講一下這個(gè)2000的一些privilege。

Privilege，為本地管理員提供了一種手段，可以控制允許什么人具有什么權(quán)限或者能執(zhí)行什么樣的系統(tǒng)操作，

如允許交互式登陸等等。這里我們說(shuō)的特權(quán)是指特殊操作所需的權(quán)限，如備份呀什么的！一旦授予了某種特權(quán)，

這些特權(quán)就會(huì)包括在用戶的安全訪問(wèn)令牌中。這是一些基本的概念，可以看以下，比較容易明白。

系統(tǒng)為了管理的方便總是為每個(gè)本地組分配了相應(yīng)的特權(quán)，而且從來(lái)不改變這個(gè)特權(quán)，這些東東在NT系統(tǒng)上可以分為內(nèi)置能力，標(biāo)準(zhǔn)用戶權(quán)力，高級(jí)用戶權(quán)力這么幾種，但是在2000中標(biāo)準(zhǔn)權(quán)利和高級(jí)權(quán)力已經(jīng)被用戶特權(quán)所取代，只有在為委派而信任計(jì)算機(jī)和用戶帳戶（SeEnableDelegationPrivilege)和把計(jì)算機(jī)從dock中移出（SeUndockPrivilege)這兩種情況下可以把NT的權(quán)利映射到2000中的特權(quán)。 注意一下2000的一些問(wèn)題。并非所有能力都有匹配的權(quán)利，因此，不可能用權(quán)力完全匹配組的內(nèi)置能力。而由于

特定組能力的預(yù)定義分配和不能把所有能力復(fù)制為權(quán)力，就難以區(qū)分任務(wù)，并且只能強(qiáng)制使用最低特權(quán)的概念。

那么在域一級(jí)下就缺少一個(gè)安全結(jié)構(gòu)，導(dǎo)致了難以授予管理的功能。2000在AD引入后，就允許區(qū)分任務(wù)，也可授

予domain和OU相應(yīng)的管理層次。

下面來(lái)談一下具體的一些用戶特權(quán)，應(yīng)當(dāng)有26個(gè)，也有說(shuō)28個(gè)的。

SeTcbPrivilege 成為OS的一部分 允許進(jìn)程可以像用戶一樣被鑒別，因此可以像用戶一樣訪問(wèn)相應(yīng)的資源。只有底層的鑒別服務(wù)需要這樣的特權(quán)所以無(wú)論是工作站，獨(dú)立服務(wù)器，還是DC都沒(méi)有把這個(gè)設(shè)為某人權(quán)利。

SeMachineAccountPrivilege 添加工作站到域?yàn)榱诉@個(gè)特權(quán)可以啟用，必須保證這個(gè)用戶在域控制器本地安全策略中的才行。

SeBackupPrivilege 備份文件和目錄。 允許用戶繞過(guò)文件和目錄的權(quán)限來(lái)做備份。只有當(dāng)應(yīng)用程序嘗試訪問(wèn)NTFS備份API時(shí)才檢查這個(gè)特權(quán)。默認(rèn)情況下，這個(gè)特權(quán)分配給Administrators和Backup Operators。

SeChangeNotifyPrivilege 回避遍歷檢查。 允許用戶來(lái)回移動(dòng)目錄，但是不能列出文件夾的內(nèi)容。默認(rèn)情況下，這種特權(quán)被賦予Administrators,

Backup Operators, Power Users, Users ,and Everyone，換句話說(shuō)就是所有人都有這種權(quán)利。

SeSystemTimePrivilege 改變系統(tǒng)時(shí)間。 默認(rèn)情況下Administrators和Power Users有這種權(quán)利。

SeCreatePagefilePrivilege 創(chuàng)建分頁(yè)文件。 允許用戶創(chuàng)建和改變一個(gè)分頁(yè)文件的大小。默認(rèn)情況下，只有Administrators有這個(gè)特權(quán)。

SeCreateTokenPrivilege 創(chuàng)建令牌對(duì)象。 允許進(jìn)程調(diào)用NtCreateToken()或者是其他的Token-Creating APIs創(chuàng)建一個(gè)訪問(wèn)令牌。

SeCreatePermanentPrivilege 創(chuàng)建永久共享對(duì)象。 允許進(jìn)程在2000項(xiàng)目管理器中創(chuàng)建一個(gè)目錄對(duì)象。

SeDebugPrivilege 調(diào)試程序。 允許用戶連接一個(gè)Debugger來(lái)調(diào)試任何進(jìn)程。默認(rèn)情況下Administrators有該特權(quán)。

