某个进程的令牌
PVOID ProxyData;
PVOID AuditData;
LUID OriginatingLogonSession;
ULONG VariablePart;
} TOKEN, *PTOKEN;
一个令牌最重要的信息便是它所包含的【特权、用户、组】
下面的函数用于创建一个SID
NTSTATUS
RtlAllocateAndInitializeSid(PSID_IDENTIFIER_AUTHORITY IdentifierAuthority,//签发机关
UCHAR SubAuthorityCount,//级数
ULONG SubAuthority0,
ULONG SubAuthority1,
ULONG SubAuthority2,
ULONG SubAuthority3,
ULONG SubAuthority4,
ULONG SubAuthority5,
ULONG SubAuthority6,
ULONG SubAuthority7,
PSID *Sid) //返回
{
PISID pSid;
if (SubAuthorityCount > 8)
return STATUS_INVALID_SID;
pSid =
RtlpAllocateMemory(RtlLengthRequiredSid(SubAuthorityCount),TAG_SID);
pSid->Revision = SID_REVISION;//固定为1
pSid->SubAuthorityCount = SubAuthorityCount;//级数
memcpy(&pSid-
>IdentifierAuthority,IdentifierAuthority,sizeof(SID_IDENTIFIER_AUTHORITY ));
switch (SubAuthorityCount)
{
case 8:
pSid->SubAuthority[7] = SubAuthority7;
case 7:
pSid->SubAuthority[6] = SubAuthority6;
case 6:
pSid->SubAuthority[5] = SubAuthority5;
case 5:
pSid->SubAuthority[4] = SubAuthority4;
case 4:
pSid->SubAuthority[3] = SubAuthority3;
case 3:
pSid->SubAuthority[2] = SubAuthority2;
case 2:
pSid->SubAuthority[1] = SubAuthority1;
case 1:
pSid->SubAuthority[0] = SubAuthority0;
break;
}
*Sid = pSid;
return STATUS_SUCCESS;
}
SID本身是一个结构体,但SID还有另外一种通俗的表示法:“S-版本号-签发机关-N级ID”。如“S-1-5-23223-23422-286-1025”表示系统中的第24个用户,就是一个4级的SID,其中签发机关为5,表示NT域。
Windows中预定义了些常见的组ID,如
S-1-1-0表示everyone组
S-1-2-0表示Users组
S-1-3-0表示Creators组
前面说了,一个进程在创建时会继承它父进程的令牌,我们看
NTSTATUS PspInitializeProcessSecurity(IN PEPROCESS Process, IN PEPROCESS Parent OPTIONAL)
{
NTSTATUS Status = STATUS_SUCCESS;
PTOKEN NewToken, ParentToken;
if (Parent)
{
ParentToken = PsReferencePrimaryToken(Parent);//获得父进程的令牌//克隆父进程的令牌(但令牌ID不同)
Status = SeSubProcessToken(ParentToken,&NewToken,TRUE,0);
ObFastDereferenceObject(&Parent->Token, ParentToken);
if (NT_SUCCESS(Status))
ObInitializeFastReference(&Process->Token, NewToken);//设置为子进程的令牌
}
else
{
ObInitializeFastReference(&Process->Token, NULL);
SeAssignPrimaryToken(Process, PspBootAccessToken);//指派令牌
}
return Status;
}
这样,同属于一个用户创建的所有进程的令牌都是一样的,本来就应该如此。
但是进程不是行为的主体,具体要去访问对象时,不是由进程去访问,而是由线程去访问。所以,每个线程也得有令牌。默认情况下,每个线程的令牌就是其所属进程的令牌。但是,线程可以模拟使用其他进程的令牌,用来以其他线程的名义去访问对象。为此,ETHREAD结构中有一个ImpersonationInfo字段,是一个
PS_IMPERSONATION_INFORMATION结构指针,记录了该线程使用的模拟令牌信息。
下面的函数用来创建一个令牌(令牌本身也是一种内核对象)
NTSTATUS
NtCreateToken(OUT PHANDLE TokenHandle,//返回句柄
IN ACCESS_MASK DesiredAccess,
IN POBJECT_ATTRIBUTES ObjectAttributes,
IN TOKEN_TYPE TokenType,//主令牌/模拟令牌
IN PLUID AuthenticationId,
IN PLARGE_INTEGER ExpirationTime,//过期时间
IN PTOKEN_USER TokenUser,//该令牌代表的用户
IN PTOKEN_GROUPS TokenGroups,//该令牌含有的所有组
IN PTOKEN_PRIVILEGES TokenPrivileges,//该令牌含有的所有特权
IN PTOKEN_OWNER TokenOwner,//令牌的默认拥有者
IN PTOKEN_PRIMARY_GROUP TokenPrimaryGroup,//令牌的基本组
IN PTOKEN_DEFAULT_DACL TokenDefaultDacl,//默认的ACL
IN PTOKEN_SOURCE TokenSource) {
HANDLE hToken;
KPROCESSOR_MODE PreviousMode;
ULONG nTokenPrivileges = 0;
LARGE_INTEGER LocalExpirationTime = {{0, 0}};
NTSTATUS Status;
PreviousMode = ExGetPreviousMode();
if (PreviousMode != KernelMode)//if来自用户模式发起的调用
{
_SEH2_TRY
{
ProbeForWriteHandle(TokenHandle);
ProbeForRead(AuthenticationId,sizeof(LUID),sizeof(ULONG));
LocalExpirationTime = ProbeForReadLargeInteger(ExpirationTime);
ProbeForRead(TokenUser,sizeof(TOKEN_USER),sizeof(ULONG));
ProbeForRead(TokenGroups,sizeof(TOKEN_GROUPS),sizeof(ULONG));
ProbeForRead(TokenPrivileges,sizeof(TOKEN_PRIVILEGES),sizeof(ULONG));
ProbeForRead(TokenOwner,sizeof(TOKEN_OWNER),sizeof(ULONG));
ProbeForRead(TokenPrimaryGroup,sizeof(TOKEN_PRIMARY_GROUP),sizeof(UL ONG));
ProbeForRead(TokenDefaultDacl,sizeof(TOKEN_DEFAULT_DACL),sizeof(ULON G));
ProbeForRead(TokenSource,sizeof(TOKEN_SOURCE),sizeof(ULONG));
nTokenPrivileges = TokenPrivileges->PrivilegeCount;
}
。。。
}
else
