1.Windows XP多用户的特性及基本设置
实际生活中使用Windows的计算机用户,大多避免不了在家庭或办公室与别人共用计算机的矛盾。所以,早在Win9X时代,微软就已经开始引入多用户概念。Win9X系列虽然可有多个用户帐号,也可配置不同的桌面,但在用户管理方面实在不敢恭维,其用户密码形同虚设,只要“ESC”就可以进入;而为了阻止非本机用户进入系统,常需借助第三方工具或修改注册表——但最后别人还是可以在安全模式下进入且不需输入任何密码。因此,Win9X的多用户环境实际上完全没有管理和安全性可言。
而从WinNT系列开始的多用户功能发展到Win2000后,就已较成熟。WinNT/2000采用独立用户帐号方式,每个用户都用自己的帐号登录机器,从而实现真正的多用户功能。不过这种转换机制也带来了明显的缺陷:每次用户切换之后,上一个用户的使用环境已被完全破坏,他再次使用机器时,一切都必须从头再来。
现在发展到WinXP的多用户功能在Win2000的基础上又有了较大改进。由于WinXP操作系统采用WinNT/2000内核,在用户管理方面是非常安全的;同时结合了Win9X的用户管理方式,并且有多种登录方式可供选择。由于计算机可能处于两种状态下:一种是加入到某个域中,而另一种则是单独使用或加入到某网络工作组,两种状态下多用户的特性及设置有些不同,故在以下分述。
(1)加入工作组或单独计算机的特性及多用户配置
这种情况下的WinXP中,默认情况下采用欢迎屏幕登录方式,而且安装系统后默认为不需密码点击帐户就可直接进入。针对WinNT/2000多用户环境的主要缺陷,微软在新系统引入了共享环境中用户间快速切换的技术和远程桌面功能。在加入工作组或单机的WinXP系统中,所有用户帐号都被设置为可随时登录的状态。换言之,可以同时在一台计算机上打开多个帐号并在已经打开的帐号之间进行快速切换。而这一切只需要点击“注销”→“切换用户”即可。
>在基本了解WinXP多用户功能的特点后,不妨来看看多用户环境的基本设置和操作。熟悉WinNT/2000的用户都知道,系统的安全建立在给不同用户分配不同权限的基础之上。而在此基础上,更进一步使用NTFS文件系统可通过设置文件夹的安全选项来限制受限用户对文件夹的访问,所以要实现真正意义上的安全权限控制,文件所在分区必须采用NTFS文件系统格式,否则多用户之间的文件安全保密就是一句空话了。所以,除非特别提出,下文均是以一台硬盘全部划为NTFS文件系统,装有Windows XP Professional中文版的计算机为例进行说明。
还记得安装完WinXP需要设置登录密码吗?大家会发现这个密码在安装完系统后根本就用不上,因为系统安装后第一次启动会马上要求你创建至少一个新帐户,第一个新帐户默认为计算机管理员,而接下来进入系统后就是使用新创建的帐户登录了。所以虽然以后的WinXP正常登录界面中不会出现Administrator这个帐户,但实际上这个帐户是存在的,你只要在启动时按F8选择从安全模式启动就可以看到。尽管不明白为什么微软要把这个帐户隐藏起来,但很明显,要安全使用多用户环境,那么计算机的管理者首先就应注意这一帐户。不少用户在安装系统时会习惯性地略过输入密码这一步,所以不要因一时疏忽而留下系统安全漏洞。当然也有补救方案,就是以安全模式登录将Administrator帐户的密码修改或干脆删除这个帐户。这样处理以后,就可以真正保证计算机管理员的权限安全性。
WinXP多用户功能的基本设置都可以通过控制面板“用户帐户”项目完成。通常来说刚安装好的WinXP系统会至少建立一个有计算机管理员权限的帐号和尚未启用的Guest(客人)帐号,例如笔者手上这台机器,就有一个名为GZ的计算机管理员帐号和一个未启用的Guest帐号。上文曾经提到WinXP默认帐户是没有密码的,所以在登录画面点击就可以进入(如果只有一个帐号,Windows XP就会自动登录),所以我们首先就要为帐户添加密码。在“控制面板”中打开“用户帐户”,单击帐户名“GZ”进入帐户设置面板,然后单击“创建密码”选项进入密码设置面板。在“输入新密码”和“再次输入密码以确认”中,键入新密码,也可以在“输入词或短语作为密码提示”中输入描述性或有意义的文本,以便于用户记住密码(这是所有用户都可见的)。单击“创建密码”按钮完成GZ帐户的密码设置。那么再次使用此帐户登录Windows XP时,就必须输入密码了。由于Windows XP的控制面板采用向导式分类视图风格,用户设置使用起来非常简单方便,所以你不用学习都可轻易在这里完成所有的用户管理操作。
与添加密码的操作类似,其它诸如增加、删除用户帐户,修改具体帐户的名称、密码、图片、类型等操作,也都可以按照指示逐步完成。有些操作只有计算机管理员有权限执行,具体可以查看WinXP的帮助中心,这里就不详述了。值得注意的设置是,WinXP拥有两种方法登录计算机,默认的是“欢迎屏幕”这种快而简单的登录方法,只需单击帐号并输入密码(如果有的话)就可登录,这也是Win9X系列用户的习惯方式;但WinXP还是保留了WinNT/2000系列的“传统登录提示”的方式,它要求输入用户名和密码,更加安全。显然,如果你是一家人共用机器,用“欢迎屏幕”方式登录更方便,但如果是在办公室等公共场合共用机器,还是设置为“传统登录提示”的方式更为妥当。更改它只要单击“用户帐户”面板的“更改登录和注销方式”在设置页面上把相应选项勾选即可,注意这里还可以禁止“用户快速切换”功能,其需要禁止原因和登录方式的切换也是一样的,即“安全”。所以要结合自己共用计算机的具体环境来灵活设置登录方式和“用户快速切换”功能。
