在Windows中控制用戶的使用權(quán)限

通常認(rèn)為微軟Windows處理使用權(quán)限和安全的方式有些笨拙和不精細(xì)。比如，當(dāng)一個(gè)用戶有著次用戶權(quán)利的時(shí)候，你很難在不改變他的組別的情況下有選擇性的提高他的使用權(quán)限。如果他們想運(yùn)行一個(gè)需要管理員權(quán)限的應(yīng)用程序，管理員就需要一種方法使得在不改變他們的用戶組別的情況下讓他們能夠運(yùn)行程序。
    雖然這種機(jī)制是存在的，但是它幾乎沒有用。你很難對(duì)于某個(gè)操作給予一次性的拒絕或允許。
    解決這一問題的的第三方軟件是Winternals Protection Manager。這個(gè)軟件可以讓管理員更精確的指定用戶的使用權(quán)限，明確的規(guī)定什么樣的用戶或組別可以運(yùn)行那些程序。
    電腦中每一個(gè)程序都給出了四種控制級(jí)別:禁用、對(duì)某些用戶可用、對(duì)管理員可用或是可用?！谩δ芘c組策略中列出的程序黑名單無關(guān);你可以設(shè)置它為除管理員指定程序外所有程序禁用。(你可以用模糊信息、文件名、所有者或是其它方法定義可用程序。)這個(gè)程序有個(gè)額外的好處:因?yàn)槿魏螞]有得到特殊許可的程序都會(huì)被限制，所以病毒和間諜軟件就很難突破這一關(guān)。
    另一個(gè)Windows沒有提供的性能是有‘許可申請(qǐng)’。當(dāng)一個(gè)用戶嘗試運(yùn)行一個(gè)禁用的程序，他可以不用改寫自己的安全策略直接向管理員發(fā)出申請(qǐng)。管理員也可以看到正在運(yùn)行的所有程序的運(yùn)行者，并由此建立限制策略。這樣他們就可以得到實(shí)時(shí)信息，而不是猜測或是手工得到這些信息。