{
nTokenPrivileges = TokenPrivileges->PrivilegeCount;
LocalExpirationTime = *ExpirationTime;
}
Status =
SepCreateToken(&hToken,PreviousMode,DesiredAccess,ObjectAttributes,Token Type,
ObjectAttributes->SecurityQualityOfService->ImpersonationLevel, AuthenticationId,
&LocalExpirationTime,
&TokenUser->User,
TokenGroups->GroupCount,
TokenGroups->Groups,
0,
nTokenPrivileges,
TokenPrivileges->Privileges,
TokenOwner->Owner,
TokenPrimaryGroup->PrimaryGroup,
TokenDefaultDacl->DefaultDacl,
TokenSource,
FALSE);
if (NT_SUCCESS(Status))
{
_SEH2_TRY
{
*TokenHandle = hToken;
}
。。。
}
return Status;
}
NTSTATUS
SepCreateToken(OUT PHANDLE TokenHandle,
IN KPROCESSOR_MODE PreviousMode,
IN ACCESS_MASK DesiredAccess,
IN POBJECT_ATTRIBUTES ObjectAttributes,
IN TOKEN_TYPE TokenType,
IN SECURITY_IMPERSONATION_LEVEL ImpersonationLevel, IN PLUID AuthenticationId,
IN PLARGE_INTEGER ExpirationTime,
IN PSID_AND_ATTRIBUTES User,
IN ULONG GroupCount,
IN PSID_AND_ATTRIBUTES Groups,
IN ULONG GroupLength,
IN ULONG PrivilegeCount,
IN PLUID_AND_ATTRIBUTES Privileges,
IN PSID Owner,//令牌的默认拥有者用户ID
IN PSID PrimaryGroup,//令牌的基本组ID
IN PACL DefaultDacl,
IN PTOKEN_SOURCE TokenSource,
IN BOOLEAN SystemToken)
{
PTOKEN AccessToken;
LUID TokenId;
LUID ModifiedId;
PVOID EndMem;
ULONG uLength;
ULONG i;
NTSTATUS Status;
ULONG TokenFlags = 0;
for (i = 0; i < GroupCount; i++)
{
if (Groups[i].Attributes & SE_GROUP_MANDATORY) //默认启用所有强制类型的组
Groups[i].Attributes |= (SE_GROUP_ENABLED |
SE_GROUP_ENABLED_BY_DEFAULT);
if (RtlEqualSid(SeAliasAdminsSid, Groups[i].Sid))
TokenFlags |= TOKEN_HAS_ADMIN_GROUP;//标记本令牌中含有一个管理员组,提高效率用
}
for (i = 0; i < PrivilegeCount; i++)
{
if (((RtlEqualLuid(&Privileges[i].Luid, &SeChangeNotifyPrivilege))
&&
(Privileges[i].Attributes & SE_PRIVILEGE_ENABLED)))
{
TokenFlags |= TOKEN_HAS_TRAVERSE_PRIVILEGE;//标记本令牌含有对象目录
遍历特权
}
}
ZwAllocateLocallyUniqueId(&TokenId);//分配一个唯一的令牌ID
ZwAllocateLocallyUniqueId(&ModifiedId);//再分配一个唯一的ModifiedId //关键。创建一个令牌内核对象
Status = ObCreateObject(PreviousMode, SepTokenObjectType,//令牌类型ObjectAttributes,PreviousMode,NULL,sizeof(TOKEN),
0,0, (PVOID*)&AccessToken);
RtlZeroMemory(AccessToken, sizeof(TOKEN));
AccessToken->TokenLock = &SepTokenLock;
RtlCopyLuid(&AccessToken->TokenSource.SourceIdentifier,
&TokenSource->SourceIdentifier);
memcpy(AccessToken->TokenSource.SourceName,TokenSource->SourceName, sizeof(TokenSource->SourceName));
RtlCopyLuid(&AccessToken->TokenId, &TokenId);//填写令牌ID
RtlCopyLuid(&AccessToken->AuthenticationId, AuthenticationId);
AccessToken->ExpirationTime = *ExpirationTime;
RtlCopyLuid(&AccessToken->ModifiedId, &ModifiedId);
AccessToken->UserAndGroupCount = GroupCount + 1;//一个用户N个组
AccessToken->PrivilegeCount = PrivilegeCount;
AccessToken->TokenFlags = TokenFlags;
AccessToken->TokenType = TokenType;
AccessToken->ImpersonationLevel = ImpersonationLevel;
uLength = sizeof(SID_AND_ATTRIBUTES) * AccessToken-
>UserAndGroupCount;
uLength += RtlLengthSid(User);
for (i = 0; i < GroupCount; i++)
uLength += RtlLengthSid(Groups[i].Sid);
AccessToken->UserAndGroups =
(PSID_AND_ATTRIBUTES)ExAllocatePoolWithTag(PagedPool,uLength,'uKOT');
EndMem = &AccessToken->UserAndGroups[AccessToken->UserAndGroupCount];
//填写用户SID到令牌中
Status = RtlCopySidAndAttributesArray(1,User,uLength,AccessToken-
>UserAndGroups,
EndMem,&EndMem,&uLength);
if (NT_SUCCESS(Status))
{
//填写所有组SID到令牌中
Status = RtlCopySidAndAttributesArray(GroupCount,Groups,uLength, &AccessToken->UserAndGroups[1],
EndMem,&EndMem,&uLength);
}
if (NT_SUCCESS(Status))
{
//查找令牌的基本组和拥有者在UserAndGroups数组中的位置,记录在令牌中Status =
SepFindPrimaryGroupAndDefaultOwner(AccessToken,PrimaryGroup,Owner);
}
//再将所有特权填写到令牌中
if (NT_SUCCESS(Status))
{
uLength = PrivilegeCount * sizeof(LUID_AND_ATTRIBUTES);
AccessToken->Privileges =
