講一下這個2000的一些privilege。

Privilege，為本地管理員提供了一種手段，可以控制允許什么人具有什么權(quán)限或者能執(zhí)行什么樣的系統(tǒng)操作，

如允許交互式登陸等等。這里我們說的特權(quán)是指特殊操作所需的權(quán)限，如備份呀什么的！一旦授予了某種特權(quán)，

這些特權(quán)就會包括在用戶的安全訪問令牌中。這是一些基本的概念，可以看以下，比較容易明白。

系統(tǒng)為了管理的方便總是為每個本地組分配了相應(yīng)的特權(quán)，而且從來不改變這個特權(quán)，這些東東在NT系統(tǒng)上可以分為內(nèi)置能力，標(biāo)準(zhǔn)用戶權(quán)力，高級用戶權(quán)力這么幾種，但是在2000中標(biāo)準(zhǔn)權(quán)利和高級權(quán)力已經(jīng)被用戶特權(quán)所取代，只有在為委派而信任計算機和用戶帳戶（SeEnableDelegationPrivilege)和把計算機從dock中移出（SeUndockPrivilege)這兩種情況下可以把NT的權(quán)利映射到2000中的特權(quán)。 注意一下2000的一些問題。并非所有能力都有匹配的權(quán)利，因此，不可能用權(quán)力完全匹配組的內(nèi)置能力。而由于

特定組能力的預(yù)定義分配和不能把所有能力復(fù)制為權(quán)力，就難以區(qū)分任務(wù)，并且只能強制使用最低特權(quán)的概念。

那么在域一級下就缺少一個安全結(jié)構(gòu)，導(dǎo)致了難以授予管理的功能。2000在AD引入后，就允許區(qū)分任務(wù)，也可授

予domain和OU相應(yīng)的管理層次。

下面來談一下具體的一些用戶特權(quán)，應(yīng)當(dāng)有26個，也有說28個的。

SeTcbPrivilege 成為OS的一部分 允許進程可以像用戶一樣被鑒別，因此可以像用戶一樣訪問相應(yīng)的資源。只有底層的鑒別服務(wù)需要這樣的特權(quán)所以無論是工作站，獨立服務(wù)器，還是DC都沒有把這個設(shè)為某人權(quán)利。

SeMachineAccountPrivilege 添加工作站到域為了這個特權(quán)可以啟用，必須保證這個用戶在域控制器本地安全策略中的才行。

SeBackupPrivilege 備份文件和目錄。 允許用戶繞過文件和目錄的權(quán)限來做備份。只有當(dāng)應(yīng)用程序嘗試訪問NTFS備份API時才檢查這個特權(quán)。默認情況下，這個特權(quán)分配給Administrators和Backup Operators。

SeChangeNotifyPrivilege 回避遍歷檢查。 允許用戶來回移動目錄，但是不能列出文件夾的內(nèi)容。默認情況下，這種特權(quán)被賦予Administrators,

Backup Operators, Power Users, Users ,and Everyone，換句話說就是所有人都有這種權(quán)利。

SeSystemTimePrivilege 改變系統(tǒng)時間。 默認情況下Administrators和Power Users有這種權(quán)利。

SeCreatePagefilePrivilege 創(chuàng)建分頁文件。 允許用戶創(chuàng)建和改變一個分頁文件的大小。默認情況下，只有Administrators有這個特權(quán)。

SeCreateTokenPrivilege 創(chuàng)建令牌對象。 允許進程調(diào)用NtCreateToken()或者是其他的Token-Creating APIs創(chuàng)建一個訪問令牌。

SeCreatePermanentPrivilege 創(chuàng)建永久共享對象。 允許進程在2000項目管理器中創(chuàng)建一個目錄對象。

SeDebugPrivilege 調(diào)試程序。 允許用戶連接一個Debugger來調(diào)試任何進程。默認情況下Administrators有該特權(quán)。

