什么是 Users 权限?
-
定义: Users 组是一个内置安全组,默认包含所有标准用户账户(即不属于 Administrators 组的账户)。它是普通用户的主要权限级别。
-
作用: Users 组的权限设计为提供基本功能访问,同时限制对系统关键部分的控制,以确保安全性和稳定性。
Users 权限的具体能力
Users 组的成员拥有有限的权限,主要包括:
-
文件和文件夹管理:
-
默认权限:
-
可以读写自己的用户文件夹(如 C:\Users\用户名)。
-
对公共文件夹(如 C:\Users\Public)有读取和写入权限。
-
-
限制:
-
无法访问其他用户的文件夹(除非明确授权)。
-
对系统文件夹(如 C:\Windows、C:\Program Files)只有读取和执行权限,无法修改或删除。
-
-
-
系统配置:
-
可以调整个人设置(如桌面背景、时区)。
-
无法修改全局系统设置(如网络配置、注册表中的系统键)。
-
-
软件管理:
-
可以运行已安装的程序。
-
无法安装或卸载需要写入系统目录的软件(需要 Administrators 权限)。
-
-
用户管理:
- 只能管理自己的账户(如更改密码),无法影响其他用户。
-
服务和进程:
- 可以查看自己的进程,但无法终止系统进程或服务。
-
硬件管理:
- 无法安装驱动程序或更改硬件配置。
与 Administrators 和 TrustedInstaller 的关系
-
与 Administrators 的对比:
-
Administrators 组拥有系统完全控制权,而 Users 组权限受限,仅限于个人范围。
-
Administrators 可以修改系统文件和设置,Users 则不行。
-
-
与 TrustedInstaller 的关系:
- TrustedInstaller 保护系统文件,Users 组默认无法访问或修改这些文件,甚至连读取某些受保护资源的权限都没有。
Users 权限的特点
-
默认成员:
-
新创建的标准用户账户自动属于 Users 组。
-
Guest 账户不属于 Users 组,而是属于 Guests 组。
-
-
安全性: 限制权限是为了防止普通用户意外损坏系统或访问敏感数据。
-
灵活性: 用户可以通过 Administrators 组的授权获得额外的权限(如访问特定文件夹)。
如何管理 Users 权限?
-
查看组成员:
- 打开“计算机管理”(compmgmt.msc)→ 本地用户和组 → 组 → Users。
-
调整权限:
-
Administrators 可以为 Users 组或特定用户分配额外的文件/文件夹权限。
-
例如:右键文件夹 → 属性 → 安全选项卡 → 编辑权限。
-
-
创建标准用户:
- 通过控制面板或命令行(net user 用户名 密码 /add)创建新用户,默认加入 Users 组。
实际应用场景
-
日常使用: 家庭电脑上的孩子账户通常属于 Users 组,只能访问自己的文件和运行程序。
-
文件共享: 在共享文件夹时,Administrators 可能授予 Users 组读取权限。
-
限制管理: 企业环境中,员工账户设为 Users 组,以防止未经授权的系统更改。
注意事项
-
权限不足: 如果尝试执行需要管理员权限的操作(如安装软件),会提示“需要管理员权限”或弹出 UAC 窗口。
-
与其他组的叠加: 如果一个用户同时属于 Users 和 Administrators 组,则以更高权限(Administrators)为主。
-
安全策略: 在域环境中,管理员可能通过组策略进一步限制 Users 组的权限。
总结
Users 权限是 Windows 中普通用户的默认权限级别,适用于标准账户,旨在提供基本操作能力,同时保护系统免受未经授权的修改。它与 Administrators 权限形成鲜明对比,后者拥有完全控制权,而 Users 组受限于个人范围和只读访问系统资源。TrustedInstaller 则进一步保护核心文件,Users 组无法触及。