刮大白扁铲图片:用户属性设置，也就是权限设置

自己答，不要复制。
power users 是电源管理帐户，如果没有这个帐户，就没有关机的权限了。

Users 组是最安全的组，他的权限很低。如可以读取浏览，不能写入、创建和删除。

guest 是来宾用户组，网络上或网上邻居的来宾有权限读取和浏览本地资源。

Everyone是访问权限，对于ntfs的硬盘格式来说，如果给某个文件或目录加上这个权限，就可以通过网络访问了。

几个常用的，经常接触就慢慢知道他的用处了。

Windows2000虚拟主机基本权限设置：关于脚本入侵的文章，网上已经是泛滥之势。原创的虽然多，但是抄袭的也不少。很多人http://whois.webhosting.info查询一下某个IP的所有域名，然后找个脚本漏洞进入服务器就以黑客自居。但是我认为windows2000仔细设置下想通过脚本入侵然后提升权限也不是那么容易的。未公布的漏洞，我不知道，所以请不要用来打击我。好了，废话我不多说了，在这里说一下我以为比较安全的win2000虚拟主机的权限设置方法，仅仅是说下权限设置。

一.虚拟主机需要的软件及环境

1.Serv-U5.0.11（似乎不安全，但是也未必）

2.Mysql数据库

3.Mssql数据库

4.PcAnyWhere远程控制

5.杀毒软件，我一般使用诺顿8.0

6.php5

7.ActivePerl5.8

以上各种软件，除Mssql数据库以为，其他的都应去官方网站下载推荐版本安装。下面开始就是安装设置了，从系统安装完开始。假设系统安装的windows2000高级服务器版，系统分为c盘，d盘和e盘，全部是ntfs格式。

二.系统端口设置

虚拟主机，一般同时使用PcanyWhere和终端服务进行控制，终端服务要更改端口，比如修改成8735端口。根据要开放的服务，去设置TCP/IP筛选。为什么不使用本地安全策略了？个人认为TCP/IP筛选比较严格，因为这里是除非明确允许否则拒绝，而本地安全策略是除非明确拒绝否则允许。如果我理解不当，还请指教。TCP/IP筛选设置如下：

TCP端口只允许21，80，5631，8735，10001，10002，10003，10004，10005；IP协议只允许6；UDP端口我没有做过详细测试，不敢乱说，以后测试了再补上。TCP/IP端口里面的10001-10005是设置Serv-U的PASV模式使用的端口，当然也可以使用别的。

本地连接属性里面，卸载所有的其他协议，只留下Internet协议（TCP/IP），顺便把administrator帐号改个复杂点的名字，并且在本地安全策略里面设置不显示上次登陆帐号，对帐号锁定做出合适的设置。然后重新启动计算机，这步设置已经完成。

三.系统权限设置

现在开始安装软件，所有的软件都安装在d盘，e盘作数据备份使用。先安装Serv-U到d:\Serv-U，并且汉化顺便破解，嘿嘿。然后依次安装到d盘。现在开始设置权限。首先二话不说，c盘，d盘和e盘的安全里面把Everyone删除，添加改名后的administrator和system，让他们完全控制。高级里面重置所有子对象的权限并允许传播可继承权限。这样系统所有的文件，目录全部是由改名后的administrator和system控制了，并且自动继承上级目录的权限，下面开始为每个目录设置对应的权限。

运行asp，建立数据库连接需要使用C:\Program Files\Common Files目录下面的文件。在这里，设置C:\Program Files\Common Files权限，加入everyone，权限为读取，列出文件夹目录，读取及运行。还可以使用高级标签进行更加严格的设置，但是我没有做过，不敢胡说。

运行php，需要设置c:\winnt\php.ini的权限，让everyone有读取权限即可。如果php的session目录设置为c:\winnt\temp目录，此目录应该让everyone有读取写入权限。为提高性能，php设置为使用isapi解析，d:\php目录让everyone有读取，列出文件夹目录，读取及运行权限。至于php.ini的设置，这里我就不说了。第一我不很懂，第二我只讲系统权限设置。

运行cgi，设置d:\perl让everyone有读取，列出文件夹目录，读取及运行权限。顺便说下，cgi设置为使用isapi方式解析有利于安全和性能。

现在说下让人头大的Serv-U的设置了。这东西功能确实强大，但是安全性不怎么好，需要我们来改造。最首先的是溢出攻击，5.0.11好象已经没有这个缺陷了。其次是修改ini配置文件，这里已经没有权限修改了，略过不提。据我所知现在唯一的办法就是使用默认的管理帐号和密码添加有写入执行权限的帐号来执行木马了。把默认帐号密码修改掉就完了，这个东西直接使用editplus之类的编辑器打开ServUDaemon.exe和ServUAdmin.exe修改就可以了。如果懒得麻烦，随便什么语言写个程序都很容易作到。我以前写过一个这样的东西，方便自己设置。现在Serv-U基本上没有什么问题了。