SeEnableDelegationPrivilege 為委派而信任計算機和用戶帳戶。 允許用戶為了委派而改變信任，只有當(dāng)用戶或者是計算機對該對象的帳戶控制標(biāo)志有寫權(quán)限的時候可以。

SeRemoteShutdownPrivilege 遠程關(guān)閉系統(tǒng)。 Administrators在默認情況下有此特權(quán)。

SeAuditPrivilege 產(chǎn)生安全審核。 允許一個應(yīng)用程序在安全日志中，創(chuàng)建，產(chǎn)生，增加一條記錄。

SeIncreaseQuotaPrivilege 增加限額。 允許一個有寫屬性的進程利用其他進程從而取得更多的處理器限額，這種特權(quán)有利于系統(tǒng)調(diào)試，但是也有導(dǎo)致 DOS的可能。

SeIncreaseBaseProrityPrivilege 增加調(diào)度優(yōu)先級。 允許一個有寫屬性的進程利用其它進程來獲得更多的執(zhí)行優(yōu)先權(quán)。有這種特權(quán)的用戶可以在Task管理器中改變一個進程的調(diào)度優(yōu)先權(quán)。默認情況Administrators有該特權(quán)。

SeLoadDriverPrivilege 安裝和卸載設(shè)備驅(qū)動程序。 允許用戶安裝和卸載即插即用設(shè)備的驅(qū)動程序，不是即插即用的不受這個特權(quán)影響，但是只能被 Administrators所安裝。因為驅(qū)動程序是作為被信任的程序來運行的，這需要很高的特權(quán)。而這種特權(quán)可能會被用于安裝惡意程序，和破壞性的訪問。默認情況下Administrators有該特權(quán)。

SeSecurityPrivilege 管理審計和安全日志。 允許用戶指定對象訪問的審計。有這種特權(quán)的用戶也可以清空安全日志。默認情況下Administrators有該特權(quán)

。

SeSystemEnvironmentPrivilege 修改firmware環(huán)境變量。 允許用戶使用進程通過一個API來設(shè)置系統(tǒng)環(huán)境變量，另外，也可以讓用戶使用System Properties來做到以上這一步。默認情況下Administrators有該特權(quán)。

SeProfileSingleProcessPrivilege Profile單一進程。 允許用戶使用性能監(jiān)視器來監(jiān)視nonsystem進程。默認情況下Administrators有此特權(quán)。

SeSystemProfilePrivilege Profile系統(tǒng)性能。 允許用戶使用性能監(jiān)視器來監(jiān)視system進程。默認情況下Administrators有此特權(quán)。

SeUndockPrivilege 將計算機中dock中刪除。 允許用戶使用Eject PC從塢中將計算機移出，默認情況下Administrators, Power Users, Users均有此特 權(quán)。

SeAssignPrimaryTokenPrivilege 替換一個進程級令牌。 允許一個父進程替換相關(guān)的子進程的訪問令牌。

SeRestorePrivilege 恢復(fù)文件和目錄。 允許用戶繞過文件及目錄權(quán)限來恢復(fù)備份文件。默認情況下Administrators和Backup Operators有此特權(quán)。

SeShutdownPrivilege 關(guān)閉系統(tǒng)。 允許用戶關(guān)閉本地計算機。默認情況下Administrators, Backup Operators, Power Users, Users都有該特權(quán)，但是在2000 Server中Users沒有此特權(quán)。

SeSynchAgentPrivilege 同步目錄服務(wù)數(shù)據(jù)。 允許一個進程提供目錄同步服務(wù)，這個特權(quán)只有在DC上。默認情況下域的Administrators和LocalSystem帳戶有此特權(quán)。

SeTakeOwnershipPrivilege 取得文件所有者身份。 允許用戶取得在系統(tǒng)中任何可得到的對象的所有者身份，包括：AD對象，文件，文件夾，打印機，注冊表鍵，進程和線程。默認情況下Administrator有此特權(quán)。