能不能在电脑上建立一个别人看不到的用户帐
还记得安装完WinXP需要设置登录密码吗?大家会发现这个密码在安装完系统后根本就用不上,因为系统安装后第一次启动会马上要求你创建至少一个新帐户,第一个新帐户默认为计算机管理员,而接下来进入系统后就是使用新创建的帐户登录了。 所以虽然以后的WinXP正常登录界面中不会出现Administrator这个帐户,但实际上这个帐户是存在的,你只要在启动时按F8选择从安全模式启动就可以看到。尽管不明白为什么微软要把这个帐户隐藏起来,但很明显,要安全使用多用户环境,那么计算机的管理者首先就应注意这一帐户。 不少用户在安装系统时会习惯性地略过输入密码这一步,所以不要因一时疏忽而留下系统安全漏洞。当然也...全部
还记得安装完WinXP需要设置登录密码吗?大家会发现这个密码在安装完系统后根本就用不上,因为系统安装后第一次启动会马上要求你创建至少一个新帐户,第一个新帐户默认为计算机管理员,而接下来进入系统后就是使用新创建的帐户登录了。
所以虽然以后的WinXP正常登录界面中不会出现Administrator这个帐户,但实际上这个帐户是存在的,你只要在启动时按F8选择从安全模式启动就可以看到。尽管不明白为什么微软要把这个帐户隐藏起来,但很明显,要安全使用多用户环境,那么计算机的管理者首先就应注意这一帐户。
不少用户在安装系统时会习惯性地略过输入密码这一步,所以不要因一时疏忽而留下系统安全漏洞。当然也有补救方案,就是以安全模式登录将Administrator帐户的密码修改或干脆删除这个帐户。这样处理以后,就可以真正保证计算机管理员的权限安全性。
WinXP多用户功能的基本设置都可以通过控制面板“用户帐户”项目完成。通常来说刚安装好的WinXP系统会至少建立一个有计算机管理员权限的帐号和尚未启用的Guest(客人)帐号,例如笔者手上这台机器,就有一个名为GZ的计算机管理员帐号和一个未启用的Guest帐号。
上文曾经提到WinXP默认帐户是没有密码的,所以在登录画面点击就可以进入(如果只有一个帐号,Windows XP就会自动登录),所以我们首先就要为帐户添加密码。在“控制面板”中打开“用户帐户”,单击帐户名“GZ”进入帐户设置面板,然后单击“创建密码”选项进入密码设置面板。
在“输入新密码”和“再次输入密码以确认”中,键入新密码,也可以在“输入词或短语作为密码提示”中输入描述性或有意义的文本,以便于用户记住密码(这是所有用户都可见的)。单击“创建密码”按钮完成GZ帐户的密码设置。
那么再次使用此帐户登录Windows XP时,就必须输入密码了。由于Windows XP的控制面板采用向导式分类视图风格,用户设置使用起来非常简单方便,所以你不用学习都可轻易在这里完成所有的用户管理操作。
与添加密码的操作类似,其它诸如增加、删除用户帐户,修改具体帐户的名称、密码、图片、类型等操作,也都可以按照指示逐步完成。有些操作只有计算机管理员有权限执行,具体可以查看WinXP的帮助中心,这里就不详述了。
值得注意的设置是,WinXP拥有两种方法登录计算机,默认的是“欢迎屏幕”这种快而简单的登录方法,只需单击帐号并输入密码(如果有的话)就可登录,这也是Win9X系列用户的习惯方式;但WinXP还是保留了WinNT/2000系列的“传统登录提示”的方式,它要求输入用户名和密码,更加安全。
显然,如果你是一家人共用机器,用“欢迎屏幕”方式登录更方便,但如果是在办公室等公共场合共用机器,还是设置为“传统登录提示”的方式更为妥当。更改它只要单击“用户帐户”面板的“更改登录和注销方式”在设置页面上把相应选项勾选即可,注意这里还可以禁止“用户快速切换”功能,其需要禁止原因和登录方式的切换也是一样的,即“安全”。
所以要结合自己共用计算机的具体环境来灵活设置登录方式和“用户快速切换”功能。
另外,上文提到,WinXP的Administrator帐户默认模式下无法看到,也无法登录这个帐号。不过你可以采用“传统登录提示”方式手动输入“Administrator”登录。