(PLUID_AND_ATTRIBUTES)ExAllocatePoolWithTag(PagedPool,uLength,'pKOT' );
if (PreviousMode != KernelMode)
{
_SEH2_TRY
{
RtlCopyMemory(AccessToken->Privileges,Privileges,
PrivilegeCount * sizeof(LUID_AND_ATTRIBUTES));
}
。。。
}
else
{
RtlCopyMemory(AccessToken->Privileges,Privileges,
PrivilegeCount * sizeof(LUID_AND_ATTRIBUTES));
}
}
if (NT_SUCCESS(Status))
{
AccessToken->DefaultDacl =
(PACL) ExAllocatePoolWithTag(PagedPool,DefaultDacl->AclSize,'kDOT');
memcpy(AccessToken->DefaultDacl,DefaultDacl,DefaultDacl->AclSize);
}
if (!SystemToken)
ObInsertObject(AccessToken,NULL,DesiredAccess,0,NULL,TokenHandle);//插入句柄表中
else
*TokenHandle = (HANDLE)AccessToken;
return Status;
}
当用户创建了一个令牌对象后,就可以调用NtSetInformationProcess将该令牌指派给任意进程,这个函数内部最终调用下面的函数完成指派工作。
NTSTATUS
NTAPI //将指定令牌指派给指定进程(也即为指定进程设置一个令牌)
PspSetPrimaryToken(IN PEPROCESS Process,//目标进程
IN HANDLE TokenHandle OPTIONAL,//优先使用这个参数
IN PACCESS_TOKEN Token OPTIONAL)//当上面参数为NULL时使用这个参数{
KPROCESSOR_MODE PreviousMode = ExGetPreviousMode();
BOOLEAN IsChild;
PACCESS_TOKEN NewToken = Token;
NTSTATUS Status, AccessStatus;
BOOLEAN Result, SdAllocated;
PSECURITY_DESCRIPTOR SecurityDescriptor;
SECURITY_SUBJECT_CONTEXT SubjectContext;
if (TokenHandle)
ObReferenceObjectByHandle(TokenHandle,TOKEN_ASSIGN_PRIMARY,SepTokenO bjectType,
PreviousMode, (PVOID*)&NewToken,NULL);
SeIsTokenChild(NewToken, &IsChild);//检查目标令牌是不是进程自己的那个
if (!IsChild) //实际上命名为IsSelf更合适
{
//如果指定令牌不是进程自己的令牌,那么必须检查当前进程是否具有把指定
令牌指派给
//其他进程的特权(SeAssignPrimaryTokenPrivilege就是指派令牌这种特权) if
(!SeSinglePrivilegeCheck(SeAssignPrimaryTokenPrivilege,PreviousMode)) {
if (TokenHandle) ObDereferenceObject(NewToken);
return STATUS_PRIVILEGE_NOT_HELD;
}
}
//将指定令牌指派给目标进程(也即修改那个进程的令牌字段)。
Status = PspAssignPrimaryToken(Process, NULL, NewToken);
//当更换了目标进程的令牌后,目标进程可能对它自己的进程对象的访问权限
都没了,所以下面的代
//码对目标进程的自我访问权限进行修正
if (NT_SUCCESS(Status))
{
//获取目标进程对象的安全描述符,即SD
Status =
ObGetObjectSecurity(Process,&SecurityDescriptor,&SdAllocated);
if (NT_SUCCESS(Status))
{
SubjectContext.ProcessAuditId = Process;
SubjectContext.PrimaryToken = PsReferencePrimaryToken(Process);//目
标进程的主令牌
SubjectContext.ClientToken = NULL;
//根据目标进程对象的SD和新令牌,获得新令牌对目标进程的访问权限
Result = SeAccessCheck(SecurityDescriptor,&SubjectContext,FALSE,
MAXIMUM_ALLOWED,0,NULL,
&PsProcessType->TypeInfo.GenericMapping, PreviousMode,
&Process->GrantedAccess,
&AccessStatus);
ObFastDereferenceObject(&Process->Token,SubjectContext.PrimaryToken);
ObReleaseObjectSecurity(SecurityDescriptor, SdAllocated);
//if更换令牌后导致不能访问目标进程对象了
if (!Result) Process->GrantedAccess = 0;
//这个字段表示进程对象的自我进程访问权限。我们知道,每个句柄的表项内
部都有一个
GrantedAccess字段,记录了句柄授予的访问权限。但是,当前进程句柄(-
1)、当前线程
句柄(-2),这两个句柄都是伪句柄,不存在对应的句柄表项,所以就没法记录
那两个句柄
的访问权限,就只好记录进程对象的GrantedAccess这个字段中,表示进程对
象对自我进程
授予的访问权限。
//不管如何,下面的这些自我访问权限是起码必须的,所以加上去
Process->GrantedAccess |= (PROCESS_VM_OPERATION |
PROCESS_VM_READ |
PROCESS_VM_WRITE |
PROCESS_QUERY_INFORMATION |
PROCESS_TERMINATE |
PROCESS_CREATE_THREAD |
PROCESS_DUP_HANDLE |
PROCESS_CREATE_PROCESS |
PROCESS_SET_INFORMATION |
STANDARD_RIGHTS_ALL |
PROCESS_SET_QUOTA);
}
}
if (TokenHandle) ObDereferenceObject(NewToken);
return Status;
}
//这个函数用来判断目标令牌是否就是进程自己的令牌(更名为SeIsTokenSelf
更合适)
NTSTATUS SeIsTokenChild(IN PTOKEN Token,OUT PBOOLEAN IsChild) {
PTOKEN ProcessToken;
LUID ProcessLuid, CallerLuid;
*IsChild = FALSE;
ProcessToken = PsReferencePrimaryToken(PsGetCurrentProcess());
ProcessLuid = ProcessToken->TokenId;//自身令牌的IP
ObFastDereferenceObject(&PsGetCurrentProcess()->Token, ProcessToken);
CallerLuid = Token->TokenId;
if (RtlEqualLuid(&CallerLuid, &ProcessLuid)) *IsChild = TRUE;
return STATUS_SUCCESS;
}
如上,如果指定令牌不是进程自己的,就需要检查当前线程是否具有指派令牌的特权。下面的函数就是用
来检查当前线程是否具有指定特权的
BOOLEAN
SeSinglePrivilegeCheck(IN LUID PrivilegeValue,//要检查的特权
IN KPROCESSOR_MODE PreviousMode)
{
SECURITY_SUBJECT_CONTEXT SubjectContext;