至于数据库，权限已经不用设置了，直接继承d盘根目录就可以。至于里面的帐号密码该怎么设置，我也懒得说了。

现在最后一点，就是设置c:\winnt\system32目录和他下面的一些东西了。很多程序运行需要这里的动态连接库，而且这里文件太多，我也没有弄明白所有的，把目录c:\winnt\system32给everyone赋予读取，列出文件夹目录，读取及运行即可。其实，这样做是不安全的，但是别慌，我们还没有完。在这个目录下面，我们还需要对几个特别程序进行单独的设置。首先就是cacls.exe，嘿嘿，先把这个设置了在说别的。这东东是设置权限用的，让它不继承父目录权限，并且让它拒绝任何人访问，因为我们一般不使用这个鸟东西。其他的要设置的程序列表如下：net.exe,net1.exe,cmd.exe,ftp.exe,tftp.exe,telnet.exe，这几个程序设置成只允许改名后的administrator访问。

最后就是每个站点目录使用不同的帐号。

备份文件和目录 Administrators,Backup Operators
产生安全审核 LOCAL SERVICE,NETWORK SERVICE
创建记号对象
创建页面文件 Administrators
创建永久共享对象
从插接工作站中取出计算机 Administrators,Users,Power Users
从网络访问此计算机 Everyone,*S-1-5-21-1409082233-1682526488-725345543-1004,Administrators,Users,Power Users,Backup Operators
从远端系统强制关机 Administrators
调试程序 Administrators
调整进程的内存配额 LOCAL SERVICE,NETWORK SERVICE,Administrators
更改系统时间 Administrators,Power Users
关闭系统 Administrators,Users,Power Users,Backup Operators
管理审核和安全日志 Administrators
还原文件和目录 Administrators,Backup Operators
拒绝本地登录 SUPPORT_388945a0,*S-1-5-21-1409082233-1682526488-725345543-1004,Guest
拒绝从网络访问这台计算机 SUPPORT_388945a0
拒绝作为服务登录
拒绝作为批作业登录
内存中锁定页
配置单一进程 Administrators,Power Users
配置系统性能 Administrators
取得文件或其它对象的所有权 Administrators
替换进程级记号 LOCAL SERVICE,NETWORK SERVICE
跳过遍历检查 Everyone,Administrators,Users,Power Users,Backup Operators
通过终端服务拒绝登录 *S-1-5-21-1409082233-1682526488-725345543-1004
通过终端服务允许登录 Administrators,Remote Desktop Users
同步目录服务数据
修改固件环境值 Administrators
以操作系统方式操作
域中添加工作站
允许计算机和用户帐户被信任以便用于委任
在本地登录 Guest,Administrators,Users,Power Users,Backup Operators
增加进度优先级 Administrators
执行卷维护任务 Administrators
装载和卸载设备驱动程序 Administrators
作为服务登录 NETWORK SERVICE,*S-1-5-21-1409082233-1682526488-725345543-1004
作为批处理作业登录 SUPPORT_388945a0,*S-1-5-21-1409082233-1682526488-725345543-1004

power users是超级用户的意思
组的默认安全设置
在修改任何安全设置之前，非常重要的一点就是考虑默认设置。

有三种可授予用户的基本安全级别。这些安全级别通过 Administrators、Power Users 或 Users 组中的成员身份分配给最终用户。

Administrators

Administrators 组可以执行计算机的维护任务。分配给该组的默认权限允许对整个系统进行完全控制。所以，只有受信任的人员才可成为该组的成员。

Power Users

Power Users 组的成员拥有的权限比 Users 组的成员所拥有的多，但比 Administrators 组的成员所拥有的少。Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。分配给 Power Users 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。

从 Windows NT 4.0 升级时，为了防止组织在升级前使用的应用程序发生向后兼容问题，Restricted Users 组的成员会被自动放入 Power Users 组中。许多在 Windows NT 4.0 上使用的应用程序要求有更高的权限才能正常运行。Windows 2000、Windows XP Professional 和 Windows Server 2003 家族默认的安全设置与 Windows NT 4.0 中的 Power Users 安全设置非常相似。由 Windows NT 4.0 中的 User 运行的任何程序，都可由 Windows 2000、Windows XP Professional 或 Windows Server 2003 家族中的 Power User 运行。

