講一下這個2000的一些privilege。

Privilege，為本地管理員提供了一種手段，可以控制允許什么人具有什么權限或者能執(zhí)行什么樣的系統操作，

如允許交互式登陸等等。這里我們說的特權是指特殊操作所需的權限，如備份呀什么的！一旦授予了某種特權，

這些特權就會包括在用戶的安全訪問令牌中。這是一些基本的概念，可以看以下，比較容易明白。

系統為了管理的方便總是為每個本地組分配了相應的特權，而且從來不改變這個特權，這些東東在NT系統上可以分為內置能力，標準用戶權力，高級用戶權力這么幾種，但是在2000中標準權利和高級權力已經被用戶特權所取代，只有在為委派而信任計算機和用戶帳戶（SeEnableDelegationPrivilege)和把計算機從dock中移出（SeUndockPrivilege)這兩種情況下可以把NT的權利映射到2000中的特權。 注意一下2000的一些問題。并非所有能力都有匹配的權利，因此，不可能用權力完全匹配組的內置能力。而由于

特定組能力的預定義分配和不能把所有能力復制為權力，就難以區(qū)分任務，并且只能強制使用最低特權的概念。

那么在域一級下就缺少一個安全結構，導致了難以授予管理的功能。2000在AD引入后，就允許區(qū)分任務，也可授

予domain和OU相應的管理層次。

下面來談一下具體的一些用戶特權，應當有26個，也有說28個的。

SeTcbPrivilege 成為OS的一部分 允許進程可以像用戶一樣被鑒別，因此可以像用戶一樣訪問相應的資源。只有底層的鑒別服務需要這樣的特權所以無論是工作站，獨立服務器，還是DC都沒有把這個設為某人權利。

SeMachineAccountPrivilege 添加工作站到域為了這個特權可以啟用，必須保證這個用戶在域控制器本地安全策略中的才行。

SeBackupPrivilege 備份文件和目錄。 允許用戶繞過文件和目錄的權限來做備份。只有當應用程序嘗試訪問NTFS備份API時才檢查這個特權。默認情況下，這個特權分配給Administrators和Backup Operators。

SeChangeNotifyPrivilege 回避遍歷檢查。 允許用戶來回移動目錄，但是不能列出文件夾的內容。默認情況下，這種特權被賦予Administrators,

Backup Operators, Power Users, Users ,and Everyone，換句話說就是所有人都有這種權利。

SeSystemTimePrivilege 改變系統時間。 默認情況下Administrators和Power Users有這種權利。

SeCreatePagefilePrivilege 創(chuàng)建分頁文件。 允許用戶創(chuàng)建和改變一個分頁文件的大小。默認情況下，只有Administrators有這個特權。

SeCreateTokenPrivilege 創(chuàng)建令牌對象。 允許進程調用NtCreateToken()或者是其他的Token-Creating APIs創(chuàng)建一個訪問令牌。

SeCreatePermanentPrivilege 創(chuàng)建永久共享對象。 允許進程在2000項目管理器中創(chuàng)建一個目錄對象。

SeDebugPrivilege 調試程序。 允許用戶連接一個Debugger來調試任何進程。默認情況下Administrators有該特權。

SeEnableDelegationPrivilege 為委派而信任計算機和用戶帳戶。 允許用戶為了委派而改變信任，只有當用戶或者是計算機對該對象的帳戶控制標志有寫權限的時候可以。

SeRemoteShutdownPrivilege 遠程關閉系統。 Administrators在默認情況下有此特權。

SeAuditPrivilege 產生安全審核。 允許一個應用程序在安全日志中，創(chuàng)建，產生，增加一條記錄。

SeIncreaseQuotaPrivilege 增加限額。 允許一個有寫屬性的進程利用其他進程從而取得更多的處理器限額，這種特權有利于系統調試，但是也有導致 DOS的可能。

SeIncreaseBaseProrityPrivilege 增加調度優(yōu)先級。 允許一個有寫屬性的進程利用其它進程來獲得更多的執(zhí)行優(yōu)先權。有這種特權的用戶可以在Task管理器中改變一個進程的調度優(yōu)先權。默認情況Administrators有該特權。

SeLoadDriverPrivilege 安裝和卸載設備驅動程序。 允許用戶安裝和卸載即插即用設備的驅動程序，不是即插即用的不受這個特權影響，但是只能被 Administrators所安裝。因為驅動程序是作為被信任的程序來運行的，這需要很高的特權。而這種特權可能會被用于安裝惡意程序，和破壞性的訪問。默認情況下Administrators有該特權。

SeSecurityPrivilege 管理審計和安全日志。 允許用戶指定對象訪問的審計。有這種特權的用戶也可以清空安全日志。默認情況下Administrators有該特權

。

SeSystemEnvironmentPrivilege 修改firmware環(huán)境變量。 允許用戶使用進程通過一個API來設置系統環(huán)境變量，另外，也可以讓用戶使用System Properties來做到以上這一步。默認情況下Administrators有該特權。

SeProfileSingleProcessPrivilege Profile單一進程。 允許用戶使用性能監(jiān)視器來監(jiān)視nonsystem進程。默認情況下Administrators有此特權。

SeSystemProfilePrivilege Profile系統性能。 允許用戶使用性能監(jiān)視器來監(jiān)視system進程。默認情況下Administrators有此特權。

SeUndockPrivilege 將計算機中dock中刪除。 允許用戶使用Eject PC從塢中將計算機移出，默認情況下Administrators, Power Users, Users均有此特 權。

SeAssignPrimaryTokenPrivilege 替換一個進程級令牌。 允許一個父進程替換相關的子進程的訪問令牌。

SeRestorePrivilege 恢復文件和目錄。 允許用戶繞過文件及目錄權限來恢復備份文件。默認情況下Administrators和Backup Operators有此特權。

SeShutdownPrivilege 關閉系統。 允許用戶關閉本地計算機。默認情況下Administrators, Backup Operators, Power Users, Users都有該特權，但是在2000 Server中Users沒有此特權。

SeSynchAgentPrivilege 同步目錄服務數據。 允許一個進程提供目錄同步服務，這個特權只有在DC上。默認情況下域的Administrators和LocalSystem帳戶有此特權。

SeTakeOwnershipPrivilege 取得文件所有者身份。 允許用戶取得在系統中任何可得到的對象的所有者身份，包括：AD對象，文件，文件夾，打印機，注冊表鍵，進程和線程。默認情況下Administrator有此特權。