另外,上文提到,WinXP的Administrator帐户默认模式下无法看到,也无法登录这个帐号。不过你可以采用“传统登录提示”方式手动输入“Administrator”登录。那有没有办法在“欢迎屏幕”方式下以此帐户登录呢?答案是肯定的。打开注册表编辑器,找到HKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon SpecialAccounts,打开次级主键UserList(如果没有都可自己建立),在右边新建Dword值,命名为“Administrator”,然后修改键值为1即可。重新启动机器,“欢迎屏幕”方式上就出现了Administrator帐户。
(2)加入域的计算机特性及多用户配置
加入域的计算机会受到域策略的影响。与工作组或单独计算机相比,系统不具备快速切换用户的功能,而且只能以“传统登录提示”的方式登录,上面讲了,这样设计能有更高的安全性。同时如果计算机加入了域,控制面板中“用户帐户”的设置界面也会稍有不同,更接近于WinNT/2000中的设置。因为大多数用户都是在工作组或单独计算机上工作,此外域中计算机的用户设置也同样简单,这里就不详述了。
2.Windows XP各类用户的权限
要对用户管理作出合理的设置,仅了解WinXP多用户的特点和基本管理设置显然不够,我们必须要对用户管理机制作更多的了解。而由于WinXP采用WinNT/2000内核的用户管理安全机制,这种安全机制建立在用户权限的分配上,所以不妨来复习一下Win2000的用户分类及相应权限。
Win2000中的用户分为3类。第1类是标准用户:该用户可修改大部分计算机设置,安装不修改操作系统文件且不需安装系统服务的应用程序,创建和管理本地用户帐户和组,启动或停止默认情况下不启动的服务等,但不可访问NTFS分区上属于其他用户的私有文件。第2类是受限用户:该用户可操作计算机并保存文档,但不可以安装程序或进行可能对系统文件和设置有潜在破坏性的任何更改。第3类是其他用户,又可分为6种:(1)Administrator(系统管理员)——有对计算机/域的完全访问控制权;(2)Backup Operator(备份操作员)——可以备份和还原计算机上的文件,而不论这些文件的权限如何;还可登录到计算机和关闭计算机,但不能更改安全性设置;(3)Guest(客人)——权限同受限用户;(4)Power User(高级用户)——权限同标准用户;(5)Replicator(复制员)——权限是在域内复制文件;(6)User(普通用户)——权限同受限用户。
回到WinXP。它的用户分类、权限其实和Win2000基本一样(各类用户权限详细情况可参考WinXP帮助中心),你同样也可以利用用户的分类来保护计算机在多用户环境下的安全。以工作组或单独计算机为例,在默认情况下,使用WinXP只能够创建2种类型的用户:计算机管理员(Administrator)和受限用户(User),似乎管理的灵活和方便远不如Win2000。其实WinXP只是将其他用户类型隐藏起来了,我们还是可以在控制面板里创建。这里提供2种简单的方法,以下以创建Power User帐户为例,其余帐户类型的创建类似。
方法1:首先在“控制面板”→“用户帐户”中创建一个任意权限的用户帐户(如受限类型),用户名和密码自己设定(如xq)。完成以后,使用Administrators组中任一帐户登录,打开“控制面板”→“管理工具”→“计算机管理”,点击左边的“计算机管理(本地)”→“系统工具”→“本地用户和组”→“用户”,然后选择刚刚建立的用户帐户xq,双击其打开帐户属性,进入“隶属于”选项卡,我们会看到里面的设置为Users,选择Users,然后删除,接着点击“添加”,输入“Power Users”,并点击“检查名称”,如果没有问题就会看到“<计算机名>Power Users”的提示,设定完成后确定退出,以后xq就是Power Users成员了。
方法2:前期步骤同方法一,只是进入计算机管理后,选择“本地用户和组”下的组,然后双击右边的“Power Users”,点击添加,输入“xq”后检查,如一切正确将会出现 <计算机名>XQ的提示,确定退出后到前面用户里面察看xq的“隶属于”,会看到同时隶属于Users和Power Users,删除前者即可。
当然也有最简单的方法,即直接在“计算机管理”中创建用户然后修改,方法是在“计算机管理(本地)”→“系统工具”→“本地用户和组”→“用户”上点击鼠标右键,选择创建新用户并授予相应用户权限即可。修改过的用户类型在WinXP的登录界面中会显示为“未知帐户类型”,不过不会影响它的实际应用。
这样在了解各类用户帐户及其相应权限后,就可以在实际应用中对用户作相应分类,并给予相应权限,以保证各用户相互间的安全保密性和整个系统的安全保密性。最后,在进入实际设置前,如果你查看过WinXP的帮助中心,肯定就会发现WinXP的用户帐户管理说明实际上分为单机多用户和网络多用户两种形式,下文将分别说明这两种形式下的多用户应用。
|