如果不希望将最终用户的权限提升为 Power Users 组权限，您可以让他们成为 Users 组的成员，这样他们将只能运行属于 Windows Logo Program for Software 的应用程序。如果必须支持不属于 Windows Logo Program for Software 的应用程序，则最终用户需要成为 Power Users 组的成员。有关 Windows Logo Program for Software 的信息，请参阅 Microsoft 网站中的“Windows Logo Program for Software”页。

Power Users 可以执行以下操作：

• 运行 Windows 2000、Windows XP Professional 或 Windows Server 2003 家族中属于 Windows Logo program for Software 的应用程序和以前的应用程序。

• 安装不修改操作系统文件的程序或安装系统服务。

• 自定义整个系统的资源，包括打印机、日期/时间、电源选项和其他“控制面板”资源。

• 创建和管理本地用户帐户和组。

• 启动和停止默认情况下不启动的服务。

Power Users 不具有将自己添加到 Administrators 组的权限。Power Users 不能访问 NTFS 卷上的其他用户数据，除非他们获得了这些用户的授权。

警告

• 在 Windows 2000、Windows XP Professional 或 Windows Server 2003 家族的某个成员中运行旧的程序时，通常需要修改对某些系统设置的访问权限。如果默认权限允许 Power Users 运行旧的程序，则同时也可能让 Power User 获得系统的其他权限，甚至是完全的管理控制权限。因此，为了获得最大程度的安全性而又不牺牲程序的功能，最重要的是部署属于 Windows Logo Program for Software 的应用程序。这些程序可在由 Users 组提供的安全配置下正常运行。

• 由于 Power Users 可以安装或修改程序，因而以 Power User 身份连接到 Internet 时可能引起特洛伊木马程序的攻击或其他安全隐患。

Users

Users 组是最安全的组，因为分配给该组的默认权限不允许成员修改操作系统的设置或其他用户的数据。

Users 组提供了一个最安全的程序运行环境。在使用 NTFS 文件系统格式化的卷上，全新安装系统（不是升级的系统）上的默认安全设置用于禁止该组的成员损害操作系统和已安装程序的完整性。Users 不能修改整个系统的注册表设置、操作系统文件或程序文件。Users 可以关闭工作站，但不能关闭服务器。Users 可以创建本地组，但只能修改自己创建的本地组。Users 可以运行属于 Windows Logo Program for Software 的 Windows 2000、Windows XP Professional 或 Windows Server 2003 家族程序（由管理员安装或部署）。Users 对自己的所有数据文件（存储在 %userprofile% 下）和注册表中有关他们自己的那一部分（位于 HKEY_CURRENT_USER 中）具有完全的控制权。

请注意，User 级别的权限通常不允许该类用户正常运行旧的应用程序。要运行这些旧的应用程序，您必须放宽安全设置以允许 Users 组的成员运行这些应用程序，或者必须将 Users 组的成员升级到 Power Users 组。这两种选择都将降低组织的安全性。由于 Users 组的成员肯定能运行 Windows Logo Program for Software 的应用程序，因此最好的做法是仅使用属于 Windows Logo Program for Software 的应用程序。详细信息，请参阅 Microsoft 网站上的 Windows Logo program for Software。

要保证运行 Windows 2000、Windows XP Professional 或 Windows Server 2003 家族的某个成员的系统安全，管理员应该：

• 确保最终用户只是 Users 组的成员。

• 部署可由 Users 组的成员正常运行的程序，如属于 Windows Logo Program for Software 的程序。

Users 将无法运行为 Windows 2000 以前版本所编写的大多数 Windows 程序，因为这些应用程序或者不支持文件系统和注册表安全（如 Windows 95 和 Windows 98），或者具有其他的默认安全设置 (Windows NT)。如果在新安装的 NTFS 系统上运行旧的应用程序有问题，可采取下列措施之一：

1.
安装属于 Windows Logo Program for Software 的新版本应用程序。

2.
将终端用户从 Users 组移到 Power Users 组。

3.
降低 Users 组的默认安全权限。这可以用兼容的安全模板完成。

详情请参阅http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/e5b458fe-e207-456c-9554-60f25f94a915.mspx?mfr=true

这些 人都在回答什么哦?

复制这么多,真烦人很哦

简单的问题,简单的回答.

power users 是电源管理帐户

user 有读取,浏览.没有写入和修改的权限!!