PRIVILEGE_SET Priv;//特权集,此处仅检查一个特权
BOOLEAN Result;
//获得当前线程的令牌(模拟令牌、主令牌)
SeCaptureSubjectContext(&SubjectContext);
Priv.PrivilegeCount = 1;
Priv.Control = PRIVILEGE_SET_ALL_NECESSARY;//检查所有特权
Priv.Privilege[0].Luid = PrivilegeValue;
Priv.Privilege[0].Attributes = SE_PRIVILEGE_ENABLED;
//实质函数
Result = SePrivilegeCheck(&Priv,&SubjectContext,PreviousMode);
SeReleaseSubjectContext(&SubjectContext);
return Result;
在使用windows7过程中,常常会再出现没有管理员权限而不能正常运行软件(有的软件直接就是打不开,有的软件不能正常运行(比如如果没有管理员权限,keil就不能注册成功))....也许你会说,我的电脑里只有一个用户,这个用户应该就是管理员啊!不.如果你在安装windows7系统的时候,在那个输入用户信息的地方输入了一个用户名,那么你就新建了一个个人用户,但这个用户并不是管理员.真正的管理员是Administrator.有下面两种方法可以得到windows7的管理员权限. 方法一: 在桌面建一个文本文档(也就是.txt文件).双击打开.把下面的代码复制进去.再把这个文本文件改名为windows7管理员权限.reg(一般电脑已知后缀是隐藏起来的,也就是说你新建的文本文件名字是"新建文本文档"而不是"新建文本文档.txt"如果是这样,你就要先打开"计算机",左上角有个"组织",点开后有个"文件夹和搜索选项",然后"查看"然后下面有个"显示隐藏的文件,文件夹和驱动器"把这个选上再"确定一下"那个文本文件名字就是"新建文本文档.txt"了.再把它的名字改成windows7管理员权限.reg )如果改完后提示后缀改变,那就说明改对了.双击打开改好的文件,提示写入注册表,后你就有全部管理员权限了. 复制以下代码: Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\*\shell\runas] @="管理员取得所有权" "NoWorkingDirectory"="" [HKEY_CLASSES_ROOT\*\shell\runas\command] @="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F" "IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F" [HKEY_CLASSES_ROOT\exefile\shell\runas2] @="管理员取得所有权" "NoWorkingDirectory"="" [HKEY_CLASSES_ROOT\exefile\shell\runas2\command] @="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F" "IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F" [HKEY_CLASSES_ROOT\Directory\shell\runas] @="管理员取得所有权" "NoWorkingDirectory"="" [HKEY_CLASSES_ROOT\Directory\shell\runas\command] @="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t" "IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \
XXXX集团信息系统用户帐号及权限管理制度 管理要求 1.使用信息系统的各业务部门各岗位人员,除公司有特殊规定外,皆按本制度执行。 2.职责:网络管理部门负责用户的创建和权限分配,各业务部门根据各自岗位需求向信息系统管理部门提出用户创建需求和权限分配需求。 3.信息系统用户的管理:包括系统用户帐号的命名建立,用户帐号及相应权限的增加、修改,用户帐号及相应权限的终止,用户密码的修改,用户帐号及相应权限的锁定和解锁;用户帐号及相应权限的安全管理等。 4.信息系统管理员(以下简称系统管理员)在系统中不得任意增加、修改、删除用户帐号及相应权限,必须根据《XXXX集团信息系统申请表》和相关领导签字审批才能进行相应操作,并将相关文档留档备存。 5.用户帐号及相应权限的持有人,必须保证用户帐号及相应权限和用户密码的保密和安全,不得对外泄漏,防止非此用户帐号的所有者登陆系统。 6.公司用户管理员要定期检查系统内用户使用情况,防止非法授权用户恶意登陆系统,保证系统的安全。 7.帐号持有人要对其在系统内的行为负责,各部门领导要对本单位或本部门用户的行为负责。 8.用户帐号的命名由系统管理员执行,用户帐号命名应遵循易用性、最小重叠机率为用户帐号的命名规则,不得随意命名。 9.对用户申请表等相关文档各申请部门的用户管理员必须存档,不得遗失。 页脚内容1
增加、修改用户帐号及相应权限的管理 10.信息系统中增加、修改用户帐号及相应流程规范: 10.1 新增员工:新员需要使用公司内部通讯系统,首先填写《XXXX集团信息系统申请表》ERP系统用户申请填写《XXXX集团公司ERP权限申请表》,由主管部门负责人核定审批、人事部复核审批,交由网络部留档备存、执行相应操作。 10.2 系统组织结构调整:部门新建、合并、分离、撤消,组织结构需求变更的。需由部门主管领导提出书面说明文件,报人事部审核,各分公司总经理复核,交由网络部留档备存、执行相应操作。 11.用户帐号及相应权限的增加、修改,须由申请人填写《XXXX集团信息系统申请表》、《XXXX集团公司ERP权限申请表》,所在部门负责人审批,网络安全部门负责人审批后交由系统管理员留档备存、执行相应操作。 用户帐号及相应权限终止的管理 12.用户帐号及相应权限的终止应符合:①用户帐号持有人工作调动,②用户帐号持有人辞职。 13.用户帐户持有人因工作调动需要终止帐户的,自相应调动通知公布后。由所属公司人事部门以书面方式通知网络管理部门,网络管理部门负责人审批后交由系统管理员留档备存、执行删除或冻结操作。 14.对于辞职人员用户帐号及相应权限终止,离职人员办理离职申请表,其它部门手续办理完结签字后,转由网络部及时清理该员工各系统帐号。 用户帐号的安全管理 15.用户帐号持有人忘记密码必须填写《XXXX集团信息系统申请表》,所在部门负责人审批,网络管理部门负责人审批后经系统管理员执行相应的操作。 页脚内容2
信息系统用户帐号与角色权限管理流程 一、目的 碧桂园的信息系统已经在集团下下各公司推广应用,为了确保公司各应用信息系统安全、有序、稳定运行,我们需要对应用信息系统用户帐号和用户权限申请与审批进行规范化管理,特制定本管理规定。 二、适用范围 适用于公司应用信息系统和信息服务,包括ERP系统、协同办公系统、各类业务应用系统、电子邮箱及互联网服务、数据管理平台等。 三、术语和定义 用户:被授权使用或负责维护应用信息系统的人员。 用户帐号:在应用信息系统中设置与保存、用于授予用户合法登陆和使用应用信息系统等权限的用户信息,包括用户名、密码以及用户真实姓名、单位、联系方式等基本信息内容。 权限:允许用户操作应用信息系统中某功能点或功能点集合的权力范围。 角色:应用信息系统中用于描述用户权限特征的权限类别名称。 四、用户管理 (一)用户分类 1.系统管理员:系统管理员主要负责应用信息系统中的系统参数配置,用户帐号开通与维护管理、设定角 色与权限关系,维护公司组织机构代码和物品编码等基础资料。 2.普通用户:指由系统管理员在应用信息系统中创建并授权的非系统管理员类用户,拥有在被授权范围内 登陆和使用应用信息系统的权限。 (二)用户角色与权限关系 1.应用信息系统中对用户操作权限的控制是通过建立一套角色与权限对应关系,对用户帐号授予某个角色 或多个角色的组合来实现的,一个角色对应一定的权限(即应用信息系统中允许操作某功能点或功能点 集合的权力),一个用户帐号可通过被授予多个角色而获得多种操作权限。 2.由于不同的应用信息系统在具体的功能点设计和搭配使用上各不相同,因此对角色的设置以及同样的角 色在不同应用信息系统中所匹配的具体权限范围可能存在差异,所以每个应用信息系统都需要在遵循《应 用信息系统角色与权限设置规范》基础上,分别制定适用于本系统的《碧桂园应用信息系统角色与权限 关系对照表》(表样见附表1)。具体详细各系统角色与权限关系表以各系统公布为准。 五、用户帐号实名制注册管理
