什么是“本地账户”权限?
-
定义: 本地账户是存储在本地计算机的安全账户管理器(SAM)数据库中的用户账户,而不是域控制器中的账户。它们的权限取决于账户所属的安全组(如 Users、Administrators 等)。
-
作用: 本地账户用于独立设备或非域环境的身份验证,其权限由本地策略和组成员身份决定。
“本地账户”权限的具体能力
本地账户的权限并非固定,而是取决于它所属的组。常见情况如下:
-
默认属于 Users 组:
-
文件和文件夹:
-
对自己的用户文件夹(如 C:\Users\用户名)有完全控制权。
-
对公共文件夹(如 C:\Users\Public)有读取和写入权限。
-
对系统文件夹(如 C:\Windows)只有读取和执行权限。
-
-
系统配置: 仅能调整个人设置,无法更改全局系统配置。
-
软件管理: 可以运行程序,但无法安装需要管理员权限的软件。
-
-
属于 Administrators 组:
- 如果本地账户被添加到 Administrators 组,则拥有完全控制权(详见 Administrators 权限)。
-
属于 Guests 组:
- 如果是 Guest 或类似账户,权限极低,仅限于基本访问(详见 Guests 权限)。
与域账户、其他组的关系
-
与域账户的对比:
-
本地账户: 仅在创建它的计算机上有效,权限由本地策略管理。
-
域账户: 在域环境中有效,权限由域控制器分配,可跨多台计算机使用。
-
-
与 Users 的关系:
- 默认情况下,新建的本地账户属于 Users 组,权限与标准用户一致。
-
与 Administrators 的关系:
- 本地账户可以被提升为 Administrators 组成员,从而获得管理员权限。
-
与 Authenticated Users 的关系:
- 本地账户登录后属于 Authenticated Users,除非是匿名或 Guest 类型的账户。
-
与 TrustedInstaller 的关系:
- 本地账户(无论权限级别)默认无法修改受 TrustedInstaller 保护的系统文件。
“本地账户”权限的特点
-
独立性: 本地账户的权限仅在本地计算机上有效,不受网络或域策略影响。
-
灵活性: 权限取决于所属组,可以是低权限(Users/Guests)或高权限(Administrators)。
-
默认状态:
-
安装 Windows 时创建的第一个账户通常是本地账户并属于 Administrators 组。
-
Guest 账户也是本地账户,默认属于 Guests 组且禁用。
-
如何管理“本地账户”权限?
-
创建本地账户:
-
控制面板 → 用户账户 → 添加新用户。
-
命令行:net user 用户名 密码 /add。
-
-
查看和调整组成员:
-
打开“计算机管理”(compmgmt.msc)→ 本地用户和组 → 用户 → 右键账户 → 属性 → 隶属于。
-
默认属于 Users,可手动添加到 Administrators 或其他组。
-
-
权限分配:
- 对文件/文件夹:右键 → 属性 → 安全选项卡 → 编辑 → 为本地账户设置权限。
-
启用/禁用账户:
- 命令行:net user 用户名 /active:yes 或 /active:no。
实际应用场景
-
单机使用: 在家用电脑上创建本地账户给家人使用,默认权限为 Users,限制系统更改。
-
管理员账户: 将本地账户添加到 Administrators 组,用于管理设备。
-
临时访问: 使用本地 Guest 账户(属于 Guests 组)为访客提供受限访问。
注意事项
-
权限取决于组: “本地账户”本身没有固定权限,其能力由所属组(如 Users 或 Administrators)定义。
-
安全性: 本地账户若设为 Administrators 且密码弱,可能被恶意利用。
-
与 UAC 的交互: 即使是 Administrators 组的本地账户,某些操作仍需通过用户账户控制(UAC)提升权限。
总结
“本地账户”权限不是一个独立的权限级别,而是指在本地计算机上创建的账户的权限状态。其具体能力取决于账户所属的安全组:默认情况下为 Users 组(标准权限),可以提升至 Administrators 组(完全控制),或设为 Guests 组(最低权限)。它与域账户不同,仅限单机有效,且受限于 TrustedInstaller 对系统核心资源的保护。
Comments