内置组与账号

http://hi.baidu.com/xinsikao/blog/item/ab37960aca60ba35b0351d1e.html

操作系统需要使用一些资源,这些资源是需要有权限的,它内定了一些组及账号来做这些事
组:
1,Administrators组:管理配置计算机
2,powerusers的权限仅次于administrators组的限制,这个组的成员可以管理共享资源,可以管理其他组的成员,该组的成员修改计算机的 大部分设置。但是不能管理administrtors组的成员,不能更改ip,不能格式化硬盘
3,Users 组 “Users” 组是最安全的组,因为分配给该组的默认权限不允许成员修改操作系统的设置或其他用户资料。用户不能修改系统注册表设置,操作系统文件或程序文件。
4,guest,guest账号同样 也是Windows 2000/XP系统内建的用户,和users(受限用户)组中的账号拥有同样的访问能力,但是受到的限制更多。
5,authenticated users:包括在计算机上或活动目录中的所有通过身份验证的账户。用该组代替everyone组可以防止匿名访问。

authenticated users + guest + 匿名账号 = evenyone

6,creator owner:包括创建资源的账户。
Interactive(交互)用户组:一般是直接登录到计算机进行操作的用户,比如通过远程桌面,终端进行连接

账号:
1,System权限是比Administrator权限还高的系统最高权限,负责用户验证的Winlogon、Lsass等进程都是以SYSTEM身份运行的
2,Network Service ,专用于为应用程序提供访问网络的足够权限,IIS应用程序池的默认用户是内置的Network Service账号。Network Service账号对本地计算机和网络资源只拥有最小访问权限。

《注:NetworkService属于Users组,而应用程序池用的账号是NetWorkSerice,既:网站的权限既是User组的权限》
3,Local Service账号 内置的Local Service账号无法像Network Service账号那样访问网络资源,但是具有与Network Service账号类似的本地资源访问权限
4,Local System 账号是内置的系统账号,所有系统进程都在 Local System 的安全环境中运行,Local System 账号是用于启动服务的默认账号,它继承了服务控制管理器的安全环境,Local System 账号运行的进程不能访问网络资源,如网络共享。