内网学习：工作组用户与权限

---

一、本地用户组介绍

本地工作组介绍

计算机的身份可以分为两种：本地工作组和域。我们的电脑都是默认本地工作组的形式。
本地工作组的所有账号、密码、用户组等信息均保存在电脑的本地文件中。即使没有网络，只要设备能够开机，输入本地账户和密码即可登录。

用户与组的关系

在本地电脑中，一般有两种角色：用户和组。

• 用户：具体的账户，用于访问系统。
• 组：用于管理权限，可以包含多个用户。

一个用户可以属于多个组，而一个组也可以包含多个用户。通过分配不同组的权限，可以间接控制用户的权限级别。

---

二、四种用户类型及权限比较

本地系统最高权限（System账户）

System账户是Windows系统内置的专用账户，专为系统服务和进程设计，权限极高。

特性

• SYSTEM账户是本地权限最高的账户。
• 系统关键服务和进程均以System用户运行，如winlogon.exe、svchost.exe等。
• 注册表中某些关键位置仅SYSTEM账户可访问。

Administrator与System账户的区别

• Administrator账户：系统内置的超级管理员，主要用于日常管理任务，例如安装程序、修改系统设置等。
• System账户：系统核心账户，运行操作系统服务，能够执行内核级别的操作和系统服务任务，几乎能够访问所有系统资源。

---

本地最高管理员（Administrator用户）

Administrator是Windows系统内置的超级管理员账户，默认权限最高，具备完全控制系统的能力。

特性

1. 默认状态：
   • 家庭版：Administrator账户默认禁用。
   • 专业版：默认启用。
   • Server版本：默认启用。
2. 唯一标识：Administrator账户的安全标识符（SID）尾号为500。
3. 权限所属：默认加入Administrators组，拥有该组的全部权限。

---

本地普通管理员

普通管理员是加入了Administrators组的用户，与Administrator账户相比权限稍受限制，主要受UAC机制影响。我们的个人电脑通常就是本地普通管理员用户。

特性

1. 虽然普通管理员用户可以执行多数管理操作，但某些任务需要额外确认（如修改系统关键配置）。
2. 必须右键选择“以管理员身份运行”才能完成高权限任务。

---

本地普通用户

普通用户是系统中新建的默认用户，权限受限，仅能完成一般任务，无法执行系统级操作。

特性

1. 默认属于User组，缺乏管理员权限。
2. 在执行高权限任务（如安装程序、修改系统设置）时，会弹出UAC提示，需输入管理员账户和密码完成操作。

操作示例：
尝试安装程序时，系统会提示输入管理员凭据以继续。

---

三、UAC认证介绍

UAC简介

UAC（User Account Control，用户帐户控制）是微软在Windows Vista及更高版本中推出的一种安全控制机制。其主要目的是防止未经授权的操作影响系统安全，例如：

• 防止恶意软件修改系统关键配置。
• 提供用户操作确认机制，增强系统防护能力。
  

---

UAC触发条件

以下场景会触发UAC提示：

1. 修改Windows Update配置；
2. 增加或删除用户帐户；
3. 改变用户的帐户类型；
4. 改变UAC设置；
5. 安装ActiveX；
6. 安装或卸载程序；
7. 安装设备驱动程序；
8. 修改和设置家长控制；
9. 增加或修改注册表；
10. 将文件移动或复制到Program Files或是Windows目录；
11. 访问其他用户目录

---

UAC提示类型

1. 许可提示：当管理员账户尝试执行高权限任务时，系统仅弹出确认提示，无需额外凭据。
2. 凭据提示：普通用户执行高权限任务时，需输入管理员凭据。

---

UAC设置

UAC提供四种通知级别：

1. 始终通知：所有操作都会触发提示，适用于最高安全需求。
2. 默认通知：仅在程序尝试更改系统时触发。
3. 低干扰模式：仅触发关键提示，不影响桌面操作。
4. 从不通知：完全关闭UAC，不推荐使用。

设置方式：按Win+R，输入msconfig，选择UAC设置进行调整。

---

对比总结

用户权限	UAC认证	备注
超级管理员（Administrator）	无需认证	权限最高，不受限制
普通管理员	许可提示	需右键“以管理员身份运行”
普通用户	凭据提示	需管理员账户和密码认证