信息系统用户和权限管理制度;第一章总则;第一条为加强信息系统用户账号和权限的规范化管理,;第二条本制度适用于场建设和管理的、基于角色控制和;法设计的各型信息系统,以及以用户口令方式登录的网;网站系统等;第三条信息系统用户、角色、权限的划分和制定,以人;第四条场协同办公系统用户和权限管理由场办公室负责;第五条信息系统用户和权限管理的基本原则是:;(一)用户、权 信息系统用户和权限管理制度 第一章总则 第一条为加强信息系统用户账号和权限的规范化管理,确保各信息系统安全、有序、稳定运行,防范应用风险,特制定本制度。 第二条本制度适用于场建设和管理的、基于角色控制和方 法设计的各型信息系统,以及以用户口令方式登录的网络设备、 网站系统等。 第三条信息系统用户、角色、权限的划分和制定,以人力资源部对部门职能定位和各业务部门内部分工为依据。
第四条场协同办公系统用户和权限管理由场办公室负责,其他业务系统的用户和权限管理由各业务部门具体负责。所有信息系统须指定系统管理员负责用户和权限管理的具体操作。 第五条信息系统用户和权限管理的基本原则是: (一)用户、权限和口令设置由系统管理员全面负责。 (二)用户、权限和口令管理必须作为项目建设的强制性技术标准或要求。 (三)用户、权限和口令管理采用实名制管理模式。 (四)严禁杜绝一人多账号登记注册。 第二章管理职责 第六条系统管理员职责 负责本级用户管理以及对下一级系统管理员管理。包括创建各类申请用户、用户有效性管理、为用户分配经授权批准使用的业务系统、为业务管理员提供用户授权管理的操作培训和技术指导。 第七条业务管理员职责 负责本级本业务系统角色制定、本级用户授权及下一级本业务系统业务管理员管理。负责将上级创建的角色或自身创建的角色授予相应的本级用户和下一级业务管理员,为本业务系统用户提供操作培训和技术指导,使其有权限实施相应业务信息管理活动。
windows系统权限管理分析 1权限 windows中,权限指的是不同账户对文件,文件夹,注册表等的访问能力。 在Windows系统中,用户名和密码对系统安全的影响毫无疑问是最重要。通过一定方式获得计算机用户名,然后再通过一定的方法获取用户名的密码,已经成为许多黑客的重要攻击方式。即使现在许多防火墙软件不端涌现,功能也逐步加强,但是通过获取用户名和密码的攻击方式仍然时有发生。而通过加固Windows系统用户的权限,在一定程度上对安全有着很大的帮助。 Windows是一个支持多用户、多任务的操作系统,不同的用户在访问这台计算机时,将会有不同的权限。 "权限"(Permission)是针对资源而言的。也就是说,设置权限只能是以资源为对象,即"设置某个文件夹有哪些用户可以拥有相应的权限",而不能是以用户为主。这就意味着"权限"必须针对"资源"而言,脱离了资源去谈权限毫无意义──在提到权限的具体实施时,"某个资源"是必须存在的。 利用权限可以控制资源被访问的方式,如User组的成员对某个资源拥有"读取"操作权限、Administrators组成员拥有"读取+写入+删除"操作权限等。 值得一提的是,有一些Windows用户往往会将"权利"与"权限"两个非常相似的概念搞混淆,这里做一下简单解释:“权利"(Right)主要是针对用户而言的。"权力"通常包含"登录权力" (Logon Right)和"特权"(Privilege)两种。登录权力决定了用户如何登录到计算机,如是否采用本地交互式登录、是否为网络登录等。特权则是一系列权力的总称,这些权力主要用于帮助用户对系统进行管理,如是否允许用户安装或加载驱动程序等。显然,权力与权限有本质上的区别。 2六大用户组 Windows是一个支持多用户、多任务的操作系统,不同的用户在访问这台计算机时,将会有不同的权限。同时,对用户权限的设置也是是基于用户和进程而言的,Windows 里,用户被分成许多组,组和组之间都有不同的权限,并且一个组的用户和用户之间也可以有不同的权限。以下就是常见的用户组。
**科技 信息系统用户权限管理制度 第一条为加强应用信息系统用户账号和用户权限申请与审批的规范化管理,确保公司各应用信息系统安全、有序、稳定运行,特制定本管理办法。 第二条适用范围 金蝶K3 Wise系统、OA系统 第三条术语和定义 1、用户:被授权使用或负责维护应用信息系统的人员。 2、用户账号:在应用信息系统中设置与保存、用于授予用户合法登陆和使用应用信息系统等权限的用户信息,包括用户名、密码以及用户真实姓名、单位、联系方式等基本信息内容。 3、权限:允许用户操作应用信息系统中某功能点或功能点集合的权力范围。 4、角色:应用信息系统中用于描述用户权限特征的权限类别名称。 第四条用户管理 用户分类 1、系统管理员 系统管理员主要负责应用信息系统中的系统参数配置,用户账号开通与维护管理、设定角色与权限关系,维护行政区划和组织机构代码等数据字典,系统日志管理以及数据管理等系统运行维护工作。 2、普通用户 指由系统管理员在应用信息系统中创建并授权的非系统管理员类用户,拥有在被授权范围内登陆和使用应用信息系统的权限。 2、用户角色与权限关系 应用信息系统中对用户操作权限的控制是通过建立一套角色与权限对应关系,对用户账号授予某个角色或多个角色的组合来实现的,一个角色对应一定的权限(即应用信息系统中允许操作某功能点或功能点集合的权力),一个用户账号可通过被授予多个角色而获得多种操作权限。为实现用户管理规范化和方便系统维
护,公司各应用信息系统应遵循统一的角色与权限设置规范,在不同的应用信息系统中设置的角色名称及对应的权限特征,应遵循权限设置规范基本要求。由于不同的应用信息系统在具体的功能点设计和搭配使用上各不相同,因此对角色的设置以及同样的角色在不同应用信息系统中所匹配的具体权限范围可能存在差异,所以每个应用信息系统应分别制定适用于本系统的权限设置规范。 3 、用户账号实名制注册管理 为保证应用信息系统的运行安全和对用户提供跟踪服务,各应用信息系统用户账号的申请注册实行“实名制”管理方式,即在用户账号申请注册时必须向网络工程部提供用户真实姓名、隶属单位与部门、联系方式等真实信息。 4、用户账号申请与审批 账号申请任何一个用户账号的申请与开通均须经过公司统一制定的账号申请与审批备案管理流程,且一个用户在同一个应用信息系统中只能注册和被授予一个用户账号。公司各应用信息系统的用户账号及角色权限的申请开通、注销和密码初始化等账号管理工作均使用公司制定的《信息系统账户开通/权限变更申请单》办理。用户权限的申请应严格岗位职务配置相应的权限执行,不得越级或超范围申请。 附件: 1、金蝶系统岗位权限明细表 2、OA系统使用岗位/人员明细表
windows 7系统文件夹管理员权限的获取方法 windows 7系统不仅在界面上下了很多功夫,而且在安全方面也做了很多工作。但是这也给很多win7系统用户带来了麻烦----在win7下替换、修改或删除系统中某个文件夹往往都需要取得管理员权限,特别是系统盘(C盘)下的文件夹。这里教大家如何获得win7文件夹权限,并给大家提供一个修改win7注册表的reg,运行之后右键选择"获得权限"即可获得win7下整个文件夹的管理权限。 Win 7下管理员权限修改方法原理 我们以系统盘下的zh-CN文件夹为例 1、在zh-CN文件夹图标上面点击鼠标右键,再点击属性,如图1: 2、打开文件夹属性选项卡,按顺序单击:安全》高级》所有者》编辑,选中Administrators用户组(或者你的用户所在的组),同时勾选下面的"替换子容器及对象的所有者"。确定并关闭属性对话框即获取该文件的所有权。如图2:
3、再次单击鼠标右键打开属性对话框,依次单击:安全》高级,选中下面的两个勾,然后点击编辑,选中并双击Administrators(或者你的用户所在的组>; 单击"完全控制",按确定依次退出即可,如图3:
4、OK,至此你已经拥有这个文件夹的管理权限,可以进行下一步的修改和替换了。 Win 7下管理员权限获得注册表reg修改方法 以下为引用的内容: Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT*shellrunas] @="管理员取得所有权" "NoWorkingDirectory"="" [HKEY_CLASSES_ROOT*shellrunascommand] @="cmd.exe /c takeown /f "%1" & icacls "%1" /grant administrators:F" "IsolatedCommand"="cmd.exe /c takeown /f "%1" & icacls "%1" /grant administrators:F" [HKEY_CLASSES_ROOTexefileshellrunas2] @="管理员取得所有权" "NoWorkingDirectory"="" [HKEY_CLASSES_ROOTexefileshellrunas2command] @="cmd.exe /c takeown /f "%1" & icacls "%1" /grant administrators:F" "IsolatedCommand"="cmd.exe /c takeown /f "%1" & icacls "%1" /grant administrators:F" [HKEY_CLASSES_ROOTDirectoryshellrunas] @="管理员取得所有权" "NoWorkingDirectory"="" [HKEY_CLASSES_ROOTDirectoryshellrunascommand] @="cmd.exe /c takeown /f "%1" /r /d y & icacls "%1" /grant administrators:F /t"
信息系统用户和权限管理制度 第一章总则 第一条为加强信息系统用户账号和权限的规范化管理,确保各信息系统安全、有序、稳定运行,防范应用风险,特制定本制度。 第二条本制度适用于场建设和管理的、基于角色控制和方法设计的各型信息系统,以及以用户口令方式登录的网络设备、网站系统等。 第三条信息系统用户、角色、权限的划分和制定,以人力资源部对部门职能定位和各业务部门内部分工为依据。 第四条场协同办公系统用户和权限管理由场办公室负责,其他业务系统的用户和权限管理由各业务部门具体负责。所有信息系统须指定系统管理员负责用户和权限管理的具体操作。 第五条信息系统用户和权限管理的基本原则是: (一)用户、权限和口令设置由系统管理员全面负责。 (二)用户、权限和口令管理必须作为项目建设的强制性技术标准或要求。 (三)用户、权限和口令管理采用实名制管理模式。 (四)严禁杜绝一人多账号登记注册。 第二章管理职责 第七条系统管理员职责 负责本级用户管理以及对下一级系统管理员管理。包括创建各类申请用户、用户有效性管理、为用户分配经授权批准使用的
业务系统、为业务管理员提供用户授权管理的操作培训和技术指导。 第八条业务管理员职责 负责本级本业务系统角色制定、本级用户授权及下一级本业务系统业务管理员管理。负责将上级创建的角色或自身创建的角色授予相应的本级用户和下一级业务管理员,为本业务系统用户提供操作培训和技术指导,使其有权限实施相应业务信息管理活动。 第九条用户职责 用户须严格管理自己用户名和口令,遵守保密性原则,除获得授权或另有规定外,不能将收集的个人信息向任何第三方泄露或公开。系统内所有用户信息均必须采用真实信息,即实名制登记。 第三章用户管理 第十条用户申请和创建 (一)申请人在《用户账号申请和变更表》上填写基本情况,提交本部门负责人; (二)部门负责人确认申请业务用户的身份权限,并在《用户账号申请和变更表》上签字确认。 (三)信息系统管理部门经理进行审批后,由系统管理员和业务员创建用户或者变更权限。 (四)系统管理员和业务管理员将创建的用户名、口令告知申请人本人,并要求申请人及时变更口令; (五)系统管理员和业务管理员将《用户账号申请和变更表》存档管理。
《Windows系统管理》单科结业试题 考试说明:考试形式为选择题、实验题。其中选择题有一个或多个答案,全部选对才得分,错选、多选和少选均不得分,共15道题,每题3分,共计45分;实验题1道,计 55分。整张试卷满分100分,为闭卷考试,考试时间为90分钟。请将选择题的答案写在 答题纸上,实验题以电子形式提交实验报告。 一、选择题,单选或多选(共15题,每题3分,共45分) 1)以下对Windows 2008企业版硬件要求的描述中,错误的是()。(选择1项) a)CPU速度最低1GHz(x86)和(x64),推荐大于2GHz b)内存最低512MB,推荐不少于2GB c)硬盘可用空间不少于4GB,推荐40GB以上 d)硬盘可用空间不少于10GB,推荐40GB以上 2)在Windows 2008中,添加或删除服务器“功能”(例如telnet)的工具是()。(选 择1项) a)功能与程序 b)管理您的服务器 c)服务器管理器 d)添加或删除程序 3)在一台安装了Windows 2008操作系统的计算机上,如果想让用户具有创建共享文件 夹的权限,可以把该用户加入()。(选择1项) a)Administrators b)Power Users c)Backup Operators d)Print Operators 4)在Windows Server 2008中,可以通过二种方式来共享文件:通过公用文件夹共享文 件和通过任何文件夹共享文件。对于通过公用文件夹共享文件的说法错误的是()。 (选择1项) a)无法控制某个用户对于公用文件夹的访问权限 b)如果关闭共享,登录这台计算机的用户也不能访问公用文件夹 c)启用公用文件夹共享,则能访问网络的任何人都可以打开公用文件夹中文件 d)启用公用文件夹共享,默认Administrators组成员通过网络可以删除公用文 件夹中的文件 5)一台系统为Windows Server 2008的域控制器,()能将其活动目录数据库备份到本 地磁盘E盘。(选择2项) a)通过Windows Server Backup备份系统状态到E盘 b)在命令行模式下输入命令:wbadmin start systemstatebackup –backuptarget: e: c)复制C:\Windows文件夹到E盘 d)利用NTbackup备份系统状态到E盘
产品名称:BENET 3.0 科目:Windows系统管理 单科结业——问卷 1.有一台Windows server2008服务器,管理员需要在服务器上创建一个共享文件夹,并且在其它计算机上无法通过“网络”浏览到该共享文件夹,可以使用(c )作为共享名。(选择一项) a) data b) Sdata c) data$ d) data* 2.在安装Windows server 2008的过程中显示器突然蓝屏,最可能是以下(d )原因导致的。选择一项) a)硬盘空间不足 b) 版本差异 c) 用户权限不够 d)硬件兼容性 3.你是一台Windows Server2008计算机的系统管理员,你正为—个NTFS分区上的文件夹aptech设置NTFS权限。用户帐号steven同时属于sales组和supports组,sales组对文件夹aptech有“读取和运行、列出文件夹目录、读取”权限,supports组对文件夹apte ch的权限为对应权限的拒绝权限。则当用户“even从本地访问文仵夹aptech时的权限是(d )。(选择一项) a) 读取 b) 读取和运行 c) 列出文件夹日录 d) 拒绝访问 d) 配置用户访问规则 4.公司网络采用Windows单域结构,域用户账户usera的登录时间属性如下图所示,以下说法正确的是(b )。 (选择二项)
a)作为域用户usera可以在任意时间登录域 b) usera如果在星期日(sunday)登录域会被拒绝 c)usera如果在星期六(Saturday)登录域会被拒绝 d) usera如果在星期四(Thursday)登录域会被允许 5.在Windows sever 2008系统中,卸载活动目录的命令是(c )。(选择一项) a) dcpromote b) promote c) dcpromo d) undcpromo 6.有一台处于工作组中的Windows server2008服务器,要配置该服务器上的本地用户帐户密码的长度不能小于8位,可以通过(d )工具进行配置。 (选择一项) a)计算机管理 b)域安全策略 c)域控制器安全策略 d)本地安全策略 7.在Windowsserver 2008支持的动态磁盘卷中,以下(c )的磁盘读写性能最高。(选择一项) a)跨区卷 b) 简单卷 c) 带区卷 d) 镜像卷 8.在WindowsServer 2008域中,在“销售部”OU上委派了普通域用户Iiqiang“重设用户密码并强制在下次登录时更改密码”的任务,关于此情况以下说法正确的是( d)。(选择一项) a)用户liqiang具有了更改所有域用户帐户密码的权限
