ResourceKit中文版帮助[12]

系统为了管理的方便总是为每个本地组分配了相应的特权，而且从来不改变这个特权，这些东东在NT系统上可以分为内置能力，标准用户权力，高级用户权力这么几种，但是在2000中标准权利和高级权力已经被用户特权所取代，只有在为委派而信任计算机和用户帐户（SeEnableDelegationPrivilege）和把计算机从dock中移出（SeUndockPrivilege）这两种情况下可以把NT的权利映射到2000中的特权。注意一下2000的一些问题。并非所有能力都有匹配的权利，因此，不可能用权力完全匹配组的内置能力。而由于特定组能力的预定义分配和不能把所有能力复制为权力，就难以区分任务，并且只能强制使用最低特权的概念。  
那么在域一级下就缺少一个安全结构，导致了难以授予管理的功能。2000在AD引入后，就允许区分任务，也可授予domain和OU相应的管理层次。  

下面来谈一下具体的一些用户特权，应当有26个，也有说28个的。  

SeTcbPrivilege  
成为OS的一部分允许进程可以像用户一样被鉴别，因此可以像用户一样访问相应的资源。只有底层的鉴别服务需要这样的特权，所以无论是工作站，独立服务器，还是DC都没有把这个设为某人权利。  
SeMachineAccountPrivilege  
添加工作站到域 为了这个特权可以启用，必须保证这个用户在域控制器本地安全策略中的才行。  

SeBackupPrivilege  
备份文件和目录。  
允许用户绕过文件和目录的权限来做备份。只有当应用程序尝试访问NTFS备份API时才检查这个特权。默认情况下，这个特权分配给Administrators和Backup Operators。  

SeChangeNotifyPrivilege  
回避遍历检查。  
允许用户来回移动目录，但是不能列出文件夹的内容。默认情况下，这种特权被赋予Administrators,  
Backup Operators, Power Users, Users ,and Everyone，换句话说就是所有人都有这种权利。  

SeSystemTimePrivilege  
改变系统时间。  
默认情况下Administrators和Power Users有这种权利。  

SeCreatePagefilePrivilege  
创建分页文件。  
允许用户创建和改变一个分页文件的大小。默认情况下，只有Administrators有这个特权。  

SeCreateTokenPrivilege  
创建令牌对象。  
允许进程调用NtCreateToken()或者是其他的Token-Creating APIs创建一个访问令牌。  

SeCreatePermanentPrivilege  
创建永久共享对象。  
允许进程在2000项目管理器中创建一个目录对象。  

SeDebugPrivilege  
调试程序。  
允许用户连接一个Debugger来调试任何进程。默认情况下Administrators有该特权。  

SeEnableDelegationPrivilege  
为委派而信任计算机和用户帐户。  
允许用户为了委派而改变信任，只有当用户或者是计算机对该对象的帐户控制标志有写权限的时候可以。  

SeRemoteShutdownPrivilege  
远程关闭系统。  
Administrators在默认情况下有此特权。  

SeAuditPrivilege  
产生安全审核。  
允许一个应用程序在安全日志中，创建，产生，增加一条记录。  

SeIncreaseQuotaPrivilege  
增加限额。  
允许一个有写属性的进程利用其他进程从而取得更多的处理器限额，这种特权有利于系统调试，但是也有导致DOS的可能。  

SeIncreaseBaseProrityPrivilege  
增加调度优先级。允许一个有写属性的进程利用其它进程来获得更多的执行优先权。有这种特权的用户可以在Task管理器中改变一 个进程的调度优先权。默认情况Administrators有该特权。  

SeLoadDriverPrivilege  
安装和卸载设备驱动程序。  
允许用户安装和卸载即插即用设备的驱动程序，不是即插即用的不受这个特权影响，但是只能被  

Administrators所安装。因为驱动程序是作为被信任的程序来运行的，这需要很高的特权。而这种特权可能会被用于安装恶意程序，和破坏性的访问。默认情况下Administrators有该特权。  

SeSecurityPrivilege  
管理审计和安全日志。  
允许用户指定对象访问的审计。有这种特权的用户也可以清空安全日志。默认情况下Administrators有该特权。  

SeSystemEnvironmentPrivilege  
修改firmware环境变量。