Posted: 2004/5月/31 11:03上午 | IP記錄

講一下這個2000的一些privilege。

Privilege，為本地管理員提供了一種手段，可以控制允許什麼人具有什麼權限或者能執行什麼樣的系統操作，

如允許交互式登錄等等。這裡我們說的特權是指特殊操作所需的權限，如備份呀什麼的！一旦授予了某種特權，

這些特權就會包括在使用者的安全訪問令牌中。這是一些基本的概念，可以看以下，比較容易明白。

系統為了管理的方便總是為每個本地組分配了相應的特權，而且從來不改變這個特權，這些東東在NT系統上可以分為內置能力，標準使 用者權力，高級使用者權力這麼幾種，但是在2000中標準權利和高級權力已經被使用者特權所取代，只有在為委派而信任電腦和使用 者帳戶（SeEnableDelegationPrivilege)和把電腦從dock中移出（SeUndockPrivile ge)這兩種情況下可以把NT的權利映射到2000中的特權。
注意一下2000的一些問題。並非所有能力都有匹配的權利，因此，不可能用權力完全匹配組的內置能力。而由於

特定組能力的預定義分配和不能把所有能力複製為權力，就難以區分任務，並且只能強制使用最低特權的概念。

那麼在域一級下就缺少一個安全結構，導致了難以授予管理的功能。2000在AD引入後，就允許區分任務，也可授

予domain和OU相應的管理層次。

下面來談一下具體的一些使用者特權，應當有26個，也有說28個的。

SeTcbPrivilege
成為OS的一部分
允許進程可以像使用者一樣被鑒別，因此可以像使用者一樣訪問相應的資源。只有底層的鑒別服務需要這樣的特權所以無論是工作站，獨 立服務器，還是DC都沒有把這個設為某人權利。

SeMachineAccountPrivilege
增加工作站到域為了這個特權可以啟用，必須保證這個使用者在域控制器本地安全策略中的才行。

SeBackupPrivilege
備份文件和目錄。
允許使用者繞過文件和目錄的權限來做備份。只有當應用程式嘗試訪問NTFS備份API時才檢查這個特權。默認情況下，這個特權分 配給Administrators和Backup Operators。

SeChangeNotifyPrivilege
迴避遍歷檢查。
允許使用者來回移動目錄，但是不能列出文件夾的內容。默認情況下，這種特權被賦予Administrators,

Backup Operators, Power Users, Users ,and Everyone，換句話說就是所有人都有這種權利。

SeSystemTimePrivilege
改變系統時間。
默認情況下Administrators和Power Users有這種權利。

SeCreatePagefilePrivilege
創建分頁文件。
允許使用者創建和改變一個分頁文件的大小。默認情況下，只有Administrators有這個特權。

SeCreateTokenPrivilege
創建令牌對象。
允許進程調用NtCreateToken()或者是其他的Token-Creating APIs創建一個訪問令牌。

SeCreatePermanentPrivilege
創建永久共享對象。
允許進程在2000項目管理器中創建一個目錄對象。

SeDebugPrivilege
調試程式。
允許使用者連接一個Debugger來調試任何進程。默認情況下Administrators有該特權。

SeEnableDelegationPrivilege
為委派而信任電腦和使用者帳戶。
允許使用者為了委派而改變信任，只有當使用者或者是電腦對該對象的帳戶控制標誌有寫權限的時候可以。

SeRemoteShutdownPrivilege
遠程關閉系統。
Administrators在默認情況下有此特權。

SeAuditPrivilege
產生安全審核。
允許一個應用程式在安全日誌中，創建，產生，增加一條記錄。

SeIncreaseQuotaPrivilege
增加限額。
允許一個有寫屬性的進程利用其他進程從而取得更多的處理器限額，這種特權有利於系統調試，但是也有導致
DOS的可能。

SeIncreaseBaseProrityPrivilege
增加調度優先級。
允許一個有寫屬性的進程利用其它進程來獲得更多的執行優先權。有這種特權的使用者可以在Task管理器中改變一個進程的調度優先 權。默認情況Administrators有該特權。

SeLoadDriverPrivilege
安裝和卸載設備驅動程式。
允許使用者安裝和卸載即插即用設備的驅動程式，不是即插即用的不受這個特權影響，但是只能被
Administrators所安裝。因為驅動程式是作為被信任的程式來執行的，這需要很高的特權。而這種特權可能會被用於安裝 惡意程式，和破壞性的訪問。默認情況下Administrators有該特權。

SeSecurityPrivilege
管理審計和安全日誌。
允許使用者指定對像訪問的審計。有這種特權的使用者也可以清空安全日誌。默認情況下Administrators有該特權

。

SeSystemEnvironmentPrivilege
修改firmware環境變量。
允許使用者使用進程通過一個API來設置系統環境變量，另外，也可以讓使用者使用System Properties來做到以上這一步。默認情況下Administrators有該特權。

SeProfileSingleProcessPrivilege
Profile單一進程。
允許使用者使用性能監視器來監視nonsystem進程。默認情況下Administrators有此特權。

SeSystemProfilePrivilege
Profile系統性能。
允許使用者使用性能監視器來監視system進程。默認情況下Administrators有此特權。

SeUndockPrivilege
將電腦中dock中刪除。
允許使用者使用Eject PC從塢中將電腦移出，默認情況下Administrators, Power Users, Users均有此特
權。

SeAssignPrimaryTokenPrivilege
替換一個進程級令牌。
允許一個父進程替換相關的子進程的訪問令牌。

SeRestorePrivilege
恢復文件和目錄。
允許使用者繞過文件及目錄權限來恢復備份文件。默認情況下Administrators和Backup Operators有此特權。

SeShutdownPrivilege
關閉系統。
允許使用者關閉本地電腦。默認情況下Administrators, Backup Operators, Power Users, Users都有該特權，但是在2000 Server中Users沒有此特權。

SeSynchAgentPrivilege
同步目錄服務資料。
允許一個進程提供目錄同步服務，這個特權只有在DC上。默認情況下域的Administrators和LocalSystem帳 戶有此特權。

SeTakeOwnershipPrivilege
取得文件所有者身份。
允許使用者取得在系統中任何可得到的對象的所有者身份，包括：AD對象，文件，文件夾，列印機，註冊表鍵，進程和線程。默認情況 下Administrator有此特權。