什么是 Network 权限?
-
定义: Network 是一个特殊的 SID(S-1-5-2),代表通过网络登录或访问系统的用户、服务或设备。它与网络相关的身份验证和资源访问密切相关。
-
作用: 用于标识和管理通过网络(如 SMB 文件共享、远程服务)访问本地资源的实体,确保适当的权限分配。
-
典型场景: 用户通过局域网访问共享文件夹时,系统将其标记为 Network 登录类型。
Network 权限的具体能力
Network 的权限取决于访问时使用的账户及其所属组,默认包括:
-
文件和文件夹管理:
-
默认权限:
-
无独立的默认文件访问权限,权限继承自网络访问使用的账户。
-
对于共享文件夹,取决于共享和 NTFS 权限的配置(如读取、写入)。
-
-
限制:
- 默认无法访问未共享的本地资源或系统文件夹(如 C:\Windows)。
-
-
网络访问:
-
允许访问配置为网络共享的资源(如 \计算机名\共享文件夹)。
-
权限由共享设置和账户身份决定。
-
-
系统配置:
- 无权修改本地系统设置,除非访问账户属于 Administrators 组。
-
特权:
- 默认拥有 SeNetworkLogonRight(通过网络登录的权限),由系统分配给网络用户。
与 Administrators、Users 和其他登录类型的对比
-
与 Administrators 的对比:
-
Administrators: 拥有完全控制权。
-
Network: 权限由网络访问账户决定,通常较低。
-
-
与 Users 的对比:
-
Users: 标准用户权限固定。
-
Network: 动态权限,随访问账户变化(如 Users 或 Administrators)。
-
-
与 Dialup 的对比:
-
Dialup: 用于拨号连接登录。
-
Network: 用于现代网络访问(如 LAN、Wi-Fi)。
-
-
与 TrustedInstaller 的关系:
- Network 无权修改受 TrustedInstaller 保护的系统文件。
Network 权限的特点
-
动态性: Network 不是固定组,而是登录类型的标识,权限取决于访问账户。
-
网络相关: 主要用于文件共享、打印机共享或远程服务访问。
-
广泛性: 几乎所有网络访问用户都属于此类别。
如何管理 Network 权限?
-
查看权限:
-
Network 本身不直接出现在文件权限中,需检查共享资源的权限。
-
右键共享文件夹 → 属性 → 共享/安全选项卡 → 查看权限。
-
-
配置共享:
-
控制面板 → 网络和共享中心 → 高级共享设置 → 启用文件和打印机共享。
-
文件夹属性 → 共享 → 添加用户或 Everyone → 设置读取/写入权限。
-
-
分配特权:
-
本地安全策略(secpol.msc)→ 本地策略 → 用户权限分配 → “从网络访问此计算机”:
- 默认分配给 Administrators、Users、Everyone,可调整。
-
“拒绝从网络访问此计算机”:可限制特定账户。
-
-
检查日志:
- 事件查看器(eventvwr.msc)→ Windows 日志 → 安全 → 查看登录类型(Logon Type 3 表示网络登录)。
实际应用场景
-
文件共享: 用户通过网络访问 \Server\Docs,权限由账户和共享设置决定。
-
打印机访问: 网络打印机共享,Network 用户读取打印队列。
-
远程服务: 通过网络调用服务(如 RPC),权限由账户控制。
注意事项
-
权限依赖账户: Network 权限由访问使用的账户决定,无独立权限定义。
-
共享 vs NTFS: 网络访问权限是共享权限和 NTFS 权限的交集。
-
安全性: 避免为 Everyone 设置过多权限,防止未经授权的网络访问。
总结
Network 权限是为通过网络访问系统设计的权限状态,广泛用于文件共享和远程连接。它的权限范围完全取决于访问账户所属的安全组(如 Users 或 Administrators),无独立权限定义。相比 TrustedInstaller,它权限较低;相比 Dialup,它适用于现代网络环境。管理上通过共享设置和安全策略控制,适用于网络资源访问场景。