公司信息化系统用户权限管理制度 第一章总则 第一条为了规范公司信息化系统的权限管理工作,明确系统用户权限的管理职责,结合公司实际情况,特制定本制度。 第二条相关名词解释 信息化系统:公司ERP系统,炼钢生产管控系统、报表系统、在线质量判定系统、物资计量网、调度日报系统、能力计划系统、物资计量系统、热轧自动仓储、冷轧自动仓储、一卡通、OA、内网、文档管理、IT运行管理等系统。 权限:在信息化系统中用户所能够执行的操作及访问的数据。 第三条本制度的适用范围为公司各单位,其中派驻站、ERP权限变更按照其归属部门流程提报。 第二章职责分工 第四条运营改善部作为信息化系统用户权限的归口管理部门,主要负责各系统内用户权限的命名、审批、上报、配置、监控、删除、通知和培训等管理工作。负责《公司信息化系统用户权限管理制度》的修订、培训、实施、检查。 第五条各相关部室和作业部负责指定本单位权限管理员和权限审批者参与权限管理工作,权限管理员负责本单位信息系统权限的收集、申请、下发、测试、反馈;权限审批者负责本单位申请的系统权限进行审批把关,并对权限申请后形成的业务结果负责。 第六条系统用户负责本人权限测试、保管工作;负责权限密码泄密后的上报和密码更换工作;负责依据本人权限进行相应系统操作。
第三章系统用户权限管理 第七条用户权限的申请 业务部门根据实际业务,需要新建(变更)信息化系统用户的权限,由本部门权限管理员在公司IT运行管理系统中填报权限新增(变更)申请。 第八条用户权限的审批 信息系统用户权限新增(变更)申请在公司IT运行管理系统中由申请单位权限审批者进行审批。 第九条用户权限的系统实现 经公司IT运行管理系统申请的系统权限,由运营改善部权限管理员于收到权限申请后一个工作日内完成权限审批、配置、变更工作,对于审批通过的ERP权限申请,由运营改善部按照《R/3系统用户申请表》、《用户权限变更申请表》要求完成上报工作。 第十条用户权限的系统测试 申请单位权限管理员在接到权限配置完成的信息后,应及时通知相关用户,在两个工作日之内完成系统权限测试,存在问题的由权限管理员反馈运营改善部。申请单位权限管理员在接到权限删除完成的信息后,由权限管理员在两个工作日之内完成系统权限测试,存在问题的由权限管理员反馈运营改善部。 在两个工作日之内无问题反馈的,运营改善部将视此权限设置正确,以后该申请权限存在的任何问题重新按照权限新增(变更)流程处理。 第四章用户权限的使用和管理 第十一条系统权限用户命名由运营改善部权限管理员负责,ERP权限命名规则为首字母Q加上模块名(如:FI、MM、PP)加上连接字符“-”,再加上4位用户
windows源码分析(14)-权限管理篇Windows系统是支持多用户的。每个文件可以设置一个访问控制表(即ACL),在ACL中规定每个用户、每个组对该文件的访问权限。不过,只有Ntfs文件系统中的文件才支持ACL。 (Ntfs文件系统中,每个文件的ACL是作为文件的一个附加属性保存在文件中的)。不仅ntfs文件支持ACL机制,每个内核对象也支持ACL,不过内核对象的ACL保存在对象头部的安全属性字段中,只存在于内存,对象一销毁,ACL就跟着销毁。因此,内核对象的ACL是临时的,文件的ACL则是永久保存在磁盘上的。文件的ACL由文件的创建者设置后保存在文件中,以后只有创建者和管理员才可以修改ACL,内核对象的ACL由对象的创建者在创建时指定。 Windows系统中为每个用户、组、机器指定了一个ID,叫SID。每个用户登录到系统后,每当创建一个进程时,就会为进程创建一个令牌(进程的令牌叫主令牌),该令牌包含了用户、组、特权信息。由于子进程在创建时会继承父进程的令牌,所以一个用户创建的所有进程的令牌都是一样的,包含着相同的用户、组、特权等其他信息,只是令牌ID不同而已。换个角度看,令牌实际上相当于用户身份,进程要访问对象时,就出示它的令牌让系统检查,向系统表明自己是谁,在哪几个组中。 这样,当有了令牌和ACL后,当一个进程(准确说是线程)要访问一个对象时,系统就会检查该进程的令牌,申请的访问权限,然后与ACL比较,看看是否满足权限,不满足的话就拒绝访问。 下面我们看看相关的数据结构 typedef struct _SID { //用户ID、组ID、机器ID UCHAR Revision;//版本号
windows中,权限指的是不同账户对文件,文件夹,注册表等的访问能力在windows中,为不同的账户设置权限很重要,可以防止重要文件被其他人所修改,使系统崩溃 我们可以在控制面板中设置账户时设置权限 作为微软第一个稳定且安全的操作系统,Windows XP经过几年的磨合过渡期,终于以超过Windows系列操作系统50%的用户占有量成为目前用户使用最多的操作系统。在慢慢熟悉了Windows XP后,人们逐渐开始不满足基本的系统应用了,他们更加渴望学习一些较深入且实用的知识,以便能让系统充分发挥出Windows XP 的高级性能。 因此本文以Windows XP Professional版本为平台,引领大家感受一下Windo ws XP在"权限"方面的设计魅力! 一、什么是权限 Windows XP提供了非常细致的权限控制项,能够精确定制用户对资源的访问控制能力,大多数的权限从其名称上就可以基本了解其所能实现的内容。 " 权限"(Permission)是针对资源而言的。也就是说,设置权限只能是以资源为对象,即"设置某个文件夹有哪些用户可以拥有相应的权限",而不能是以用户为主,即"设置某个用户可以对哪些资源拥有权限"。这就意味着"权限"必须针对"资源"而言,脱离了资源去谈权限毫无意义──在提到权限的具体实施时,"某个资源"是必须存在的。 利用权限可以控制资源被访问的方式,如User组的成员对某个资源拥有"读取"操作权限、Administrators组成员拥有"读取+写入+删除"操作权限等。 值得一提的是,有一些Windows用户往往会将"权力"与"权限"两个非常相似的概念搞混淆,这里做一下简单解释:"权力"(Right)主要是针对用户而言的。"权力"通常包含"登录权力" (Logon Right)和"特权"(Privilege)两种。登录权力决定了用户如何登录到计算机,如是否采用本地交互式登录、是否为网络登录等。特权则是一系列权力的总称,这些权力主要用于帮助用户对系统进行管理,如是否允许用户安装或加载驱动程序等。显然,权力与权限有本质上的区别。 二、安全标识符、访问控制列表、安全主体 说到Windows XP的权限,就不能不说说"安全标识符"(Security Identifier, SI D)、"访问控制列表"(Access Control List,ACL)和安全主体(Security Principal)这三个与其息息相关的设计了。 1.安全标识符 安全标识符在Windows XP中,系统是通过SID对用户进行识别的,而不是很多用户认为的"用户名称"。SID可以应用于系统内的所有用户、组、服务或计算机,因为SID是一个具有惟一性、绝对不会重复产生的数值,所以,在删除了一个账户(如
Through the joint creation of clear rules, the establishment of common values, strengthen the code of conduct in individual learning, realize the value contribution to the organization.信息系统权限管理制度正 式版
信息系统权限管理制度正式版 下载提示:此管理制度资料适用于通过共同创造,促进集体发展的明文规则,建立共同的价值观、培养团队精神、加强个人学习方面的行为准则,实现对自我,对组织的价值贡献。文档可以直接使用,也可根据实际需要修订后使用。 为了医院信息管理系统数据的安全管理,避免操作权限失控,并防止一些用户利用取得的权限进行不正确的操作,特制定医院信息管理系统权限管理制度,对各科室工作人员操作医院信息管理系统进行严格的管理,并按照各用户的身份对用户的访问权限进行严格的控制,保证我院信息管理系统的正常运转,特制定本管理制度。 一、总则 1.1用户帐号: 登录信息系统需要有用户帐号,相当
于身份标识,用户帐号采用人员工号的编排,规则如下: (1)采用员工工号编排。 工号以人事部按顺序规定往后编排提供信息科。 1.2密码: 为保护信息安全而对用户帐号进行验证的唯一口令。 1.3权限: 指在信息系统中某一用户的访问级别和权利,包括所能够执行的操作及所能访问的数据。 二、职责与分工 2.1职能部门: (1)权限所有部门:负责某一个模块的
权限管理和该模块的数据安全; a.财务处负责财务收费系统和部分资产系统权限; b.护理部负责病区护士管理系统权限; c.医务部负责医生工作站管理系统的权限; (2)负责指定一个部门权限负责人(建议为科室负责人),对涉及本部门负责权限的新增,变更,注销进行签字审批; (3)本部门人员申请本部门负责权限,需要部门权限负责人签批,签批后由系统管理员设置; 2.2单位权限负责人 (1)负责签批部门间的权限的授予;
WINDOWS 用户权限怎么设置 二O一一年月日製作 首先申明我的系統是香港的繁體正版的 在開始運行里輸入cont rol userp asswo rds2 (權限管理) 按確定 輸入密碼: 注明:一般電腦沒有多個用戶密碼是空的 有多個用戶沒有設定Adm inis trat ou密碼的直
