日期:2011-06-29  浏览次数:21174 次

讲一下这个2000的一些privilege。
Privilege,为本地管理员提供了一种手段,可以控制允许什么人具有什么权限或者能执行什么样的系统操作,
如允许交互式登陆等等。这里我们说的特权是指特殊操作所需的权限,如备份呀什么的!一旦授予了某种特权,
这些特权就会包括在用户的安全访问令牌中。这是一些基本的概念,可以看以下,比较容易明白。
系统为了管理的方便总是为每个本地组分配了相应的特权,而且从来不改变这个特权,这些东东在NT系统上可以分为内置能力,标准用户权力,高级用户权力这么几种,但是在2000中标准权利和高级权力已经被用户特权所取代,只有在为委派而信任计算机和用户帐户(SeEnableDelegationPrivilege)和把计算机从dock中移出(SeUndockPrivilege)这两种情况下可以把NT的权利映射到2000中的特权。
注意一下2000的一些问题。并非所有能力都有匹配的权利,因此,不可能用权力完全匹配组的内置能力。而由于
特定组能力的预定义分配和不能把所有能力复制为权力,就难以区分任务,并且只能强制使用最低特权的概念。


那么在域一级下就缺少一个安全结构,导致了难以授予管理的功能。2000在AD引入后,就允许区分任务,也可授
予domain和OU相应的管理层次。
下面来谈一下具体的一些用户特权,应当有26个,也有说28个的。
SeTcbPrivilege
成为OS的一部分
允许进程可以像用户一样被鉴别,因此可以像用户一样访问相应的资源。只有底层的鉴别服务需要这样的特权所以无论是工作站,独立服务器,还是DC都没有把这个设为某人权利。
SeMachineAccountPrivilege
添加工作站到域为了这个特权可以启用,必须保证这个用户在域控制器本地安全策略中的才行。
SeBackupPrivilege
备份文件和目录。
允许用户绕过文件和目录的权限来做备份。只有当应用程序尝试访问NTFS备份API时才检查这个特权。默认情况下,这个特权分配给Administrators和Backup Operators。
SeChangeNotifyPrivilege
回避遍历检查。
允许用户来回移动目录,但是不能列出文件夹的内容。默认情况下,这种特权被赋予Administrators,
Backup Operators, Power Users, Users ,and Everyone,换句话说就是所有人都有这种权利。
SeSystemTimePrivilege
改变系统时间。
默认情况下Administrators和Power Users有这种权利。
SeCreatePagefilePrivilege
创建分页文件。
允许用户创建和改变一个分页文件的大小。默认情况下,只有Administrators有这个特权。
SeCreateTokenPrivilege
创建令牌对象。
允许进程调用NtCreateToken()或者是其他的Token-Creating APIs创建一个访问令牌。
SeCreatePermanentPrivilege
创建永久共享对象。
允许进程在2000项目管理器中创建一个目录对象。
SeDebugPrivilege
调试程序。
允许用户连接一个Debugger来调试任何进程。默认情况下Administrators有该特权。
SeEnableDelegationPrivilege
为委派而信任计算机和用户帐户。
允许用户为了委派而改变信任,只有当用户或者是计算机对该对象的帐户控制标志有写权限的时候可以。
SeRemoteShutdownPrivilege
远程关闭系统。
Administrators在默认情况下有此特权。
SeAuditPrivilege
产生安全审核。
允许一个应用程序在安全日志中,创建,产生,增加一条记录。
SeIncreaseQuotaPrivilege
增加限额。
允许一个有写属性的进程利用其他进程从而取得更多的处理器限额,这种特权有利于系统调试,但是也有导致
DOS的可能。
SeIncreaseBaseProrityPrivilege
增加调度优先级。
允许一个有写属性的进程利用其它进程来获得更多的执行优先权。有这种特权的用户可以在Task管理器中改变一个进程的调度优先权。默认情况Administrators有该特权。