该问题最初源于一个命名管道安全问题,即“BUILTIN\Power Users”组的成员无法连接到管道,即使该组被允许这样做。
我做了以下简单测试来证明这个概念:
- 创建一个文件并仅允许“BUILTIN\Administrators”和“BUILTIN\Power Users”访问该文件。
- 确保非管理员用户位于“BUILTIN\Power Users”组中。
- 尽管必须修改,但用户不得修改该文件。即使在计算机重启后也是如此=)
- 如果使用“BUILTIN\Users”或任何其他自定义组来允许访问,它就可以正常工作。
此测试已在搭载 Windows 10 的不同计算机上重现。
有人能解释一下“BUILTIN\Power Users”组是否真的有什么特殊之处,因此它不能用作普通的 Windows 组来限制组成员身份的访问?
我知道“高级用户”的概念已被弃用,并且该组只是为了兼容性而保留的,但是,这仍然有什么不同吗?
答案1
第一步是贬低高级用户(并将受限用户重命名为用户)。下一步是将其删除。它不再具有任何权力。它没有安全特权(查看 Secpol.msc - 本地安全策略 - 用户权限分配)。
高级用户拥有足够的权力使自己成为管理员。
Windows 管理[编辑]
在 Microsoft Windows 2000、Windows XP Professional 和 Windows Server 2003 中,系统上有一个“Power Users”组,该组授予的权限比普通受限用户更多,但未达到管理员权限。如果用户是 Power Users 组的成员,他们比普通用户更有可能将系统暴露给恶意软件,并且可以通过故意安装恶意软件将其帐户提升为管理员。[12] 因此,Power Users 组应仅与值得信赖和知识渊博的用户一起使用;它不适合包含不值得信赖的用户。在 Windows Vista 中,Power Users 组已过时,作为在引入用户帐户控制时合并特权提升功能的一部分。[13] 在 Windows Vista Business l 或更高版本中,您仍然可以通过本地用户和组创建“Power Users”,但与标准用户没有区别,因为文件系统的所有 ACL 条目都被完全删除。