那有没有办法在“欢迎屏幕”方式下以此帐户登录呢?答案是肯定的。打开注册表编辑器,找到HKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon SpecialAccounts,打开次级主键UserList(如果没有都可自己建立),在右边新建Dword值,命名为“Administrator”,然后修改键值为1即可。
重新启动机器,“欢迎屏幕”方式上就出现了Administrator帐户。
(2)加入域的计算机特性及多用户配置
加入域的计算机会受到域策略的影响。与工作组或单独计算机相比,系统不具备快速切换用户的功能,而且只能以“传统登录提示”的方式登录,上面讲了,这样设计能有更高的安全性。
同时如果计算机加入了域,控制面板中“用户帐户”的设置界面也会稍有不同,更接近于WinNT/2000中的设置。因为大多数用户都是在工作组或单独计算机上工作,此外域中计算机的用户设置也同样简单,这里就不详述了。
2。Windows XP各类用户的权限
要对用户管理作出合理的设置,仅了解WinXP多用户的特点和基本管理设置显然不够,我们必须要对用户管理机制作更多的了解。而由于WinXP采用WinNT/2000内核的用户管理安全机制,这种安全机制建立在用户权限的分配上,所以不妨来复习一下Win2000的用户分类及相应权限。
Win2000中的用户分为3类。第1类是标准用户:该用户可修改大部分计算机设置,安装不修改操作系统文件且不需安装系统服务的应用程序,创建和管理本地用户帐户和组,启动或停止默认情况下不启动的服务等,但不可访问NTFS分区上属于其他用户的私有文件。
第2类是受限用户:该用户可操作计算机并保存文档,但不可以安装程序或进行可能对系统文件和设置有潜在破坏性的任何更改。第3类是其他用户,又可分为6种:(1)Administrator(系统管理员)——有对计算机/域的完全访问控制权;(2)Backup Operator(备份操作员)——可以备份和还原计算机上的文件,而不论这些文件的权限如何;还可登录到计算机和关闭计算机,但不能更改安全性设置;(3)Guest(客人)——权限同受限用户;(4)Power User(高级用户)——权限同标准用户;(5)Replicator(复制员)——权限是在域内复制文件;(6)User(普通用户)——权限同受限用户。
回到WinXP。它的用户分类、权限其实和Win2000基本一样(各类用户权限详细情况可参考WinXP帮助中心),你同样也可以利用用户的分类来保护计算机在多用户环境下的安全。以工作组或单独计算机为例,在默认情况下,使用WinXP只能够创建2种类型的用户:计算机管理员(Administrator)和受限用户(User),似乎管理的灵活和方便远不如Win2000。
其实WinXP只是将其他用户类型隐藏起来了,我们还是可以在控制面板里创建。这里提供2种简单的方法,以下以创建Power User帐户为例,其余帐户类型的创建类似。
方法1:首先在“控制面板”→“用户帐户”中创建一个任意权限的用户帐户(如受限类型),用户名和密码自己设定(如xq)。
完成以后,使用Administrators组中任一帐户登录,打开“控制面板”→“管理工具”→“计算机管理”,点击左边的“计算机管理(本地)”→“系统工具”→“本地用户和组”→“用户”,然后选择刚刚建立的用户帐户xq,双击其打开帐户属性,进入“隶属于”选项卡,我们会看到里面的设置为Users,选择Users,然后删除,接着点击“添加”,输入“Power Users”,并点击“检查名称”,如果没有问题就会看到“Power Users”的提示,设定完成后确定退出,以后xq就是Power Users成员了。
方法2:前期步骤同方法一,只是进入计算机管理后,选择“本地用户和组”下的组,然后双击右边的“Power Users”,点击添加,输入“xq”后检查,如一切正确将会出现 XQ的提示,确定退出后到前面用户里面察看xq的“隶属于”,会看到同时隶属于Users和Power Users,删除前者即可。
当然也有最简单的方法,即直接在“计算机管理”中创建用户然后修改,方法是在“计算机管理(本地)”→“系统工具”→“本地用户和组”→“用户”上点击鼠标右键,选择创建新用户并授予相应用户权限即可。