SeEnableDelegationPrivilege 為委派而信任計(jì)算機(jī)和用戶帳戶。 允許用戶為了委派而改變信任，只有當(dāng)用戶或者是計(jì)算機(jī)對(duì)該對(duì)象的帳戶控制標(biāo)志有寫(xiě)權(quán)限的時(shí)候可以。

SeRemoteShutdownPrivilege 遠(yuǎn)程關(guān)閉系統(tǒng)。 Administrators在默認(rèn)情況下有此特權(quán)。

SeAuditPrivilege 產(chǎn)生安全審核。 允許一個(gè)應(yīng)用程序在安全日志中，創(chuàng)建，產(chǎn)生，增加一條記錄。

SeIncreaseQuotaPrivilege 增加限額。 允許一個(gè)有寫(xiě)屬性的進(jìn)程利用其他進(jìn)程從而取得更多的處理器限額，這種特權(quán)有利于系統(tǒng)調(diào)試，但是也有導(dǎo)致 DOS的可能。

SeIncreaseBaseProrityPrivilege 增加調(diào)度優(yōu)先級(jí)。 允許一個(gè)有寫(xiě)屬性的進(jìn)程利用其它進(jìn)程來(lái)獲得更多的執(zhí)行優(yōu)先權(quán)。有這種特權(quán)的用戶可以在Task管理器中改變一個(gè)進(jìn)程的調(diào)度優(yōu)先權(quán)。默認(rèn)情況Administrators有該特權(quán)。

SeLoadDriverPrivilege 安裝和卸載設(shè)備驅(qū)動(dòng)程序。 允許用戶安裝和卸載即插即用設(shè)備的驅(qū)動(dòng)程序，不是即插即用的不受這個(gè)特權(quán)影響，但是只能被 Administrators所安裝。因?yàn)轵?qū)動(dòng)程序是作為被信任的程序來(lái)運(yùn)行的，這需要很高的特權(quán)。而這種特權(quán)可能會(huì)被用于安裝惡意程序，和破壞性的訪問(wèn)。默認(rèn)情況下Administrators有該特權(quán)。

SeSecurityPrivilege 管理審計(jì)和安全日志。 允許用戶指定對(duì)象訪問(wèn)的審計(jì)。有這種特權(quán)的用戶也可以清空安全日志。默認(rèn)情況下Administrators有該特權(quán)

。

SeSystemEnvironmentPrivilege 修改firmware環(huán)境變量。 允許用戶使用進(jìn)程通過(guò)一個(gè)API來(lái)設(shè)置系統(tǒng)環(huán)境變量，另外，也可以讓用戶使用System Properties來(lái)做到以上這一步。默認(rèn)情況下Administrators有該特權(quán)。

SeProfileSingleProcessPrivilege Profile單一進(jìn)程。 允許用戶使用性能監(jiān)視器來(lái)監(jiān)視nonsystem進(jìn)程。默認(rèn)情況下Administrators有此特權(quán)。

SeSystemProfilePrivilege Profile系統(tǒng)性能。 允許用戶使用性能監(jiān)視器來(lái)監(jiān)視system進(jìn)程。默認(rèn)情況下Administrators有此特權(quán)。

SeUndockPrivilege 將計(jì)算機(jī)中dock中刪除。 允許用戶使用Eject PC從塢中將計(jì)算機(jī)移出，默認(rèn)情況下Administrators, Power Users, Users均有此特 權(quán)。

SeAssignPrimaryTokenPrivilege 替換一個(gè)進(jìn)程級(jí)令牌。 允許一個(gè)父進(jìn)程替換相關(guān)的子進(jìn)程的訪問(wèn)令牌。

SeRestorePrivilege 恢復(fù)文件和目錄。 允許用戶繞過(guò)文件及目錄權(quán)限來(lái)恢復(fù)備份文件。默認(rèn)情況下Administrators和Backup Operators有此特權(quán)。

SeShutdownPrivilege 關(guān)閉系統(tǒng)。 允許用戶關(guān)閉本地計(jì)算機(jī)。默認(rèn)情況下Administrators, Backup Operators, Power Users, Users都有該特權(quán)，但是在2000 Server中Users沒(méi)有此特權(quán)。

SeSynchAgentPrivilege 同步目錄服務(wù)數(shù)據(jù)。 允許一個(gè)進(jìn)程提供目錄同步服務(wù)，這個(gè)特權(quán)只有在DC上。默認(rèn)情況下域的Administrators和LocalSystem帳戶有此特權(quán)。

SeTakeOwnershipPrivilege 取得文件所有者身份。 允許用戶取得在系統(tǒng)中任何可得到的對(duì)象的所有者身份，包括：AD對(duì)象，文件，文件夾，打印機(jī)，注冊(cè)表鍵，進(jìn)程和線程。默認(rèn)情況下Administrator有此特權(quán)。