接確定就可以了 電腦使用者帳戶: 下面就是設置用戶權限的: 選擇下面用戶 A d minis tr a to rs, A d min yt A d mi nis tr a to rs管理员组
Gue s t Gue s ts:来宾组 Mrp2P o we r Us e rs,高级用户组 選擇內容
選擇群組成員資格設定改用戶的權限: 下面是你所選擇用戶分配的權限:
Windows NT里,用户被分成许多组,组和组之间都有不同的权限,当然,一个组的用户和用户之间也可以有不同的权限。下面我们来谈谈NT中常见的用户组。 Administrators,管理员组,默认情况下,Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以,只有受信任的人员才可成为该组的成员。 Power Users,高级用户组,Power Users 可以执行除了为Administrators 组保留的任务外的其他任何操作系统任务。分配给Power Users 组的默认权限允许Power Users 组的成员修改整个计算机的设置。但Power Users 不具有将自己添加到Administrators 组的权限。在权限设置中,这个组的权限是仅次于Administrators的。 Users:普通用户组,这个组的用户无法进行有意或无意的改动。因此,用户可以运行经过验证的应用程序,但不可以运行大多数旧版应用程序。Users 组是最安全的组,因为分配给该组的默认权限不允许
系统用户和权限管理制度 第一章总则 第一条为加强系统用户账号和权限的规范化管理,确保各信息系统安全、有序、稳定运行,防范应用风险,特制定本制度。 第二条本制度适用于管理的、基于角色控制和方法设计的各型信息系统,以及以用户口令方式登录的客户端。 第三条系统用户、角色、权限的划分和制定,以人力资源部对部门职能定位和各业务部门内部分工为依据。 第四条协同办公系统用户和权限管理由场办公室负责,其他业务系统的用户和权限管理由各业务部门具体负责。所有信息系统须指定系统管理员负责用户和权限管理的具体操作。 第五条信息系统用户和权限管理的基本原则是: (一)用户、权限和口令设置由系统管理员全面负责。 (二)用户、权限和口令管理必须按照要求进行分配管理。 (三)用户、权限和口令管理采用实名制管理模式。 (四)严禁杜绝一人多账号登记注册。 第二章管理职责 第七条系统管理员职责 创建各类申请用户、用户有效性管理、为用户分配经授权批准使用的业务系统、为用户授权和操作培训和技术指导。 第八条用户职责 用户须严格管理自己用户名和口令,遵守保密性原则,除获得授权或另有规定外,不能将收集的个人信息向任何第三方泄露或公开。系统内所有用户信息均必须采用真实信息,即实名制登记。 第三章用户管理 第十条用户申请和创建
(一)申请人填写基本情况,提交本部门负责人; (二)部门负责人确认申请业务用户的身份权限,并在《用户账号申请和变更表》确认。 (三)经由部门经理进行审批后,由系统管理员创建用户或者变更权限。 (四)系统管理员将创建的用户名、口令告知申请人本人,并要求申请人及时变更口令; (五)系统管理员将《用户账号申请和变更表》存档管理。 第十一条用户变更和停用 (一)人力资源部主管确认此业务用户角色权限或变更原因。 (二)执行部门主管确认此业务用户角色权限或变更原因。 (三)系统管理员变更 系统管理员变更,应及时向上级系统管理员报告,并核对其账户信息、密码以及当时系统中的各类用户信息及文档,核查无误后方可进行工作交接。新任系统管理员应及时变更账户信息及密码。 (四)业务管理员变更 业务变更应及时向本级管理或上级业务管理报告,上级业务管理和系统管理员及时变更业务管理信息。 (五)用户注销 用户因工作岗位变动,调动、离职等原因导致使用权限发生变化或需要注销其分配账号时,应填写《用户账号申请和变更表》,按照用户账号停用的相关流程办理,由系统管理员对其权限进行注销。 第四章安全管理 第十二条使用各信息系统应严格执行国家有关法律、法规,遵守公司的规章制度,确保国家秘密和企业利益安全。 第十三条口令管理 (一)系统管理员创建用户时,应为其分配独立的初始密码,并单独告知申请人。 (二)用户在初次使用系统时,应立即更改初始密码。 (三)用户应定期变更登陆密码。 (四)用户不得将账户、密码泄露给他人。 第十四条帐号审计
信息系统权限管理规定 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
XXX集团有限公司 信息系统权限管理办法 (字〔〕号,印发) 第一章总则 第一条为进一步规范XXX集团有限公司(以下简称集团公司)的信息系统权限管理工作,加强权限控制,确保各信息系统安全、有序、稳定运行,防范应用风险,特制定本办法。 第二条本办法适用于已建成的、基于角色控制和方法设计的各型信息系统,以及以用户口令方式登录的网络设备、网站系统等。 第三条信息系统用户、角色、权限的划分和制定,以人力资源部对部门职能定位和各业务部门内部分工为依据。 第四条信息系统用户和权限管理的基本原则是: (一)用户、权限和口令设置由系统管理员全面负责。 (二)用户、权限和口令管理必须作为项目建设的强制性技术标准或要求。 (三)用户、权限和口令管理采用实名制管理模式。 (四)严禁杜绝一人多账号登记注册。 第二章权限分配职责 第五条部门经理职责 根据公司业务的实际需要,以及信息系统各功能权限,拟定系统管理员以及相关用户人选。 第六条主管领导职责 (一)依据部门主任提交的信息系统权限分配方案,并根据信息系统适用的范围决定同意或者上报权限分配方案;
(二)信息系统适用范围仅限于部门内,且非重要系统,由主管领导决定权限分配方案; (三)信息系统适用范围跨多部门或全公司,由主管领导将权限分配方案上报至总经理。 第七条总经理职责 总经理负责对适用于全公司或重要系统的权限分配方案进行审批。 第三章管理职责 第八条系统管理员职责 负责本级用户管理以及对下一级系统管理员管理。包括创建各类申请用户、用户有效性管理、为用户分配经授权批准使用的业务系统、为业务管理员提供用户授权管理的操作培训和技术指导。 第九条业务管理员职责 负责本级本业务系统角色制定、本级用户授权及下一级本业务系统业务管理员管理。负责将上级创建的角色或自身创建的角色授予相应的本级用户和下一级业务管理员,为本业务系统用户提供操作培训和技术指导,使其有权限实施相应业务信息管理活动。 第十条用户职责 用户须严格管理自己用户名和口令,遵守保密性原则,除获得授权或另有规定外,不能将收集的个人信息向任何第三方泄露或公开。系统内所有用户信息均必须采用真实信息,即实名制登记。 第四章用户管理 第十一条用户申请和创建
xxxxx医院 信息系统用户和权限管理制度 第一章总则 第一条为加强信息系统用户账号和权限的规范化管理,确保各信息系统安全、有序、稳定运行,防范应用风险,特制定本制度。 第二条本制度适用于基于角色控制和方法设计的各型信息系统,以及以用户口令方式登录的信息系统等。 第三条信息系统用户、角色、权限的划分和制定,以人事处对部门职能定位和各部门内部分工为依据。 第四条各系统用户和权限管理由医院办公室、医教科、人事处负责,所有信息系统须指定系统管理员负责用户和权限管理的具体操作。 第五条信息系统用户和权限管理的基本原则是: (一)用户、权限和口令设置由系统管理员全面负责。 (二)用户、权限和口令管理必须作为信息系统的强制性技术标准或要求。 (三)用户、权限和口令管理采用实名制管理模式。 (四)严禁杜绝一人多账号登记注册。 第二章管理职责 第六条系统管理员职责 负责本级用户管理以及对下一级系统用户管理。包括创建各类申请用户、用户有效性管理、为用户分配经授权批准使用的信
息系统、提供用户操作培训和技术指导。 第七条用户职责 用户须严格管理自己用户名和口令,遵守保密性原则,除获得授权或另有规定外,不能将收集的个人信息向任何第三方泄露或公开。系统内所有用户信息均必须采用真实信息,即实名制登记。 第三章用户管理 第八条用户申请和创建 由人事处将人员名单报医教科,医教科报信息中心进行维护; 第九条用户变更和停用 (一)科室发现医师权限与实际情况不符由本人提出书面申请,经科主任签名、质控办审核后报医教科、信息中心进行权限的调整。 (二)调离本院、取消或暂停处方权的人员由人事处、医教科出具书面通知信息中心,信息中心及时取消权限或调整相应权限。 第四章安全管理 第十二条使用各信息系统应严格执行国家有关法律、法规,遵守公司的规章制度,确保国家秘密和企业利益安全。 第十三条口令管理 (一)系统管理员创建用户时,应为其分配独立的初始密码,并单独告知申请人。