修改过的用户类型在WinXP的登录界面中会显示为“未知帐户类型”,不过不会影响它的实际应用。
这样在了解各类用户帐户及其相应权限后,就可以在实际应用中对用户作相应分类,并给予相应权限,以保证各用户相互间的安全保密性和整个系统的安全保密性。
最后,在进入实际设置前,如果你查看过WinXP的帮助中心,肯定就会发现WinXP的用户帐户管理说明实际上分为单机多用户和网络多用户两种形式,下文将分别说明这两种形式下的多用户应用。
首先,无论你是哪一级的用户都要明白,自己的用户密码是安全的关键。
如果忘记密码就会造成极大的困扰,虽然有一些技巧可恢复你的密码,但随着WinXP安全性能不断升级,密码恢复将会越来越难。所以未雨绸缪为自己创建一张修复用户密码的启动软盘是个好办法:点击“控制面板”→“用户帐户”,选择自己的帐户进入到控制界面,之后点击窗口左上方“相关任务”下的“阻止一个已忘记的密码”选项,则进入“忘记密码向导”对话框。
点击“下一步”,向导提示将一张空白的已格式化磁盘插入到软驱中,接下来向导提示输入当前密码,输入后经过几秒种便创建完成密码启动盘了。如果有一天忘记了自己的密码,只要在欢迎登录界面点击自己账户右边的箭头,然后在弹出的提示栏中选择“使用密码重设磁盘”,再将先前做好的密码启动盘插入软驱,按照系统提示重新设置密码就能正常登录了。
接下来将讨论,单机多用户环境下的普通用户在私人资源的安全和隐私方面的注意事项。
首先,各用户对自己的专有文件夹(即“XX的文挡”)拥有完全控制的权限,如果系统没有取消“简单共享文件”,可在文件夹属性中将某文件夹设置为“专有文件夹”以保护私人资源。
若计算机取消了“简单共享文件”,就可按上文设置用户访问权限来保护。
通过上述设置,虽然一般用户不能访问受到保护的文件,却不能阻止计算机管理员的访问,故WinXP提供了EFS文件加密功能来解决这一问题。
右击要保护的文件或文件夹,选择“属性”→“高级”,勾选“加密内容以便保护数据”,两次“确定”即可;这里如果对文件夹进行加密,会多出现一个对话框,提示是加密文件夹还是加密文件夹及其下的所有内容,加密完成后可看到被加密过的文件或文件夹名被标明为绿色。
别的帐号登录系统是打不开这些加密文件的,即使具有最高权限的计算机管理员也不能打开(但他可删除任何文件,包括别人的加密文件)。
作为在单机多用户环境下的管理员,首先要注意日常的运行操作不要以管理员身份登录。
因为以管理员身份运行WinXP容易使系统受到病毒、特洛伊木马和其他安全性威胁的侵害。例如不熟悉的Internet站点可能有木马代码,这些代码可下载到该系统并执行。如以管理员身份登录,木马可能会重新格式化硬盘、删除所有文件、新建具有管理访问权限的用户帐户等。
所以应该将自己添加到Users或Power Users组中。只有在需要执行管理任务时,如升级操作系统或配置系统参数、安装程序等,再注销并以管理员身份登录。如果觉得登录过于麻烦,也可利用临时为自己分配管理权限的技巧:(1)以安装某程序为例,在右击程序安装文件的同时按住Shift键;(2)在随后出现的快捷菜单中点击“运行方式”;(3)输入具有相应管理权限的用户名和密码。
这种方式对于开始菜单中的应用程序同样适用。
当然,计算机管理员要好好研究控制面板里“管理工具”项目中的“本地安全策略”,这是WinXP最重要的安全设置工具,系统的基本安全设置都可在这里实现,通过它你可以结合具体情况有效制订出机器的安全策略和独特技巧。
例如依次选择“安全设置”→“本地策略”→“安全选项”。在右侧窗格中,双击“关机:允许系统在尚未登录的情况下被关闭”,点击“已停用”单选框并单击“确定”按钮。这样一来,就禁用了“欢迎屏幕”上的关机按钮,在尚未登录的情况下,任何人都无法执行关机操作了!仔细研究和发掘,你能创造出更多的安全管理技巧。
注意:对于公共场合的单机多用户,如果你的私人文件极为隐密和重要,那么一定要结合其他工具软件来保护你的文件。因为WinXP现有的安全性能还不足以完全保护你的文件,毕竟一些有经验的用户在配合相应工具的情况下,能轻易获取计算机管理员的权限。
。收起
